Vulnerabilidad format string en sudo 1.8.0 - 1.8.3p1

Si hace poco salía a la luz un fallo en el control de acceso a la memoria del kernel de Linux, ahora no menos sorprendente es la publicación de una vulnerabilidad de tipo format string en las versiones de sudo de la 1.8.0 a la 1.8.3p1, ambas inclusive.

Concretamente el fallo está en la función sudo_debug() introducida para el soporte de depuración en el desarrollo de políticas o en el logging de la E/S de algunos plugins:

src/sudo.c:

void
sudo_debug(int level, const char *fmt, ...)
{
va_list ap;
char *fmt2;

if (level > debug_level)
return;

/* Backet fmt with program name and a newline to make it a single
write */
easprintf(&fmt2, "%s: %s\n", getprogname(), fmt);
va_start(ap, fmt);
vfprintf(stderr, fmt2, ap);
va_end(ap);
efree(fmt2);
}

Mozilla CTF 2012: colección de solucionarios

El pasado 25 de enero y durante 24 horas, se llevó a cabo el CTF de la Comunidad de Mozilla. Su objetivo, en primer lugar, era mostrar a la gente con menos experiencia que los CTFs son divertidos y la seguridad no es algo ultra secreto que nunca van a entender. Y en segundo lugar, también querían animar a las personas con experiencia en seguridad en Mozilla y concienciarlos para su programa de recompensas de bugs.

Temas como Exploitation, Cracking, Crypto, Web Security (entre otros) se vieron durante un día intenso en el que al final ganó el equipo Leet More.

Gracias sobretodo a Deva, os presentamos un recopilario de writeups del CTF:

1 - SecureFileLock (250) (online)
http://eindbazen.net/?p=496
http://leetmore.ctf.su/wp/awesomecorp-secured-ranges-300/
http://leetmore.ctf.su/wp/mozillactf-2012-securefilelock-250-writeup/
http://blog.squareroots.de/en/2012/01/mozillactf-write-up-securefilelock-250/
http://blog.yancomm.net/2012/01/mozilla-ctf-2012-securefilelock.html

Script para identificar hashes de contraseñas

Seguro que más de una vez, en una auditoría, en un CTF o en cualquier prueba o test de intrusión, habéis obtenido un hash que no habéis podido identificar fácilmente antes de intentar crackearlo.

Hash-identifier es un script en Python de Zion3R de Blackploit que nos ayudará a identificar los diferentes tipos de hashes usados para cifrar datos y especialmente contraseñas.

La web del proyecto la podremos encontrar en https://code.google.com/p/hash-identifier y los formatos soportados son los siguientes:

Vulnerabilidad XSS en Google, Orange, Forbes, MySpace, MTV y Ferrari (y en blogger??)

Ucha Gobejishvili, también conocido como longrifle0x, ha encontrado una vulnerabilidad de Cross Site Scripting en Google Apps. Aunque el fallo fue reportado el 21 de enero a los expertos de seguridad de Google y el riesgo se considera bajo, la vulnerabilidad todavía se puede explotar y podría permitir a un atacante robar cookies e incluso secuestrar cuentas.

La prueba de concepto es muy sencilla:

- Abre https://www.google.com/a/cpanel/premier/new3?hl=en y haz clic en 'Find Domain'.
- Pon el siguiente código: <1frame src="javascript:alert('XSS');">


Además, longrifle0x ha reportado recientemente otros XSS en sitios tan conocidos como los de Orange, Forbes, Myspace, MTV y Ferrari: http://xssed.com/archive/author=longrifle0x/special=1/

El futuro de compartir archivos tras el cierre de MegaUpload

Tras el rápido cierre de Megaupload hemos podido ver como ha ido afectando estos días al mundo de Internet dicho cierre, desde Portal Programas han creado una interesante infografía que quiero compartir con vosotros.

Gracias a ella, podemos tener una rápida visión en cuanto a datos de la empresa, opiniones varias y como no las posibles "alternativas" tras este duro suceso, pero más vale una imagen que mil palabras...

Escalado de privilegios en Linux mediante escritura en memoria (CVE-2012-0056)

El mismísimo Linus Torvalds publicó este fin de semana una actualización de kernel que corregía un fallo en el control de acceso a la memoria. Poco después y como muchos ya conocéis, han aparecido exploits como Mempodipper que se aprovechan de este error para obtener privilegios de root.

Desde la versión 2.6.39 el dump de cada proceso puede verse en /proc/pid/mem e incluso ser escrito. Antes de esa versión, un #ifdef en el código prevenía la escritura, pero decidió quitarse debido a que se establecieron otros controles para asegurar que sólo los procesos con los permisos correctos pudieran escribir en la memoria.
Sin embargo, dichos controles resultan ser insuficientes y pueden evadirse fácilmente.

Después de la publicación del artículo de Nerdling Sapple, otros coders han usado esta información para crear otros exploits y ya podemos encontrar varios funcionales en Internet. Estos exploits manipulan la memoria virtual de un programa con el setuid para root activado y consiguen que un usuario regular del sistema pueda elevar privilegios. Incluso Jay Freeman, conocido como Saurik en la comunidad de jailbreaking para iPhone, ha desarrollado una versión para Android.

Distribuciones como Ubuntu ya han facilitado parche y otras como Red Hat están todavía preparándolo y han publicado algunas contramedidas para esta vulnerabilidad, la CVE-2012-0056.

Zone-h hackeado

No es la primera vez pero siempre llama la atención que Zone-h, el mayor mirror de web defacements, sea hackeado. Más aún cuando es un sitio bastante fortificado dada su naturaleza, ya que recibe diariamente miles de visitas y reportes de hackers. De hecho, los 6 hackers que han desfigurado el sitio esta madrugada muestran, además de su mensaje de queja, la versión del kernel del servidor comprometido, un kernel actualizado del 2011.


Esperamos más información ya que, en anteriores ocasiones, incluso el propio Zone-h ha facilitado detalles de la intrusión :)

Recomendaciones: Seguridad Informatica "A lo Jabali ..."

Desde hace tiempo tenía pendiente hablaros de Seguridad Informatica "A lo Jabali …" que, más que una deuda, es una recomendación objetiva, y es que el blog de Ángel Villaveiran fue para mi una de las sorpresas más agradables del año pasado.

Como os comento, nació en agosto del 2011, su nombre hace honor a uno de los “bichos” con más mala leche que rondan por la naturaleza envidiable de Asturias y el objetivo principal de este blog es que sea una referencia de seguridad informática orientada a usuarios sin demasiados conocimientos técnicos; aunque ya os digo que es un blog recomendado para todos los públicos.

El resultado: entradas desenfadadas con grandes dosis de humor y geniales fotomontajes, con las que además aprenderemos muchas cosas de seguridad informática con un lenguaje sencillo y directo.

Como dice Ángel: Seguridad a lo Jabalí para Todos!!!!

De 0x90 a 0x4c454554, un viaje dentro de la explotación

Hoy vamos a rescatar una entrada un poco antigua pero genial para todos aquellos que quieren aprender a desarrollar exploits.

'From 0x90 to 0x4c454554, a journey into exploitation' contiene una lista de recursos ordenados que describen el camino que se ha de seguir para llegar a ser un auténtico ninja en este arte, una estructura jerárquica en la que habrá que ir entendiendo y profundizando en cada sección antes de saltar a la siguiente.

Además se incluyen temas de aprendizaje paralelos para evitar la monotonía.

Parte 1: Programación

Aprendizaje paralelo # 1: (completa esta sección antes de llegar a la lectura del libro "Hacking Art of exploitation")
Aprender a programar es fundamental para escribir exploits. Es imprescindible dominar algún lenguaje de scripting. A continuación se enumeran algunos de los lenguajes de programación más populares y que se consideran más útiles.

Wake on LAN Explorer: explota WoL en la red

WOL-E (Wake on LAN Explorer) es una suite de herramientas (scripts en Python) que nos ayudará a explotar algunas características Wake-on-LAN en una red. Recordemos que actualmente muchos dispositivos Apple vienen con WoL activado por defecto.

Es capaz de:

- Realizar ataques de fuerza bruta para obtener la dirección MAC de los clientes con wake up
- Esnifar los intentos WoL en la red y guardarlos en disco
- Esnifar las contraseñas WoL en la red y guardarlas en disco
- Levantar los clientes (después del sniffing)
- Escanear la red en busca de dispositivos Apple que tienen activado WoL
- Enviar peticiones de WoL masivamente a todos los clientes de Apple detectados

Tutoriales de Backtrack 5

Mucha gente coincide en que Backtrack 5 es la mejor distribución para tests de intrusión. Tanto si habéis trabajado ya con ella como si no, os recomendamos echar un vistazo a alguno de los numerosos tutoriales del blog Ethical Hacking:

• Nessus With Metasploit Tutorial- Backtrack 5 Video Tutorial
• How to Install Damn Vulnerable Web App in Linux Backtrack 5 R1
• How To Install Nessus In Backtrack 5 R1 Tutorial
• Buffer Overflow Attack Tutorial - Backtrack 5
• Armitage and Metasploit Video Tutorial – Hacking Training
• Metagoofil Backtrack 5 Tutorial-Metadata Analyzer Information Gathering Tool
• Social Engineering toolkit Tutorial-Backtrack 5
• DNS Spoofing- Ettercap Backtrack5 Tutorial

Estrenamos dominio hackplayers.com

Hola amigos, después de unirnos ayer al blackout en protesta contra la SOPA, la PIPA y nuestra ley SINDE, hoy volvemos a habilitar nuestro blog con una novedad: recientemente adquirimos el dominio hackplayers.com y desde hoy podéis acceder también al blog a través de la url http://www.hackplayers.com.

De forma similar a lo que le ocurrió a Alejandro y su Spamloco.com, han liberado nuestro dominio .com y hemos podido comprarlo a un precio razonable. De esta manera nuestro sitio será un poquito más accesible, ya que todo el mundo es propenso a utilizar los .com. Ya le pasó a Chema en uno de sus posts (nos faltan palabras para agradecerle todas sus referencias) y a mucha gente en las votaciones de los últimos premios Bitácoras, donde hackplayers.com se listó también en el puesto 26.

Sea como fuere, consideramos que con el dominio hackplayers.com damos un pasito más en nuestro camino y afán por compartir con vosotros y seguir aprendiendo todo lo relacionado con la in-seguridad informática y el hacking ético.

Gracias a todos por estar ahí.

Cómo abrir un candado probando menos de 100 combinaciones

Los candados baratos muchas veces son susceptibles a ataques directos mecánicos, tales como el uso de una cuña para liberar el grillete, sin necesidad de averiguar ninguna combinación para la apertura.

Los primeros candados de combinación hechos por Master Lock podían ser abiertos tirando de la argolla de la cerradura y girando la rueda hasta su detención, de forma que podíamos ir obteniendo cada vez el número correspondiente de la combinación.

Los modelos más recientes de candados con combinaciones de 40 posiciones tienen una debilidad mecánica que puede permitir la obtención del último número de la combinación, y los dos primeros números tienen una relación matemática con el último número. Esta debilidad reduce el número de combinaciones posibles de 64.000 a apenas 100, permitiendo la apertura de este tipo de candados en muy poco tiempo.

La siguiente infografía de Mark Edward Campos es de hace casi dos años, pero recoge y resume perfectamente las instrucciones para aprovecharse de esta debilidad:

Un fallo en Internet Explorer permite ataques de XSS

Según informa Imperva en su blog, un bug en IE puede permitir a un atacante realizar ataques de tipo XSS no persistentes (reflected).

El fallo consiste fundamentalmente en que el navegador de Microsoft no codifica correctamente las dobles comillas (") dentro de una dirección o URI de una query. Algunos sitios web pueden asumir que la URI de la solicitud está correctamente codificada por el navegador e incrustada "tal cual" en la respuesta HTML. Sin embargo, si las comillas dobles no están debidamente codificadas por el IE, se podría realizar un ataque XSS que afectara a los usuarios de IE. Este comportamiento no cumple el RFC 3986 que si implementan otros navegadores como Chrome o Firefox.

Recopilatorio de video tutoriales de hacking del 2011

Os dejamos un recopilatorio de vídeos de hacking que seguro que serán de vuestro interés:

23 Best Hacking Video Tutorials Complete Collection 2011
English | 2011| AVI | 460 MB

A premium video course which helo you alot in exploiting the network
A Penetration Attack Reconstructed
Bluesnarfing a Nokia 6310i hand set
Breaking WEP in 10 minutes
BufferOverflowPart2-Shellcoding ByIDEspinner
BufferOverflowPart3ExploitsByIDEspinner

Recopilatorio de libros de programación

Gracias a Michael Kohl (aka citizen428) queríamos compartir también con vosotros un excelente recopilatorio de más de 50 libros de programación on-line gratuitos.

Espero que los disfrutéis sea cual sea vuestro lenguaje de programación favorito y, por favor, no dudéis en comentar este post para añadir nuevos enlaces a otras obras que quizás conozcáis y sean interesantes.

Perl:
Beginning Perl
Higher-Order Perl
Impatient Perl
Modern Perl

Python:
Dive Into Python
Dive Into Python 3
How to Think Like a Computer Scientist – Learning with Python
Invent Your Own Computer Games with Python
Learn Python The Hard Way
Non-Programmer’s Tutorial for Python 3

Análisis de shellcodes con Shellcode2Exe

Convertir un shellcode en binario o ejecutable es una técnica de análisis que nos permitirá usar nuestro debugger favorito para analizar el código en tiempo real.

El siguiente vídeo de dzzie en SecurityTube describe los formatos de entrada y salida soportados por la herramienta Shellcode2Exe:

1) %u urlencoded IE shellcode payloads
2) \x style C strings
3) raw hex strings with no spaces ex. 9090EB15

Y si lo prefieres puedes también utilizar shellcode2exe.py, un script en python de Mario Vilas, o ConvertShellcode de Lenny Zeltser.

Próximos estrenos en tu legislación

El despropósito de la ley Sinde-Wert puede hacer que el próximo mes de marzo pueda ser un antes y un después para la libertad de muchos. Una comisión administrativa, en concreto la Sección Segunda de la Comisión de Propiedad Intelectual, podrá decidir el cierre de una página web sin que ningún juez intervenga de forma efectiva en el proceso. El Gobierno, presionado por unos Estados Unidos que quieren enfriar su SOPA, aprobó el nuevo reglamento el pasado 30 diciembre y la ley entrara en vigor.

Sea como fuere, seremos testigos directos de todos los acontecimientos que girarán en torno a esta polémica ley y la de la "vecina" norteamericana. De momento, las operadoras se niegan hacerse cargo de ningún coste derivado de una decisión del Organismo y se prevén protestas de grandes empresas de Internet que amenazan con un apagón digital coordinado.

Segunda Copa Hacker de Facebook

Facebook ha anunciado la apertura del periodo de inscripción para participar en la segunda edición de la 'Hacker Cup', donde los participantes tendrán la oportunidad de ser juzgados por su "precisión y velocidad a la hora de resolver problemas algorítmicos y así avanzar hasta un máximo de cinco rondas de distintos retos de programación".

La Hacker Cup 2012 consta de diversas pruebas que irán eliminando a los participantes reduciendo su número sucesivamente a grupos de 500, 100 y 25 "supervivientes". Los 25 mejores 'hackers' se trasladarán hasta la sede de Facebook en California para disputar la ronda final.

El ganador recibirá 5.000 dólares y el título de 'campeón mundial de hackers'. El segundo clasificado se embolsará 2.000 dólares, el tercero tendrá una compensación de 1.000 dólares y del 4º al 25º recibirán 100 dólares. Además, los 100 primeros clasificados conseguirán una camiseta del evento.

La inscripción para apuntarse a este concurso está abierta desde el 4 de diciembre y la primera fase tendrá lugar el 20 de enero (4:00 PM PT), donde los participantes deberán resolver en 72 horas tres problemas algorítmicos. Si pasan todas las rondas, la gran final será el 17 de marzo.

Desde Facebook han explicado que entienden que "el hacking es fundamental" ya que puede ayudar a construir y mejorar aspectos de la red social. No es la primera vez que una compañía busca talento entre los 'hackers', que en muchas ocasiones permiten encontrar fallos de seguridad o son conscientes de las vulnerabilidades más importantes a corregir en sus sistema.

Más información y detalles en:

-Blog de Facebook.
-Hacker Cup

Hackers indios podrían filtrar el código fuente de Symantec Norton Antivirus

El grupo de hackers indio conocido como "Los Señores de Dharmaraja" puede haberse hecho con el código fuente de Symantec Norton AntiVirus (NAV).

Al parecer este grupo ha conseguido infiltrarse en los servidores de la MEA (Indian Ministry of External Affairs), donde se encontraba documentación sobre el Programa Espía Indio del TANCS (TActical Network for Cellular Surveillance) y del CBI, incluido el código fuente de empresas de software que habían firmado acuerdos con la Inteligencia Militar India.

En un principio, los hackers avisaron subiendo a Pastebin una lista con los ficheros que obtuvieron con el título "Listado completo del código fuente de NAV que está por venir...", después publicaron un documento técnico interno de Symantec y hace tan sólo unas horas han subido algunos ficheros .cpp para analizar.

Esto empieza a ponerse muy interesante... Más info y publicaciones en la página de G+ de Yama Tough!

rrhunter: script en Perl para "cazar" rogue routers en IPv6

Una de las cosas que hacen especiales a IPv6 es el "descubrimiento de vecinos" o “Neighbor discovery”, tal y como se detalla en la RFC4861. Cuando un host que soporta IPv6 se conecta a una red normalmente espera un paquete de anuncio del router, pero también puede generar algunos paquetes de solicitud para descubrir más rápidamente los routers IPv6 que estén conectados a su misma red. Una vez recibido, el router responde y envía la información necesaria al host para que pueda configurar su pila IPv6. Uno de los datos es el prefijo de red (por lo general un /64), que se utiliza para generar las direcciones IPv6. Dichos anuncios o mensajes de solicitud se envían a la dirección especial "ff02:: 1", que representa a todos los hosts conectados en la red.

Es aquí donde rrhunter nos ayudará como una interesante prueba de concepto. Se trata de un script en Perl que transmite paquetes RS y escucha las respuestas de los routers. Si la dirección IP del router cambia o no es la esperada, es posible la presencia de un router falso o rogue.

Manual de desobediencia a la Ley Sinde

Recientemente recibimos un tweet del Proyecto Goliath para la redifusión de un manual para saltarse la ley Sinde.

Se trata de el “Manual de desobediencia a la Ley Sinde” desarrollado por Hacktivistas y editado por Traficantes de Sueños, un sencillo pero instructivo documento cuyo objetivo es demostrar, desde un punto de vista práctico, lo ineficiente que será la ley cuando se aplique a partir del próximo mes de marzo.

En este manual, usuarios y webmasters encontrarán los métodos más útiles para sortear las barreras de la censura:

Libro: The Database Hacker’s Handbook: Defending Database Servers

Empezamos el año con las mismas ganas de aprender y recomendando una lectura interesante. En esta ocasión, The Database Hacker’s Handbook: Defending Database Servers es un libro que nos ayudará a entender y destripar todos los secretos de las bases de datos.

Tenemos que tener en cuenta que las bases de datos son el centro neurálgico de nuestra economía. Cada pieza de nuestra información personal se almacena en ellas: registros médicos, cuentas bancarias, historiales de trabajo, pensiones, matriculaciones de automóviles, incluso las calificaciones de nuestros hijos y los alimentos qué tenemos que comprar. Los ataques a las bases de datos son por lo tanto potencialmente peligrosos y paralizantes.