Algunos estereotipos desmentidos sobre hackers

Siempre me he considerado un tipo normal, yo diría incluso vulgar. Nunca quise perforar los lóbulos de mis orejas para lucir un pendiente, ni tatué mi cuerpo con un símbolo sempiterno, ni siquiera me atreví nunca con un corte de pelo demasiado innovador. Hace tiempo que pasé de los treinta pero, desde que empecé a trabajar en informática hace ya muchos años, mi vestuario siempre ha sido "políticamente correcto" para una oficina: camisa, zapatos y pantalones de vestir, son cómodos y siempre mejores que un traje y la infame opresión de una corbata. Al llegar a la estación para coger el tren es fácil perderse entre la concurrencia de un andén.

Los hackers son adolescentes fanáticos de las computadoras tal vez con cierta onda punk, no trabajan y visten camisetas negras geeks.

In itinere aprovecho para terminar un capítulo de un manual técnico de Python que empecé hace unos días. Tempus Fugit. Si levanto la mirada veo un vagón lleno de títeres manejados por la sustancial necesidad de ir a trabajar, como ovejas dirigiéndose al redil, como bots sumisos a las órdenes de su servidor de comando y control. Si miro mi reflejo sobre el cristal del tren al atravesar la oscuridad de un túnel, sólo veo uno más. Ni el hip hop de Riot Propaganda retumbando en mis auriculares, ni las bochornosas noticias de corrupción de un periódico que alguien dejó en el asiento de atrás, ni eso consigue crisparme lo suficiente para apartarme de en lo que ahora estoy inmerso.

Los hackers usan herramientas digitales ilegales o legalmente ambiguas siempre persiguiendo fines políticos (hacktivismo).

Las 10 mejores técnicas de hacking web en el 2013

Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con las mejores técnicas de hacking web del año. Las votaciones a los nuevos y creativos métodos suelen ser en dos fases: la primera abierta a la Comunidad y la segunda en la que un (impresionante) jurado elige las mejores en base a los resultados de la primera. 

Ahora por fin, tenemos los ganadores de las mejores técnicas del 2013:

El Top 10

  1. Mario Heiderich – Mutation XSS
  2. Angelo Prado, Neal Harris, Yoel Gluck – BREACH
  3. Pixel Perfect Timing Attacks with HTML5
  4. Lucky 13 Attack
  5. Weaknesses in RC4
  6. Timur Yunusov and Alexey Osipov – XML Out of Band Data Retrieval
  7. Million Browser Botnet Video Briefing Slideshare
  8. Large Scale Detection of DOM based XSS
  9. Tor Hidden-Service Passive De-Cloaking
  10. HTML5 Hard Disk Filler™ API

Encontrado por primera vez un malware para Android basado en Tor

Los smartphones ya están presentes cuando usamos la banca online, el comercio electrónico o la computación en la nube. Sin embargo, con el crecimiento del uso de los smartphones, también es más fácil atacar a los propietarios de los negocios online y ésto se está traduciendo en un pico en el crecimiento de malware. Actualmente, Kaspersky Lab ha encontrado un nuevo troyano para Android basado en Tor.

Acerca de la red Tor:


Tor es una red de varias capas para mantener la privacidad que trabaja con sus propios dominios .onion. Protege la ubicación del servidor y la identidad del propietario. Debido a su sistema y a su arquitectura de capas, Tor parece más lento en rendimiento pero permite facilita alojar servidores maliciosos dentro de ella. Diversas acciones de botnets masivas podrían manipular toda la red.

El malware encontrado se llama "Backdoor.AndroidOS.Torec.a" y se basa en Orbot, una plataforma de código abierto del cliente Tor para dispositivos móviles Android. Este programa malicioso/troyano funciona con dominios Tor .onion. No está claro el número de dispositivos infectados por este malware hasta ahora.



El troyano utiliza la funcionalidad del cliente Orbot, pero no lo copia. Es decir, el atacante simplemente añade código en su aplicación.

Presentan Blackphone, posiblemente el smartphone más seguro del mundo

Por fin, hoy se ha presentado Blackphone en el Mobile World Congress de Barcelona que a partir de ahora podrá también reservarse.

Para quien no lo conozca todavía, "se trata de un 'smartphone' libre e independiente que proporciona tanto a individuos como a organizaciones la posibilidad de realizar y recibir llamadas seguras, intercambiar mensajes de texto seguros, transferir y almacenar ficheros, y videoconferencia sin comprometer la privacidad del usuario al usar el terminal".

Fue desarrollado por GeeksPhone, una empresa española de desarrollo de terminales abiertos, en colaboración con Silent Circle, la empresa americana de Phil Zimmermann (creador de PGP) especializada en la privacidad en las comunicaciones.

El Blackphone funciona con una modificación especial de Android llamada PrivateOS y cuenta con varias herramientas de privacidad preinstaladas, todas las cuales están plenamente habilitadas para, al menos, dos años de uso. Estas herramientas incluyen el conjunto de aplicaciones de Silent Circle, tales como 'Silent Phone', 'Silent Text' y 'Silent Contacts', búsquedas anónimas, navegación privada, VPN (Red virtual privada) de Disconnect.me y almacenamiento seguro de archivos en la nube de SpiderOak. Además, Blackphone dispone del 'Smart WiFi Manager' creado por Mike Kershaw, arquitecto jefe de SGP Technologies, así como de un potente control remoto de borrado y una herramienta de recuperación del dispositivo.

Comprometiendo sistemas Android (1ª parte)


Cada día más personas utilizan smartphones y tablets para navegar por Internet y gestionar sus cuentas online. Por este motivo, los cibercriminales centran los ataques hacia estos dispositivos, lo que supone la aparición de nuevas amenazas y malware.

Durante este año, el 98,09% de los ataques móviles fueron dirigidos al sistema operativo Android. Esto se debe a varios factores. En primer lugar, esta plataforma es muy popular ya que es el sistema operativo más utilizado en los smartphones, con una cuota de mercado del 70%. Además, la naturaleza de plataforma abierta del sistema operativo Android, la facilidad con la que se pueden crear las aplicaciones o la amplia variedad de mercados de aplicaciones (no oficiales) que existen influyen de manera significativa en la seguridad. Android le está ganando la partida al resto de sistemas operativos y ya es el software para móviles más utilizado en todo el mundo.

Por tanto, es un factor muy importante a tener en cuenta a la hora de securizar una red corporativa, o a la hora de planificar un ataque dirigido.

Los terminales inteligentes, pueden llegar a ser una puerta fácil, que nos abran las puertas a un objetivo bien securizado. En muchas redes y por descuido del usuario, suelen ser aparatos confiables... Ejemplo claro sería el móvil del jefe, conectado por wifi a la red , que da al traste con todas las políticas de IT, creerme que es más usual de lo que debiera. 

En esta serie de entradas vamos a ver como poder echar mano a este recurso....

Azazel: el nuevo rootkit de entorno de usuario basado en preload

Para mejorar el rendimiento de los sistemas, las librerías compartidas permiten que varios programas accedan a la misma dirección de una función en lugar de cargar varias instancias de una misma en memoria. Estas librerías además pueden vincularse dinámicamente en tiempo de ejecución en lugar de forma estática durante la compilación.

Por defecto, un programa en Linux buscará las librerías compartidas necesarias en:
- la ruta indicada en la variable de entorno LD_LIBRARY_PATH
- las rutas contenidas en el fichero de caché /etc/ld.so.cache
- las rutas por defecto para las librerías: /lib y luego /usr/lib

Sin embargo, existe otra variable LD_PRELOAD en la que podemos especificar las librerías compartidas que se deben cargar antes que todas las demás. Esta característica se usa normalmente para depuración, aunque muchos programas como tsocks y checkinstall también la utilizan. De hecho en muchos sistemas existe el fichero /etc/ld.so.preload que contiene las rutas de acceso a las bibliotecas compartidas para precargar globalmente.
Como resultado todo el espacio de usuario, salvo aplicaciones compiladas estáticamente (lo cual es poco frecuente), utilizará funciones precargadas que se "superponen" a las estándar.

Como podéis imaginar, esta técnica también puede utilizarse para el mal...


"Toda la tierra ha sido corrompida por medio de las obras que fueron enseñadas por Azazel: a él se le atribuye todo pecado."  - 1 Enoc 2:8

Con LD_PRELOAD se pueden precargar funciones como strcpy(), etc. y volcar la salida a ficheros para obtener la información más adelante, u otras cosas más divertidas como hookear ssh, gpg, o cualquier aplicación en la que el usuario introduzca datos sensibles, sólo hay que encontrar las llamadas adecuadas.

Kickstarter hackeado, hechos y conclusiones

Kickstarter (www.kickstarter.com) una de las webs de crowdfunding online está ahora en la lista de sitios web hackeados y se considera que ha sufrido una brecha de seguridad de criticidad alta. Los hackers obtuvieron acceso ilegal al sitio web y robaron información de los usuarios, incluyendo nombres de usuario, contraseñas cifradas, direcciones de correo electrónico y números de teléfono. Sin embargo, entre la información robada parece que no hay ningún dato de tarjetas de crédito.


La compañía reveló en una nota que los hackers tuvieron éxito en la obtención de acceso a dos cuentas. La compañía recomendó a los usuarios que cambiaran su contraseña de inmediato. Incluso la empresa dijo que si los usuarios estaban utilizando la misma contraseña para otros sitios web, debían cambiarla de inmediato para mantener la seguridad.

Las contraseñas robadas se cifran utilizando SHA-1, y la compañía avisó a los usuarios del cambio de contraseña con el propósito de login. Sin embargo, la compañía no almacena el número de tarjeta de crédito completo, aunque sí almacena la fecha de caducidad y los últimos cuatro dígitos de su tarjeta de crédito.

Merkel propone una red europea contra el espionaje de los EE.UU. y Gran Bretaña


La canciller alemana, Angela Merkel, propone la creación de una red de comunicaciones europea para ayudar a mejorar la protección de datos.
El principal objetivo sería evitar que los correos electrónicos y otros datos atravesaran las redes de comunicaciones de los Estados Unidos.


Varios documentos clasificados de la NSA revelaron que se están recogiendo grandes cantidades de datos de carácter personal a través de Internet en pro de una vigilancia desmedida llevada a cabo por los EE.UU. y Gran Bretaña. Snowden filtró que incluso los teléfonos móviles de los aliados de Estados Unidos, como Merkel, habían sido controlados por la Inteligencia Estadounidense. 

Y todo esto no ha hecho más que acrecentar ha impulsado gran preocupación en Europa.

Merkel dijo que Europa tenía que hacer más en el ámbito de la protección de datos y criticó también el hecho de que Facebook y Google utilizan las leyes de países con bajos niveles de protección de datos mientras que realizan negocios en países que ofrecen garantías más rigurosas.

"Sobre todo, vamos a hablar acerca de proveedores europeos que ofrecen seguridad para nuestros ciudadanos, por lo que uno no debería tener que enviar mensajes de correo electrónico u otra información a través del Atlántico", dijo.

"De hecho, se podría construir una red de comunicación dentro de Europa".

La vigilancia exhaustiva ya se realizó bajo los nazis y en la Alemania Oriental comunista, así que la privacidad personal es un tema muy sensible en  Alemania.

Un portavoz de la política exterior de los demócratas cristianos de Merkel, Philipp Missfelder, dijo recientemente que las revelaciones sobre el espionaje EE.UU. habían empujado a llevar las relaciones con Washington a su peor nivel desde la invasión liderada por Estados Unidos a Irak en 2003.

Un funcionario francés, citado por la agencia de noticias Reuters, ya ha adelantado que el gobierno de París planea tomar la iniciativa alemana.

Fuente: Data protection: Angela Merkel proposes Europe network

El malware en Android está mutando y desafiándonos

Android es ya una de las plataformas para smartphones más populares. Pero también tiene asociadas vulnerabilidades. Un conocido informe de Juniper en 2013 mostró que Android es el principal sistema operativo infectado con un 92% de sus aplicaciones vulnerables. Los expertos en seguridad están mostrando su preocupación por las amenazas emergentes contra Android y los smartphones. Debido al aumento del uso de los smartphones, muchos usuarios han cambiado sus hábitos de navegación sustituyendo el escritorio por smartphones para sus tareas diarias. Ya sea comprando en línea, usando la banca o visitando los medios de comunicación social, su primera preferencia son los smartphone en lugar de la computadora portátil o de escritorio.

Si hablamos de informes de seguridad sobre smartphones en 2014, a continuación, el informe de seguridad de Cisco establece que vale la pena considerar el malware móvil en los próximos meses. Sin embargo, en 2013, la cuota de malware móvil fue de sólo del 1,2%, aunque en el futuro, los hackers apuntarán
mucho más a los dispositivos móviles debido al cambio de tendencia de los usuarios y a la facilidad de acceso. Cisco dijo que algunos de los malwares móviles fueron diseñados para rastrear dispositivos smartphone, pero hay otros malwares diseñados para phishing likejacking y otros de ingeniería social.

Los usuarios de Android suponen el 71% de los destinatarios de malware, mientras que los usuarios del iPhone de Apple son un 14% frente al 14% del resto.




Umbrarum hic locus est: Los textos no perdidos del hacker II & Desmontando leyendas urbanas.

Estimados lectores de Hackplayers.com, les presento una segunda parte de la recopilación del “Libro de las sombras” que comencé con mi post anterior. A manera de recordatorio, son historias curiosas propiamente y monólogos que me encargué de recopilar en todos los lados que escuchaba a alguien decirlas o conversarlas. No tienen un orden cronológico pero no importa. Pueden referirse a una sola persona o varias. Ustedes decídanlo. La temática de las mismas, ya la saben señores hackplayers, no creo que no les haga click. Les dejo a su imaginación la interpretación de cada una. Y espero sobretodo les gusten.    
 
* Y cómo texto alternativo les dejo ahora un artículo de Panda Security sobre los mitos y leyendas urbanas que rodean a este, nuestro entorno de la seguridad informática. ¿Ustedes qué opinan? (La liga del texto íntegro al final de este post).
 
 Salacadula chalchicomula bibidi babidi bu...
 
1.- No trabajan mujeres en compañías de seguridad. Esta presunción también es frecuente, y falsa. La realidad en Panda Security es muy distinta: más del 30% son mujeres, muchas de ellas ocupan puestos en áreas técnicas y en dirección. Y tiende a crecer, ya que cada vez más son las féminas que se preparan adecuadamente para sectores como el de la seguridad informática.   
 
Área Metropolitana, México D.F, Marzo 2013.  
  
Otra vez enfrente de un monitor a media madrugada; es la luz que atraviesa mis pupilas, como la heroína a través de las venas de un adicto. Soy puramente dependiente de mi putrefacto vicio, de mis zombies, de mi prodigiosa botnet hecha con la morbosidad y la suciedad de la gente: un troyano que te infecta lo mismo si entras a ver porno, que si entras a visitar inocentemente lolshock dot com. ¿Cuántos individuos creen que entraron?... 

Esa sensación de poder tener el control, de deshacer el mundo a voluntad. Uno sabe que tiene madera de vil cuando descubre en cada barrera un desafío propio.

Echando un vistazo a un cajero automático manipulado

Las modificaciones en cajeros de sucursales bancarias para clonar tarjetas no son nada nuevo. Normalmente se manipula la zona de entrada de la tarjeta con un dispositivo adosado al mismo que permite la lectura de la banda magnética, lo que se denomina ATM skimming. Después, se intenta obtener el número PIN superponiendo un teclado falso o colocando una microcámara disimulada. Un fraude que mueve millones de euros al año en todo el mundo.

En el siguiente vídeo desarman un cajero automático manipulado y muestran precisamente un lector falso de tarjetas y una microcámara encastada en la parte superior de la pantalla. Poco o nada podrá hacer un usuario para evitar que clonen su tarjeta...
  

El día que contrataacamos contra el espionaje masivo

Hoy es el día en que los activistas de todo el mundo están organizando una manifestación masiva contra los programas de vigilancia de la NSA. Cientos de organizaciones se están uniendo a millones de usuarios de Internet para enviar a los legisladores y agentes de espionaje de Estados Unidos un mensaje fuerte y claro: dejar de espiarnos.

La protesta fue anunciada el 10 de enero de este año por el grupo activista Demand Progress, un día antes del aniversario de la muerte de Aaron Swartz. El 11 de febrero fue elegido con motivo del aniversario del triunfo de los activistas contra la Stop Online Piracy Act (SOPA) hace dos años.

Los organizadores de "The Day We Fight Back" están pidiendo a los participantes declarar su oposición a la vigilancia masiva en los medios sociales, exigir reformas a los legisladores en el Congreso y correr la voz utilizando todos los medios disponibles.

Los participantes, incluyendo Access, Demand Progress, la Electronic Frontier Foundation , Fight for the Future, Free Press, BoingBoing , Reddit , Mozilla, ThoughtWorks , y más, se unen a millones de usuarios de Internet para presionar a los legisladores y poner fin a la vigilancia masiva.

¿Quieres ayudar? Todavía puedes:

- Visita TheDayWeFightBack.org
- Regístrate para indicar que quieres participar y recibir actualizaciones.
- Regístrate para instalar widgets en sitios web animando a sus visitantes a luchar contra la vigilancia.
- Utiliza las herramientas de los medios sociales para anunciar tu participación.
- Desarrolla memes, herramientas, sitios web, y cualquier otra cosa para participar y animar a otros a hacer lo mismo.

#TheMask: la nueva y más compleja ciberamenaza es hispana (o vaya Careto que se les quedó a los de Kaspersky)

ozú mi arma, peazo malgüare!
El equipo de investigación de seguridad de Kaspersky ha revelado "una de las más avanzadas" amenazas de malware creadas hasta la fecha llamada Careto o "La máscara", nombre visto en uno de sus módulos junto con otros que parecen demostrar que ha sido programado por hispano-hablantes: además de "careto", en el código también se ha encontrado una clave de cifrado RC4 denominada "Caguen1aMar", una referencia al directorio "c:\Dev\CaretoPruebas3.0" y la cadena "Accept-Language: es".

Lo que hace especial al malware es que es extremadamente sofisticado, dicen que incluso más que Duqu, Flame o Gauss. Entre sus módulos podemos encontrar un backdoor muy avanzado, un rootkit, un bootkit, versiones de 32 y 64 bits de Windows, Mac OS X y Linux y posiblemente versiones para iPad/iPhone (Apple iOS) y Android.

Cuando está activo en un sistema, Careto puede interceptar el tráfico de red, las pulsaciones de teclado, las conversaciones de Skype, claves PGP, analizar el tráfico WiFi, obtener información de dispositivos Nokia, capturas de pantalla y supervisar todas las operaciones de archivo.

El malware recolecta una larga lista de documentos desde el sistema infectado, incluyendo claves de cifrado, configuraciones VPN, claves SSH y archivos RDP. Además de varias extensiones que son monitorizadas que podrían ser específicas de herramientas de cifrado militares o gubernamentales.

Vulnerabilidad en iOS 7 permite desactivar la función 'Buscar mi iPhone' sin contraseña


Recientemente ha salido a la luz una vulnerabilidad en iOS 7 que permite que cualquiera pueda desactivar la función 'Buscar mi iPhone' sin autorización.

Bradley Williams, que ha publicado un video en Youtube que muestra cómo hacerlo sin tener que introducir una contraseña, comenta "intenté contactar a Apple y nadie ha respondido". De hecho el bypass, que puede ser fácilmente realizado en cualquier versión de iOS 7.0.4 o superior, es bastante simple de llevar a cabo. Fijaros en el video:



Por suerte, para llegar a ésto es necesario que el dispositivo no esté bloqueado (ID Touch o código de acceso), pero esperamos que el tema se corrija en la próxima actualización de Apple iOS 7.1.

Desarrollan malware capaz de capturar gestos ¡bienvenidos a la era de los touchloggers!

Neal Hindocha y Nathan McCauley han desarrollado junto con sus colegas de Trustwave y Square respectivamente una prueba de concepto de malware capaz de capturar las acciones de los usuarios en los dispositivos de pantalla táctil, dijese sobretodo smartphones y tablets.

El código malicioso es funcional para dispositivos Android 4.1 y 4.3 rooteados, dispositivos Android sin rootear conectados al PC, e incluso dispositos iOS 7.0 con jailbreak.


Los prototipos de los llamados "touchloggers" son capaces de capturar todo lo que un usuario hace en un dispositivo con pantalla táctil y no sólo cuando un usuario toca la pantalla, también pueden tomar capturas de pantalla que pueden superponerse con la información de las coordenadas para averiguar exactamente lo que alguien está haciendo, al menos en teoría.

Aunque todavía esta vía de ataque está "en pañales" y parece inviable,
sin duda se trata de un aviso para navegantes, una llamada de atención para empezar a desarrollar las defensas oportunas antes de que los desarrolladores de malware se adhieran a esta idea. Ni que decir tiene lo "jugosos" que son los terminales punto de venta en los entornos comerciales y que cada vez más y más se apuesta por la tecnología de pantalla táctil, vease Windows 8 por ejemplo.

A finales de este mes en la conferencia RSA en EE.UU., Neal y Nathan presentarán esta nueva amenaza y esbozarán algunas medidas para protegerse contra posibles ataques.

Fuente: Put down that iPad! Snoopware RECORDS your EVERY gesture, TAP on iOS, Android

H-Worm de Houdini, un RAT con un server en VBScript

Recientemente ha caído en mis manos una muestra de un bot en VBS (Visual Basic Script), concretamente un server de un RAT bautizado como mugen.vbs, H-Worm o Houdini, este último nombre en honor a su desarrollador, se cree que de Argelia y creador de la saga njRAT.

Se trata de una sencilla y pequeña obra de arte que ya se distribuyó en algunos foros underground con un panel de control escrito en Delphi. Su método de propagación es un poco putada "molesto" ya que oculta las carpetas existentes de los dispositivos USB conectados y crea accesos directos con el mismo nombre para a su vez ejecutarlo.

La muestra que me facilitaron sólo tenía una capa de ofuscación, si bien lo normal es trabajar con un vbe, o que se utilicen varias conversiones como por ejemplo base64 u otros crypters, para dificultar la obtención del código fuente y sobretodo su detección por parte de motores de AV. De hecho el script analizado ya tenía un alto índice de detección (22/51).


Espiando a Julia a través de su webcam

En Holanda el gobierno ha aconsejado poner una pegatina en las webcams cuando no se estén utilizando. No es que ayude mucho, pero al menos es algo y pone de manifiesto el riesgo al que está expuesta la privacidad de miles de usuarios, quizás millones.

Por ello hemos rescatado un cortometraje que seguro te hará pensar dos veces (o tres) y te animará a tapar la webcam e incluso hasta no usarla. Creado por Production ZBros, Webcam es una escalofriante
historia de sólo siete minutos sobre Julia, una chica joven que es observada de manera obsesiva por alguien que ha hackeado su webcam, un aparentemente discreto y práctico dispositivo de conexión que todo lo ve.

En el vídeo inicialmente no está claro que estamos siguiendo Julia a través de los ojos del hacker, hasta que un pequeño icono de su rostro momentáneamente destella mientras se está arreglando en el baño. Lo que comienza como el seguimiento de la rutina diaria de Julia y sus comportamientos - rituales parlantes en Skype, estudiando, viendo la televisión, navegando por las redes sociales - poco a poco se convierte en transgresiones voyeuristas más siniestras con su baile en ropa interior, durmiendo e incluso metiéndose en la cama con su novio.

La tensión crece a medida que el hacker se involucra cada vez más en la vida de Julia, enviándola un regalo anónimo y comunicándose con ella a través de los sonidos y luces del ordenador, hasta que la perturbadora escena final...