Detenido en Barcelona el presunto responsable del mayor ciberataque 'DDoS' de la historia

Agentes de la Policía Nacional han detenido en Granollers (Barcelona) al activista holandés de 35 años Sven Olaf Kamphuis, conocido como cb3rob, por ser el presunto responsable del mayor ciberataque de denegación de servicio distribuido (DDOS) de la historia, que el pasado mes de marzo lanzaron contra Spamhaus y que dicen pudo colapsar Internet a nivel global.
Sven Olaf Kamphuis en la foto portando una bandera del Partido Pirata
La portavoz de la Policía Nacional, María Buyo, ha explicado que las investigaciones se iniciaron en Holanda después de que en marzo se detectaran los ataques de Cyberbunker contra la famosa compañía anti-spam, los cuales generaron una cantidad de tráfico brutal gracias a vectores reflexión y amplificación DNS de miles de servidores vulnerables en Internet.

Haciendo trampas en TriviaDos

No suelo gastar mucho tiempo con juegos en el móvil pero he de reconocer que siempre acabo enganchándome a alguno. En esta ocasión tengo bastante vicio con TriviaDos, un trivial de toda la vida por turnos para jugar en línea contra un contrincante remoto, ya sea conocido o aleatorio. Así que, aparte de jugar, gano algo de culturilla general... ;)

Hace unos días me llamó la atención el anuncio del primer torneo de TriviaDos que ofrece premios a los ganadores, ¡los dos primeros valorados en 1000€!. 


Por un momento pensé en apuntarme pero, vistas las estadísticas de los jugadores top durante los primeros días, sus porcentajes de acierto en cada categoría y el número de partidas de cada uno, simplemente se me quitaron las ganas...

Sabía que un ser humano con un coeficiente intelectual normal y el tiempo limitado no podría si quiera soñar con clasificarse entre los 100 primeros. Pero, ¿alguien que tuviera conocimientos de seguridad informática podría "hacer trampas" y ganar el concurso?. Después de un vistazo a la aplicación de Android parece que sí...

...Un Quesito para atraerlos a todos y atarlos en las tinieblas.
Lo que os voy a mostrar en esta entrada es simplemente cómo modificar TriviaDos para ganar unos segundos de tiempo para responder a cada pregunta. Os dará una ligera ventaja pero no será determinante para que superéis a todos los rivales.. o eso espero. No me hago responsable de su uso ni de cualquier otra modificación derivada. Sólo espero que los dos chicos de Pandereta refuercen la seguridad de su aplicación. Vamos a ello...

Smartphone Pentest Framework: herramienta para pentests de teléfonos inteligentes

Cuando hablamos de realizar un test de intrusión siempre pensamos en poner a prueba la seguridad de un servidor o red de servidores normalmente detrás de algún elemento de protección como un firewall. Todos los pentesters tienen su metodología y colección de herramientas pero, ¿y si les dijéramos que hicieran un pentest para un conjunto de teléfonos inteligentes dentro de una red Wi-Fi? Seguramente se verían sorprendidos...
hoy en día no soltamos los teléfonos móviles ni para mear... literalmente.
Piénsalo, si dentro del vagón del metro levantas la mirada verás que la mayoría de la gente viaja ensimismada mirando la pantallita de su smartphone. No sería arriegado asegurar que ya hay muchos más teléfonos inteligentes que ordenadores domésticos y ¿qué son si no pequeñas computadoras de bolsillo?. Sí, los pentests para smartphones serán cada vez más demandados...

Herramientas gratuitas de recuperación de archivos

Si eres de los que no utiliza la papelera de su escritorio virtual o simplemente cometiste un descuido y "sacaste la basura" sin pensar, aún estás a tiempo de recuperar esos ficheros que anhelas desde el más profundo arrepentimiento... 

En la foto, técnico de sistemas en proceso de recovering...
No desesperes amigo, todavía existen herramientas gratuitas que pueden ayudarte a revertir ese borrado indeseado, sólo ejecútalas lo antes posible o reza para que no se hayan sobrescrito tus valiosos datos:

Recuva

FreeUndelete

Restoration

TestDisk

y tú, ¿conoces otro software de recuperación de datos que merezca la pena? ¡Comparte!

CheatSheet para Volatility

¿Necesitas ayuda para utilizar todos los plugins y opciones de Volatility? ¿Quieres tener a vista de pájaro las principales características de este framework para sistemas operativos de Windows? ¿No estas seguro de dónde buscar ni a quién pedir más información sobre el proyecto? Esta hoja de trucos o cheatsheet debería resolver esos problemas y alguno más ;)

Haz clic en la imagen de la derecha para abrir el cheatsheet en PDF.


Fuente: Volatility Labs: If You're Going to Cheat...

Actaeon, el "cazador" de hipervisores

Acteón, el cazador transformado en ciervo por Artemisa
... y devorado por sus propios perros.
Actaeon es una herramienta para realizar análisis forense de memoria en entornos de virtualización. A partir de un volcado de memoria física, Actaeon puede lograr tres objetivos importantes: 1) localizar cualquier hipervisor (monitor de máquina virtual) que utiliza tecnología Intel VT-x, 2) detección y análisis de virtualización anidada y mostrar las relaciones entre los diferentes hipervisores se ejecutan en el misma máquina, y 3) proporcionar un mecanismo transparente para reconocer y apoyar el espacio de direcciones de las máquinas virtuales.

Actaeon consta de tres componentes:

 - hyperls: un plugin de Volatility para listar los hipervisores en un volcado de memoria e imprimir varios datos sobre ellos.
 - Un parche de Volatility para permitir que otros plugins y comandos sean aplicados a cada sistema operativo invitado.
 - Un dumper VMCS, basado en el código HyperDBG

Actaeon adopta un enfoque independiente del hipervisor en base a la localización de la estructura de datos VMCS en la memoria. Por lo tanto, debe ser capaz de detectar cualquier hipervisor (benigno o malicioso) que utiliza esta tecnología. Hasta el momento, han probado con éxito con KVM (kernel 3.6.0), Xen (4.2.0), VMware Workstation (9.0.1), VirtualBox (4.2.6) y la última versión de HyperDBG - incluyendo diferentes combinaciones anidadas (por ejemplo, ,KVM bajo Xen, VMWare o VirtualBox). De momento las pruebas se limitan a sistemas operativos de 32 bits (las pruebas con 64 bits y Microsoft Hyper-V están de camino).

Actaeon necesita conocer los offsets de determinados campos dentro del VMCS. Por el momento, la distribución contiene dos microarquitecturas Intel (Sandy Bridge y Penryn) y una serie de VMCS personalizados utilizados para soportar hipervisores anidadas (Xen, KVM y VMware Workstation).

OpenVPN pivoting

Como todos sabéis, pivotar o pivoting es un método que consiste básicamente en utilizar un sistema bajo nuestro control como pasarela para atacar otros sistemas y redes, evadiendo así restricciones como las reglas de un firewall intermedio. Podríamos dividir esta técnica en dos grandes tipos:

- Proxy pivoting: se canaliza el tráfico a través de un payload en el equipo mediante el cual pivotaremos. Se limita a determinados puertos TCP y UDP.
- VPN pivoting: consiste en crear un túnel cifrado contra el equipo mediante el cual pivotaremos para enrutar todo el tráfico de red, por ejemplo para ejecutar un escaneo de vulnerabilidades a otros equipos de su red o de otras redes a las que tiene acceso.

En mi caso, por versatilidad, necesito esta última técnica. Podría utilizar la versión Pro de Metasploit o Cobalt Strike que son herramientas excelentes para VPN pivoting, aunque también lo son de pago, así que según está la economía me decanto por OpenVPN :P


Os planteo el siguiente escenario:
 

 
Imaginad una topología con un servidor de monitorización con Nagios en la DMZ el cual, por su naturaleza, tiene habilitado además accesos a otros segmentos de red. Tengo el usuario root y ya accedo a la consola por SSH. Además, el firewall interno me permite acceder a otros puertos del servidor. 

Libro: Hacking Secret Ciphers with Python

“Hacking Secret Ciphers with Python” es un libro de Al Sweigart que pretende ser una guía destinada a principiantes para aprender criptografía y programar en Python. 

Cuenta con el código fuente de varios sistemas de cifrado como el cifrado César, cifrado de transposición, cifrado de sustitución simple, cifrados multiplicativos y afines, cifrado Vigenère y herramientas de hacking para cada una de estos cifrados. Los últimos capítulos cubren el sistema de cifrado RSA y criptografía moderna de clave pública.

Básicamente el libro asume que el lector no sabe nada de criptografía ni programación y le ayuda a aprender, paso a paso, a escribir programas que puedan "romper" mensajes cifrados. Dos años de trabajo, 415 páginas y 1700 líneas de código, que pueden leerse online o descargar en pdf de forma totalmente gratuita o, si lo prefieres, comprarlo en formato tradicional en Amazon. Además, está dedicado a Aaron Swartz y el 100% de los ingresos obtenidos con sus ventas o donaciones irán a EFF, Creative Commons y Tor Project.


Descarga el PDF (mirror) | Lectura en línea | Compra en Amazon 

¿Es posible tomar el control de un avión mediante un teléfono móvil?

El miércoles, el investigador de seguridad español Hugo Teso hizo una presentación en la conferencia Hack in the Box en Amsterdam en el que aseguraba que había desarrollado una aplicación para Android que podría permitirle tomar el control de un avión debido a los defectos en sus sistemas de comunicaciones de a bordo... ¡y la que se ha montado!, hasta ha sido noticia de impacto en la CNN (saluda Hugo):

Durante años hackers e investigadores de seguridad están avisando acerca de vulnerabilidades en la próxima generación de protocolos de control de tránsito aéreo. Pero Hugo se centró en un protocolo diferente llamado Aircraft Communications Addressing and Report System (ACARS), un sistema de intercambio de datos simple que ha evolucionado a lo largo de décadas y ahora se incluye en todo, desde los datos meteorológicos hasta la programación de los horarios del sistema de gestión de vuelo del avión (FMS).
 
Cabina de un avión, incluyendo el sistema de gestión de vuelo de Honeywell supuestamente vulnerable.

¿Qué será de nuestras cuentas de Google cuando hayamos muerto?

¿Qué ocurrirá con tus fotos, correos electrónicos y documentos cuando dejes de usar la cuenta de Google? Si amigos, no somos eternos, aunque por suerte ahora Google nos permite controlar qué hacer con nuestros datos mediante el Administrador de cuentas inactivas.

Podremos compartir nuestra información con un amigo o un familiar de confianza, o bien eliminar la cuenta por completo. Simplemente hemos de decidir si la cuenta está inactiva y cuándo, a quién se lo notificamos y qué sucede con los datos. El Administrador de cuentas inactivas nos avisará por correo electrónico o a través de un mensaje de texto antes de que finalice el tiempo de espera. Si este tiempo transcurre podremos incluso configurar un mensaje de autorespuesta en nuestro correo de GMail y se cumplirán nuestros designios...

"Esperamos que esta nueva función permita al usuario planificar su vida digital futura, y proteger su privacidad y seguridad, y hacer la vida más fácil para sus seres queridos después de que se hayan ido", asegura el director de producto de Google, Andreas Tuerk, en el blog de la empresa.

Sin duda, una cita inenudible para nuestro testamento digital: Administrador de cuentas inactivas de Google.

pd. Y si además estás interesado en incluir otras cuentas, tienes servicios especializados como Netarius, Last Memory, etc.

Que no te roben la cartera (de Bitcoins)

Si habéis utilizado alguna vez Bitcoin habréis visto que por defecto almacena el monedero wallet.dat en %APPDATA%\Bitcoin si utilizas Windows, en ~/.bitcoin/ si utilizas Linux o en ~/Library/Application Support/Bitcoin/ si usas Mac. Lo lógico es cifrar el monedero inmediatamente después de su creación por si te roban la cartera... Pero ¿estamos seguros de que si nos quitan el fichero wallet.dat no serán capaces de obtener nuestro dinero virtual?

Cuando activamos el cifrado en el cliente Bitcoin, las claves privadas del monedero se cifran con AES-256 utilizando una clave que se deriva de un hash de la contraseña en SHA-512 que introducimos y un salt generado aleatoriamente cientos de veces (dependiendo de la capacidad de nuestro hardware). El cifrado por lo tanto es muy fuerte, aunque eso no significa que sus algoritmos no sean rotos en un futuro...
Pero vivamos el presente, como podéis imaginar sigue siendo posible obtener la contraseña con la que se cifró el monedero mediante ataques de fuerza bruta. Ya hay varios scripts funcionales que realizan este trabajo y pronto aparecerán más y mejores herramientas de cracking de monederos de Bitcoin. Sirva de ejemplo John The Ripper, que está añadiendo soporte para ello...

Nueva versión de REMnux, la distribución Linux para el análisis e Ingeniería Inversa del Malware de Lenny Zeltser

REMnux es la distribución de GNU/Linux basada en Ubuntu de Lenny Zeltser para el análisis e Ingeniería Inversa del Malware (Reverse-Engineering Malware – REM). Incorpora un gran número de herramientas para analizar ejecutables maliciosos de Windows, malware basado en navegador, programas flash y javascripts ofuscados. Además incluye aplicaciones para el análisis de documentos maliciososo como ficheros PDF y utilidades para el análisis forense de la memoria y también se puede usar para emular servicios de red dentro de un entorno aislado de laboratorio, algo muy útil para ver el comportamiento real de un equipo infectado.

Recientemente se acaba de publicar la versión 4, también disponible en formato para virtualización (OVF/OVA y VMWare nativa), y se incluyen las siguientes novedades:

"Hackeados" multitud de sitios de SourceForge.net

Alguien con el alias "1337 hacker" ha realizado algunos defaces en algunos proyectos de SourceForge.net incluyendo el siguiente mensaje (abajo en rojo):


(traducido al español):

"Este es un proyecto cuya página web ha sido hackeada mediante un backdoor en SourceForge por un hacker 1337! Eres muy afortunado porque este mensaje es el único cambio que hice. Después de encontrar esta puerta trasera, yo, siendo amable, añadí este mensaje a algunos sitios alojados en SourceForge para advertirles, en lugar de exponer maliciosamente sus datos.
¿A quién le afecta este exploit?"

La verdad es más bien trivial: en una entrada del blog, los operadores de SourceForge dijeron que cada proyecto afectado tenía archivos que pueden ser accedidos por cualquier persona en la web (rw-r--r--  en la jerga Unix) y que en estos documentos figuran los nombres de usuario y contraseñas para la  edición del proyecto. Por lo tanto, cualquier persona que sabía dónde mirar en la página web de un proyecto podría encontrar, utilizar y exponer estas credenciales sensibles.

Algunos comandos en Linux que deberías saber


- sshfs user@host:/path/to/dir /path/to/mount/point – monta el directorio/sistema de ficheros a través de SSH.
- !!:gs/foo/bar – ejecuta el comando anterior reemplazando la cadena “foo” por “bar”.
- mount | column –t – muestra los sistemas de ficheros montados de una forma ordenada.

Los mayores robos de Bitcoins hasta la fecha

Seguro que muchos ya habréis leído en algún medio alguna noticia sobre Bitcoin, debido sobre todo a que en plena crisis se presenta como una alternativa al resto de monedas y su auge es tal que en apenas cuatro semanas ha pasado de tener un valor de 40 dólares a rozar hoy los 150 dólares.

Bitcoin, la moneda digital que nació en 2009, la moneda criptográfica que inicialmente parecía destinada sólo a freaks, es ahora una seria amenaza para muchos gobiernos y organizaciones que pueden ver peligrar su control sobre las finanzas debido a su naturaleza anónima y arquitectura P2P descentralizada, que excluye a intermediarios (pobrecitos bancos...).

Ahora que Bitcoin está en el punto de mira y coqueteando con la hiperdeflación, seguro que también centrará más la atención de los ciberdelincuentes, ya que la minería BTC no es la forma de hacerse rico en esta nueva economía... Por clara analogía, ¿has visto enriquecerse a algún trabajador de una mina que trabaja duramente más de 8 horas al día metido en un oscuro
agujero? ¡Claro que no!.

Por lo tanto los robos de esta moneda están a la orden del día. De hecho, aquí os dejo una lista de bitcointalk.org actualizada a 1 de abril de 2013 con lo mayores hurtos, estafas, hacks y pérdidas de Bitcoins realizados (conocidos) hasta la fecha:

HookME: TCP Proxy (Data tamper)

HookME es un software diseñado para la interceptación de las comunicaciones hookeando el proceso deseado e interceptando las llamadas del API para el envío y recepción de tráfico de red (incluso SSL). HookMe proporciona una interfaz gráfica de usuario que permite cambiar el contenido del paquete en tiempo real, o descartar o reenviarlo. También cuenta con un sistema de plugins en python para ampliar la funcionalidad HookMe.

Se puede utilizar para muchos propósitos, tales como:
  •      Analizar y modificar protocolos de red
  •      Creación de malware o backdoors embebidos en protocolos de red
  •      Parcheo de vulnerabilidades de memoria de protocolos
  •      Firewall a nivel de protocolo
  •      Como herramienta postexplotation
  •      Lo que quiera tu imaginación creando plugins