31 dic 2011

Las amenazas que protagonizarán 2012

Se mantendrá la tendencia y el malware crecerá de forma dramática el nuevo año. El lucro fácil, el ciberespionaje y el hacktivismo, principales “argumentos" de los ciberdelincuentes.

Malware para tablets y smartphones, ataques “a medida" contra objetivos específicos, phising y troyanos bancarios constituyen las principales amenazas de la seguridad en 2012. La Eurocopa de Polonia y Ucrania, los Juegos Olímpicos de Londres y las elecciones presidenciales en Estados Unidos serán algunos de los hitos que los estafadores online intentarán utilizar para embaucar a sus víctimas. Por supuesto, sin olvidar el papel que pueden jugarán las redes sociales como difusoras de malware. Además el malware podría dar el salto a televisores y consolas con conexión a Internet

Smartphones y tabletsLos dispositivos con S.O. Android dominan el mercado de los smartphones y parece que cuentan con el beneplácito de la gran mayoría de los consumidores. Sin embargo, esta aceptación masiva por parte del usuario también está marcando el camino a seguir a los autores del malware. Durante 2012 se intensificarán los ataques contra esta plataforma con el objetivo de asegurar la mayor difusión posible a sus códigos maliciosos.

Las aplicaciones (las populares “apps") constituyen la mejor forma de expandir el código malicioso, descargadas tanto del mercado oficial de Google como de otros mercados alternativos. Para infectar el terminal sólo se necesita que la víctima la descargue e instale en su terminal. Una vez dado este paso, el malware puede dañar el dispositivo de muchas formas: robar los datos personales almacenados y enviarlos a dispositivos remotos, interceptar conversaciones o suscribirlos a costosos servicios de mensajería Premium, por ejemplo.

Ahora las aplicaciones maliciosas se instalan a través de los propios usuarios, después de que estos hayan sido engañados o convencidos mediante técnicas de ingeniería social. Sin embargo, los dispositivos móviles ofrecen muchas posibilidades técnicas y es solo cuestión de tiempo que nos enfrentemos a ataques automatizados donde las infecciones no dependan activamente del usuario. Desafortunadamente y teniendo en cuenta el ritmo de evolución del malware en esta plataforma, es fácil que en 2012 asistamos a estos primeros ataques automatizados, probablemente inspirados en los ataques drive-by que afectan a los ordenadores personales y que provocan la infección sin la participación de la víctima, después de visitar cualquier web adulterada.

La velocidad a la que se desarrolla el nuevo malware contrasta con las pocas actualizaciones disponibles para Android. Ya se ha mencionado en numerosas ocasiones que Android podría convertirse en el nuevo Microsoft, en cuanto a diana de las nuevas amenazas, y parece que lleva camino de conseguirlo.

Ataques dirigidos: Stuxnet y DuQu como precedentesEl capítulo de los ataques dirigidos tendría que incluir a aquellos que utilizan los mencionados teléfonos inteligentes en un contexto profesional, pues resultan especialmente atractivos para los ciberdelincuentes en busca de información apetitosa y datos y aquí los tienen en cantidad y calidad.

En cualquier caso, en 2011 vio la luz un particular spyware que causó un gran revuelo por estar específicamente diseñado para atacar a las empresas: DuQu. A pesar de que para muchos ha sido considerado como el sucesor de Stuxnet, esta herramienta de espionaje no está diseñada para el sabotaje tal cual lo entendemos. Sin embargo, DuQu es capaz de espiar a cualquier empresa, por lo que funciona más como un ladrón de datos que como una herramienta cuyo fin sea destruir un objetivo concreto. Su propósito sería recopilar tanta información como fuera posible para un posterior ataque como el protagonizado por Stuxnet.

Sin embargo, resulta alarmante comprobar que hay indicios en su código fuente que sugieren que pudo ser escrito por los creadores de Stuxnet. Las motivaciones políticas y las reivindicaciones de cualquier tipo (y ya no sólo el interés lucrativo) han entrado en escena cuando hablamos de ciberseguridad. Y el hecho de que los atacantes puedan conseguir el control de infraestructuras críticas ha dejado de ser una ficción como quedó de manifiesto con el ataque de Stuxnet en la planta nuclear iraní de Buschehr.

Los hitos del nuevo año2012 se inicia con importantes eventos en el horizonte (entre otros, la Eurocopa de Fútbol en Polonia y Ucrania, los Juegos Olímpicos de Londres o las elecciones presidenciales en Estados Unidos) y estos sin duda darán contenido a muchos de los intentos de estafa que se producirán el próximo año:

Las amenazas digitales a las que se enfrentan los eventos deportivos mencionados podrán incluir:

-Oleadas de spam y manipulación de motores de búsqueda online para la venta de entradas y todo tipo de elementos falsificados relacionados con los eventos señalados

-Diseño de páginas falsas de venta online de entradas a los diferentes eventos deportivos

-Ataques contra los sitios oficiales de los Juegos Olímpicos y/o Eurocopa como potenciales formas de protesta

-Ataques contra las redes inalámbricas WLAN diseñadas para los visitantes que acudan a estos eventos

La lista de ataques potenciales puede ser más larga pues no hay que olvidar los ataques contra infraestructura, bien como intento de sabotaje o como elemento de chantaje.

En el caso de las elecciones presidenciales de los Estados Unidos los atacantes pueden recurrir a la ingeniería social con promesas de videos escandalosos o fotografías que afecten a los candidatos para conducir a los internautas a sitios web infectados con código malicioso. Se trata de trucos tan habituales como puedan ser las oleadas de spam cuyo contenido tenga alguna conexión con el asunto electoral y sirva para conducir a sus víctimas potenciales a todo tipo de páginas capaces de provocar una infección en el PC de sus víctimas.

Phishing y troyanos bancariosSi hablamos de phishing, los usuarios podrían tener que enfrentarse con oleadas de ataques altamente sofisticados y a menudo con un target específico. No podemos olvidar el ataque sufrido por la red de Sony PlayStation en el que se comprometieron los datos de cerca de 77 millones de clientes. La información robada entonces podría ser usada ahora en correos electrónicos que tuvieran como fin estafar a sus destinatarios.

Aunque hemos visto que no solo existen motivaciones económicas, el dinero fácil seguirá siendo el principal argumento de las actividades ilícitas delos ciberdelincuentes y una de las formas más populares de conseguirlo durante este 2011 fueron los troyanos bancarios. Todo indica que en 2012 nada hará cambiar esta tendencia, si no, más bien todo lo contrario si atendemos al número creciente de usuarios de banca online (en España, el 46,5% de los internautas#). Los troyanos bancarios constituyen pues una amenaza que debe ser tomada muy en serio, especialmente por los usuarios particulares, ya que un ataque exitoso a menudo supone una pérdida financiera significativa para la víctima.

SmartTVs y consolasAl margen de ordenadores y smartphones, que constituyen las grandes plataformas de conexión a Internet, otros equipos empiezan a conectarse ya de forma habitual desde el salón de cualquier hogar. Nos referimos a televisores y consolas que en principio estaban fuera del campo de acción de los cibercliminales pero que a medida que se convierten en dispositivos conectados pueden empezar a estar en peligro, sobre todo si tenemos en cuenta que por regla general están desprotegidos y carecen de actualizaciones frecuentes.

“2012 estará protagonizado por ataques dirigidos contra todo tipo de organizaciones, con independencia de su tamaño. Las empresas pequeñas a menudo no están conveniente protegidas lo que las convierte en objetivos más sencillos y vulnerables. Los grandes eventos como los juegos Olímpicos o las elecciones presidenciales darán contenido a muchas de la amenazas. Los smartphones con sistema operativo Android se convertirán en centro de muchos ataques a medida. Y si en 2011 el número de amenazas creció de forma dramática, la tendencia se mantendrá en 2012. El malware se consolidará como la mejor arma de los cibercriminales para conseguir dinero, pero también como herramienta de ciberespionaje y hacktivismo".

Fuente: G Data Software AGIlustración: G Data

30 dic 2011

0day en sistema operativo airos

Hola!

Muy buenas a todos/as!

Es MUY conocida la marca Ubiquity como producto Wireless. Su bajo coste, además de lo fácil, rápido y la gran cantidad de funcionalidades que tienen convierte este tipo de dispositivos en una gran ayuda en el montaje de infraestructuras Wireless.

El sistema operativo que administra estos dispositivos es airos, y no está exento a fallos de seguridad.

El fallo reside en que poder visitar la página de administración llamando directamente al admin.cgi del dispositivo.

Un PoC puede este mismo, nos encontramos con la pantalla de login:

En la URL solo tendríamos que invocar el archivo admin.cgi/sd.css para acceder a la parte de administración:

Este sería el resultado de poder pedir la petición al archivo de admin.CGI

Este fallo es bastante grande ya que permite administrar el dispositivo sin tener credenciales sobre el mismo.

Además gracias a Shodan es posible encontrar dispositivos con airos

http://www.shodanhq.com/search?q=airos

Es importante actualizar los dispositivos a última versión para corregir este fallo

Saludos cordiales

29 dic 2011

Primer aniversario de Flu Project: Nos hemos hecho mayores...

Hoy, hace un año, comenzamos el camino y la aventura de este proyecto. Muchos pensábamos que duraría poco y que pronto caería en el olvido, eso sí la web y el dominio seguirían existiendo durante 1 año ya que esa era nuestra inversión. La idea era mostrar al mundo como hacer un malware básico, en su versión 0.1, el cual simplemente fuera un juguete con el que echar unas risas. La historia pronto cambió con el e-mail de David Moreno (@4v4vt4r) pidiéndonos que se lo cediésemos para probarlo para Anti-Depredadores. Esto fue un golpe de moral positivo para crear Flu-AD y para decidirnos de que el proyecto podía seguir adelante. Apenas comenzábamos 2011 y no había mejor manera. En febrero, fuimos al lugar dónde, al menos a mi, nos gustaba estar y exponer, nuestra primera ponencia como Flu Project fue en la Universidad de dónde salimos, Universidad Rey Juan Carlos. Las jornadas eran las JITICE 2011, no era el mejor escaparate, ni el mejor de los temas, ya que había que exponer sobre innovacion en TIC educativas. Nosotros nos dijimos "Oye, Flu es un troyano educativo... y también sirve para gestionar máquinas de manera remota, no?", así que echamos paper, y para allá que fuimos (eso sí, la Universidad siempre hace caja $).

Después, hubo un tiempo de parón, nos centramos en el blog y en darle visibilidad, escribir sobre temas interesantes o al menos intentarlo, conseguir colaboradores que hagan esto como nosotros, por amor al arte, y en definitiva hacer que Flu fuera un poco más conocido, tanto la parte del malware como el blog en general. En marzo conseguimos algo que no creímos posible, la inclusión de nuestras camisetas, para ayudarnos a financiar el proyecto, en la Rooted CON. Este hecho fue algo magnífico, apenas nadie nos conocía y estaríamos presentes en los puestos de la Rooted.

Flu siguió su evolución, este año le hemos cerrado con Flu entre la versión 0.4b y 0.4.1b, esperemos que el próximo año siga su evolución y si el trabajo y el tiempo nos lo permite consigamos mejorarle y añadirle nuevas funcionalidades.

Llegando al verano la cosa se nos puso muy interesante, tras echar el paper contando un poco lo que nos ocurrió en Colombia con Anti-Depredadores y el caso en el que Flu participó, la No cON Name nos abrió las puertas a un gran evento. Flu Project se colaba en una de las CON referentes a nivel nacional, y queríamos hacerlo bien, Juanan trabajó muy duro para que aquello saliese bien, y señores... lo consiguió, todo lo que Juanan se propone... sale! Pero un poco antes de la Nocon no hay que olvidar del día en el que Flu Project se hizo mayor, el día en el que sales en meneame y en barrapunto. El día en el que Miguel Ángel debutaba con su artículo sobre "Introducción al desarrollo móvil en Android", el día en el que conseguimos 9959 visitas (record nuestro, y creo que será difícil de superar en 2012). También agradecer a Miguel Ángel por el desarrollo de LaW (Liberad a WiFi), él siempre promete que la evolucionará, y desde aquí le deseamos feliz navidad y presionamos para que mejore la aplicación :P

La Nocon ayudó a dar a conocer el proyecto y que nuevas cosas saliesen para la comunidad. Santiago de Compostela, otra vez Barcelona, han sido eventos que siempre llevaremos con nosotros porque nos han ayudado a crecer como informáticos, como personas, y yo diría que incluso como ingenieros ante la adversidad que la vida te pone en algunas ocasiones.

Anubis merece mención aparte, la herramienta que Juanan trajo a Flu Project, y que es una de las favoritas de los usuarios que entran a la web. Flu Project se ha hecho cargo de ella y seguirá su evolución, pero pedimos tiempo ya que es justo lo que no nos sobra... y que siga siendo así, porque tal y como está la cosa en el país, no nos podemos quejar ;)

La última en llegar ha sido Flunym0us, con la intervención del gran German (@enelpc). German está ayudando a Flu Project con su participación en la herramienta y en los artículos que siempre generan un interés especial y no dejan indiferente a nadie.

Pero no todo en la vida es la seguridad informática, ni la informática en general, y es que un año da para muchas vivencias personales y enriquecedoras. Este año, a nivel personal, ha estado marcado por varios sucesos que siempre serán recordados por esta pequeña persona. Personas que llegan, personas que se alejan y personas que se van, al fin y al cabo lo importante son las personas, y es por ello que siempre tendrán un recuerdo en mi. En otras ocasiones hemos hablado de los egos que hay en las profesiones, y la informática no se escapa de ello. Este año he conocido gente con mucho conocimiento y humilde, y con mucho conocimiento y en el que al entrar a una sala, primero va su ego y luego ellos, yo me quedo con los primeros.

Por último, y como reflexión, encontrar el equilibrio entre la vida personal y vida profesional es algo interesante, quizá más importante de lo que la gente puede pensar. Conseguir encontrarse cómodo en la vida personal es lo más difícil y en lo profesional tampoco es sencillo. Pero por encima de todo, yo me quedo con lo personal, vive lo que tengas que vivir, sólo tenemos una vida.

En lo personal como en lo profesional, el límite es tu imaginación.

28 dic 2011

Flu Project monta su primera oficina física en Algete

 

Fruto del tesón y meses de esfuerzo, la comunidad Flu Project se establece como una empresa líder en el mercado con su primera oficina física en la población de Algete (Madrid).

"Han sido muchos días de trabajo, papeleos, trámites legales y problemas con la alta competencia del sector que estableció hace unos años en Algete su centro tecnológico referente a nivel europeo, pero ahora ya podemos estar contentos, hemos montado una sede puntera tecnológicamente, y que ofrecerá a los agricultores y ganaderos del lugar servicios de hacking ético adaptados a sus necesidades", dice el CEO de Flu Project, Pablo González.

"Nuestro producto estrella es una versión del troyano Flu orientado al control remoto de las lecheras de las granjas de la competencia, está teniendo mucha aceptación, ya que permite a los ganaderos controlar la producción de sus rivales y ofrecer más leche a sus clientes y de mejor calidad" continúa Juan Antonio Calles, CISO de la compañía.

Flu Project ha sabido encontrar un hueco en el mercado en estos tiempos de crisis, ofreciendo productos adaptados a las necesidades del siglo XXI, y los clientes lo agradecen, tal y como comenta Inocencio, ganadero en Algete: "La gente de Flu Project son gente maja, llana, de pueblo como yo, saben dar a sus clientes las herramientas necesarias en el momento adecuado". "Ayer andaba tras la loba que se me había comido tres ovejas y un cordero, y me ofrecieron otro producto de high level, como dicen ellos, con el que me libré del problema en un santiamén, ¡mano de santo!"

Para más información sobre Flu Project y sus productos se puede contactar a través de la secretaria de la compañía, Dña. Antonia Gavilán de Logroño en la dirección de correo info@flu-project.com.

Actualización: Este post es una broma del día 28 de Diciembre, día de los Inocentes en España. 

27 dic 2011

Nueva vacuna para Flu

Buenas a todos, en el post de hoy os traemos una nueva vacuna alternativa a la actual desarrollada por @Novlucker para eliminar Flu de las máquinas Windows infectadas.

Con esta vacuna podríamos eliminar el ejecutable de Flu a pesar de que se haya modificado el nombre del proceso de flu.exe o win32.exe, para ello, se listan los procesos en ejecución, se determinan si son procesos de .Net, se revisan por reflection y se realiza una comprobación.

Para los que os interese aprender el funcionamiento de esta vacuna podréis descargar el código fuente desde AQUÍ.

Saludos!

26 dic 2011

Rompiendo hashes con findmyhash.py

Buenas a todos, en el artículo de hoy os hablaremos de la aplicación findmyhash, desarrollada para crackear contraseñas a partir de sus hashes.

Findmyhash se encuentra desarrollada en python, y utiliza un total de 49 servicios online de crackeo de contraseñas para intentar averiguar las passwords a partir de los hashes que hayamos recuperado. De esta manera se abren las posibilidades de averiguar la contraseña más rápidamente.

Soporta diez tipos de algoritmos de hash diferentes: MD4, MD5, SHA1, SHA256, RMD160, LM, NTLM, MYSQL, CISCO7 y JUNIPER.

Según las pruebas que han realizado los desarrolladores, el éxito de encontrar la contraseña a partir de un hash LM/NTLM es de un 60%-70%. Yo hice una prueba con un hash recuperado de una máquina Windows y tardó apenas 30 segundos en recuperar la clave: 

 La página oficial del proyecto donde podréis bajar la aplicación es: http://code.google.com/p/findmyhash/A continuación os listo los distintos comandos para arrancar la aplicación en función del algoritmo con el que se generó el hash:
  •  python findmyhash.py MD4 -h "db346d691d7acc4dc2625db19f9e3f52"
  • python findmyhash.py MD5 -h "098f6bcd4621d373cade4e832627b4f6"
  • python findmyhash.py SHA1 -h "a94a8fe5ccb19ba61c4c0873d391e987982fbbd3"
  • python findmyhash.py SHA224 -h "90a3ed9e32b2aaf4c61c410eb925426119e1a9dc53d4286ade99a809"
  • python findmyhash.py SHA256 -h "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
  • python findmyhash.py SHA384 -h "768412320f7b0aa5812fce428dc4706b3cae50e02a64caa16a782249bfe8efc4b7ef1ccb126255d196047dfedf17a0a9"
  • python findmyhash.py SHA512 -h "ee26b0dd4af7e749aa1a8ee3c10ae9923f618980772e473f8819a5d4940e0db27ac185f8a0e1d5f84f88bc887fd67b143732c304cc5fa9ad8e6f57f50028a8ff" python findmyhash.py RMD160 -h "5e52fee47e6b070565f74372468cdc699de89107"
  • python findmyhash.py GOST -h "a6e1acdd0cc7e00d02b90bccb2e21892289d1e93f622b8760cb0e076def1f42b"
  • python findmyhash.py WHIRLPOOL -h "b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6" python findmyhash.py LM -h "01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537"
  • python findmyhash.py LM -h "01fc5a6be7bc6929aad3b435b51404ee"
  • python findmyhash.py NTLM -h "01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537"
  • python findmyhash.py NTLM -h "0cb6948805f797bf2a82807973b89537"
  • python findmyhash.py MYSQL -h "378b243e220ca493"
  • python findmyhash.py MYSQL -h "*94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
  • python findmyhash.py MYSQL -h "94bdcebe19083ce2a1f959fd02f964c7af4cfc29"
  • python findmyhash.py CISCO7 -h "12090404011C03162E"
  • python findmyhash.py JUNIPER -h "\$9\$90m6AO1EcyKWLhcYgaZji" python findmyhash.py LDAP_MD5 -h "{MD5}CY9rzUYh03PK3k6DJie09g=="
  • python findmyhash.py LDAP_SHA1 -h "{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M="
Saludos!

25 dic 2011

Informe Flu - 51

Buenas a todos, hoy es domingo 25 de Diciembre, ¡Feliz Navidad! :-). Y puntuales como siempre, os traemos el resumen de la semana 51 de Flu Project, cargada de contenidos interesantes:

Lunes 19 de Diciembre

  • El pasado lunes Nicomda nos mostraba como realizar un Ataque DoS en Wi-Fi, mediante un videotutorial paso a paso.
Martes 20 de Diciembre

Miércoles 21 de Diciembre

Jueves 22 de DiciembreViernes 23 de Diciembre
  • El viernes os presentamos un video sobre Hijacking. En el que os enseñamos a aplicar esta técnica desde 0, de forma manual: PoC: Hijacking manual (video)

Sábado 24 de Diciembre

 

24 dic 2011

Llega la hora de hacer preguntas a nuestro próximo entrevistado, Silverhack

Esta noche es nochebuena y mañana navidad! día de estar con la familia, apurar las últimas compras antes de la noche buena, preparar los turrones y esperar largas caravanas en las carreteras.

Pero caravanas no van a ser precisamente las que nos frenen a la hora de realizar las preguntas al próximo entrevistado, ya que vuestros votos han dado como elegido a nuestro gran amigo Juanillo, conocido por los rincones oscuros de Internet como Silverhack, y al que tenemos la suerte de tener muy cerca :)

Ahora llega vuestro turno, tenéis que enviarnos antes de las 23:59 del próximo lunes 26 de diciembre las preguntas que os gustaría realizarle al próximo entrevistado. Nos podéis enviar hasta un total de 10 preguntas. Luego elegiremos 10 para hacérselas llegar a Juan.

Podéis dejarnos las preguntas en comentarios a este artículo, o bien, si lo preferís, a nuestro correo: info@flu-project.com

Si queréis saber un poco más sobre él antes de proponer alguna pregunta, no dudéis en visitar su genial blog http://windowstips.wordpress.com/

Un saludo, y feliz noche buena!

23 dic 2011

PoC: Hijacking manual (video)

Buenas a todos, a lo largo de este año hemos dedicado varias entradas a las técnicas de Hijacking utilizadas para suplantar identidades de otros usuarios a través del robo de cookies de sesión:

http://www.flu-project.com/hijacking-twitter.html

http://www.flu-project.com/cookie-monster-automatizando-el-hijacking.html

http://www.flu-project.com/robos-de-sesion-con-firesheep-probando-windows-live.html

Hoy os hemos traído un video en el que explicamos todo el proceso desde 0, realizándolo de manera manual con Caín & Abel para ejecutar el envenenamiento ARP con el que redireccionaremos los paquetes de la víctima por nuestra máquina, Wireshark para el robo de la cookie de sesión y Firefox con el plugin Cookies Manager + para suplantar la cookie robada.

Os dejamos con el vídeo:

[youtube VPANoQUf7S4 nolink]

Saludos!

22 dic 2011

Análisis de un video malicioso en Facebook

Hola!

Muy buenas a todos/as!

En el uso de las redes sociales convergen distintos usuarios con diferentes niveles de conocimiento en seguridad informática y buenas prácticas.

Es por eso, que cuando hay un video con código malicioso se expande muy rápidamente entre los usuarios.

Facebook ya ha sufrido ataques contra los usuarios, en los que diferentes enlaces a vídeos que contenían malware.

Estaba navegando por Facebook y en uno de mis amigos me encuentro con estos vídeos.

Al hacer click en este enlace el usuario era enviado a otra página web con esta apariencia:

A la vista del usuario esto parece un dominio legítimo, de Facebook, ya que conserva la cabecera de Facebook.

Podemos consultar las peticiones de la página web.

Si observamos el código fuente podemos ver la carga de un iframe en la página web.

También cargará hoja de estilos de ese dominio:

En los dos casos como origen se trata de otro dominio.

Además este tipo de sitios, realizan un conteo de las visitas que reciben y con que palabras claves llegan, si es que no llegan directamente desde Facebook. En este caso el servicio es among.

En la instalación del plugin, es necesario saber con que navegador esta accediendo el usuario. Esto es algo realmente sencillo, por ejemplo con este script que hay en la página:

Podemos ver que en el caso de Chrome nos descargará un plugin para Chrome y en el caso de Firefox otro plugin para Firefox. Ahora instalamos el plugin en el navegador para hacer una prueba. Una vez instalado comprobamos la información sobre el plugin.

Si echamos un vistazo a la web que referencia el plugin, podemos ver que el dominio está hosteado con un sistema Cloudflare.

Finalmente cuando hemos instalado el plugin e intentamos acceder a la página web somos dirigidos hacia una página web distinta, donde seremos invitados a introducir nuestro número de móvil para el envío de publicidad.

Finalmente después de haber instalado el plugin, somos dirigidos aquí. El tipo de webs como esta, hay varias que se dedican a hacer lo mismo.

En el siguiente apartado analizaremos mas sobre este tipo de páginas maliciosas.

Hay que tener conciencia con los usuarios para que no caigan en este tipo de fraudes, que provocan una infección masiva entre mismos contactos

Saludos

21 dic 2011

Fing - Excelente (y gratuito) escáner de red para Android

Cuándo hablamos de escáner de red, es inevitable que se nos venga a la cabeza la palabra Nmap. Es bastante lógico, ya que es una herramienta de código abierto para exploración de red y auditoría de seguridad preferida por todos los expertos en seguridad.

Si bien existe esa herramienta para Android, aunque hay que seguir algunos pasos para instalarla, hay una muy buena alternativa a ella y se llama Fing. Esta aplicación está disponible en el Android Market (https://market.android.com/details?id=com.overlook.android.fing) y es totalmente gratuita.

La misma es una excelente aplicación que permite hacer un escaneo completo de la red a la que esté conectado el terminal en ese momento, obteniendo toda la información posible de ella.

Es menester aclarar que Fing no sacará la clave WEP/WPA de la red, sino que sólo se limita a ofrecer información útil sobre la red.

Algunas de las cosas que se pueden hacer son las siguientes:

  • Ping: Permite hacer pings a otros dispositivos desde el móvil.
  • Descubrimiento de red: Mostrará todos los equipos conectados a esa red.
  • Escaneo de servicios: Muestra los servicios que tiene activos cada equipo.
  • Traceroute: Ofrece la ruta por la que pasa en internet desde el dispositivo hasta una determinada dirección de internet.
  • DNS Lookup: Descubrimiento de DNS.
  • Wake on LAN: Iniciar (despertar) a un equipo de la red el cual se encuentre apagado.
  • TCP Conection tester: Probar la conexión TCP.
  • MAC Address: Muestra direcciones MACs de los equipos.
  • Permite dar nombre a un equipo, e incluso muestra iconos en función de que tipo de dispositivo es.
  • Detección de conexión.
  • Opciones de geolocalización.
  • Integración con aplicaciones de red de terceros: SSH, Telnet, FTP, FTPS, SFTP, SCP, HTTP, HTTPS, SAMBA

Una vez activado el WiFi, esta aplicación escaneará toda la red y mostrará una pantalla con los distintos hosts para analizar, además de su velocidad de conexión, IPs públicas y privadas y DNSs.

En la imagen anterior se puede ver que la MAC address está oculta. Este programa permite hacerlo automáticamente activando el Privacy Mode.

Al tocar sobre un host aparecerá un menú de opciones para realizar. Se podrá ver que se le puede asignar un icono personalizado a cada host, escanear sus servicios, hacerle ping, etc.

Fingtrae una lista de servicios predefinidos que son los que usa cuando se realiza un escaneo de puertos a cada host. Se puede editar esta lista, añadirle servicios o quitarlos.

Una vez detectado cada puerto accesible, el programa mostrará otro menú de opciones en el que, si hay clientes para los servicios que se ofrecen, se puede conectar directamente: VNC, carpetas compartidas, FTP, SSH, servidores web, etc.

Además, Fing tiene otras herramientas como Traceroute (para ver los saltos que hay que dar hasta llegar a un host) y Look up DNS para averiguar IPs a partir de nombres DNS o viceversa. También permite exportar/importar información en formato xml y hacer backup de la configuración.

Esta es una herramienta genial cuando se necesita controlar cualquier aspecto de la red. Además, no existen muchas aplicaciones gratuitas con 5 estrellas completas, señal de que es un programa fiable.

Información extraída de:

Artículo enviado por @pcastagnaro

20 dic 2011

Cliente Flu 2.0 para terminales Android (por Javier García)

Buenas a todos, hoy os traemos una nueva herramienta desarrollada por Javier García (Gasdejava), creador del generador de bots para Flu, hoy nos trae la segunda versión de un cliente móvil para Android que ha desarrollado para controlar las máquinas infectadas por Flu. Os dejo a continuación con su artículo:

Hola! soy Javier García y hoy les traigo lo prometido, la versión 2.0 del Cliente Flu para Android.

Esta versión trae todas las funciones de la versión anterior y pues se corrigieron algún que otro detalle. las funciones de esta versión son:

  • Ver listado de maquinas infectadas.
  • Ver datos de cada maquina.
  • Modo shell, lanzar comandos especiales por cmd.
  • Lanzar ataques predeterminados de flu.
  • Vaciar Fichero XML de Instrucciones.

Pues por lo visto ya cada vez se parece más al cliente web, del troyano.

Instalación

Para instalar el Cliente, solo tiene que copiar la carpeta que llama “Android” en el servidor WEB-Flu, y luego pasar el archivo “FluCliente2_new.apk”  al celular, para luego instalar el apk de forma manual.

Descarga

Descargar Cliente Flu 2.0 Android

Video

[youtube ItV2MCPsaLY nolink]

19 dic 2011

Ataque DoS en Wi-Fi

Cuando intentaba empezar a escribir este artículo, no sabía bien que título ponerle. Al final, he considerado que esta prueba entra dentro de la definición de Wikipedia para un Ataque DoS.

Wikipedia “En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.”

Pues bien, lo que vamos a hacer es aprovechar la función de “deautentificación” disponible en airplay para interrumpir la conexión de uno o más clientes con el punto de acceso.

Algunos de los pasos que vamos a seguir son similares al proceso de adquisición de una clave WEP mediante la suite aircrack, así que... al código!!

Con backtrack iniciado, activamos la tarjeta de red en modo monitor.

airmon-ng start wlan0

A continuación hacemos un escaner mediante airodump con la interfaz ya establecida en modo monitor.

airodump-ng mon0

Una vez listados los AP y los clientes, vamos a separar el proceso en dos partes, primero haremos el proceso al punto de acceso y después al cliente.

Supongamos:

AP cuya mac es 00:11:22:33:44:55
Cliente cuya mac es 55:44:33:22:11:00

Deauth en loop al AP

aireplay-ng -0 0 -a 00:11:22:33:44:55 mon0

Y voilá! Mientras el proceso continue ejecutándose en la terminal, la conexión con este AP está bloqueada.

Básicamente lo que hemos hecho es enviar con aireplay-ng paquetes de deautenticación (0-) en loop (0) a un AP objetivo (-a) cuya mac es la indicada anteriormente.

Cuando vamos a capturar la contraseña de una WEP, solo se envían unos cuantos paquetes de -0, en cambio, a nosotros nos interesa que la deautenticación sea continua, para impedir el acceso al AP. Por eso 0 indica que el envío de paquetes deauth sea infinito.

Deauth en loop al cliente

aireplay-ng -0 0 -a 00:11:22:33:44:55 -c 55:44:33:22:11:00 mon0

Para impedir la conexión de un solo cliente lo que hemos hecho es añadir un cliente conectado al AP como objetivo. De esta forma solo se impedirá la conexión de ese cliente. 

¿Fácil verdad? Si queréis que la conexión os funcione más rápido en la universidad, no tenéis más que expulsar todas las mac excepto la vuestra :D.

A continuación os dejamos un videotutorial:

[youtube M6_Lg_yYcvo nolink]

18 dic 2011

Informe Flu - 50

Hola a todos, ¡hoy llegamos a nuestra SEMANA 50 de Flu Project! 50 domingos resumiendo lo mejor de la semana en nuestra comunidad. Esperamos que hayáis disfrutado tanto como nosotros publicando día a día en flu-project.com :)Os dejamos con el resumen de la semana 50:Lunes 12 de Diciembre
  • Zerialkiller nos trae un nuevo artículo Metasploit en el que nos enseña a auditar la seguridad del protocolo SMB: SMB Scanners Metasploit
Martes 13 de DiciembreMiércoles 14 de DiciembreJueves 15 de DiciembreViernes 16 de DiciembreSábado 17 de Diciembre
  • Se acerca el fin de año, y nos gustaría realizar una sexta entrevista en Flu Project, ¿nos ayudas? Puedes votar a un profesional del mundo de la seguridad para que sea entrevistado en: ¿A quién te gustaría entrevistar?

17 dic 2011

¿A quién te gustaría entrevistar?

Buenas a todos, se acerca el final de año, y con él, nuestro primer aniversario. Durante este año hemos publicado artículos de todo tipo, nuevas herramientas, retos hacking y entrevistas, mis preferidas, ya que nos permiten conocer un poco más a algunos de los profesionales más destacados del mundillo de la seguridad informática.

En lo que va de año hemos contado con cinco entrevistas de alto calibre:

Nos gustaría hacer una sexta entrevista antes de final de año, pero esta vez nos gustaría que eligieseis vosotros al sexto entrevistado, y nosotros nos comprometemos al menos a intentar conseguir esa entrevista :)
Tenéis hasta el próximo miércoles día 21 para escribirnos en los comentarios de este post a quien os gustaría entrevistar, y nos quedaremos con el más votado. Solo daremos por buenos los votos de los usuarios registrados.
Una vez elegido el entrevistado, en cuánto consigamos la entrevista os anunciaremos en el blog un rango de fechas para que nos enviéis hasta un total de 10 preguntas que os gustaría hacerle.
Para ayudaros a elegir os recordamos las propuestas que hicieron los entrevistados sobre quién les gustaría que fuesen los siguientes:
  • @indi303
  • Jose Selvi (@JoseSelvi)
  • RomanSoft (@roman_soft)
  • Bernardo Quintero (@bquintero)
  • Juanillo (Silverhack)

16 dic 2011

Publicamos la herramienta Flunym0us, nuestro nuevo escáner para auditar Moodle y Wordpress

Buenas a todos, hoy os traemos una nueva herramienta que hemos desarrollado Germán Sánchez (@enelpc), Pablo González (@fluproject) y un servidor, Juan Antonio Calles (@jantonioCalles) para escanear plugins o extensiones que haya instalados en los sitios Web desarrollados bajo Wordpress o Moodle, el objetivo de dicha tarea es la búsqueda posterior de vulnerabilidades conocidas en dichos plugins, para que puedan ser explotadas durante un proceso de auditoría de seguridad.

Flunym0us se encuentra programada en Python. Internamente realiza operaciones de "fuzzing" contra la Web que necesitemos auditar. La labor de fuzzing la realiza a través de una serie de diccionarios que podremos pasarle como argumentos al programa. Por defecto os facilitamos un diccionario para realizar análisis en Moodle y otro para Wordpress. Estos diccionarios contienen listados de plugins y extensiones existentes para ambos CMS. Si creáis diccionarios más grandes no dudéis en pasárnoslos que los compartiremos en la comunidad.

La licencia del programa, al igual que la de Flu, es GNU GPL v3, por lo que podéis utilizar el programa sin ningún inconveniente para lo que necesitéis.

En posteriores versiones del programa nos gustaría aumentar el número de CMS que pueden ser escaneados por Flunym0us, por lo que estad atentos al blog ;)

Para lanzar un escáner contra un sitio Web se procede de la siguiente manera:

Sitios Web desarrollados en Wordpress:

python flunym0us.py -wp http://domain wp-plugins.lst

(Donde "http://domain" será el sitio Web, es necesario añadir http://. Y "wp-plugins.lst" será el diccionario usado)

Sitios Web desarrollados en Moodle:
python flunym0us.py -mo http://domain/moodle moodle-plugins.lst
(Donde "http://domain/moodle" será el sitio Web, es necesario añadir http://. Y " moodle-plugins.lst" será eldiccionario usado)

A continuación os mostramos un ejemplo para Wordpress:

La herramienta podéis descargarla desde la zona de descargas de la comunidad.

DESCARGAR Flunym0us

Disfrutadla, saludos!

15 dic 2011

Entrevistamos a David Kennedy, creador de SET (Social EngineeringToolkit)

El pasado fin de semana nuestro compañero Luis (@streaming10) tuvo el placer de realizar una entrevista para Flu Project al gran David Kennedy, creador de la popular herramienta para ataques de Ingeniería Social, SET (Social Engineering Toolkit).
A continuación os dejamos con la entrevista:
Dave, my name is Luis (streaming10), and I colaborate with flu-project.com, I study law, but the social engineering, metasploit and the other hacking tools are my passion. These are the questions:
Thank you very much for talking with us, you are the first of our SEC Interviews and a pleasure to grant us some of your time.(sorry if my English is not very good, some of the blame lies with the translator of google)
1. How did you start the computer security world?
I started off at a real young age playing multi-user dimensions (MUD) and found a niche in computers. From there I worked on computer security related efforts in the United States Marines where I really took a liking to computer security. Shortly after the military, I joined a small security consulting company. Security quickly became a hobby and not just a job.
2. What blogs, magazines. often read to keep you updated computer security issues?
I don't really follow to many magazines or blogs. I use Twitter quite a bit to follow some very interesting people that often link to things that are of interest. I follow quite a few peoples work and usually keeps me up to date with the latest and greatest out there. For me, I find it hard to follow everything out there so I follow only what interests me.
3. How did you set SET?
SET started off as just an idea around building a social engineering tool when social-engineer.org was getting launched by Chris Hadnagy. I was often on a number of penetration tests and social-engineering was not an avenue anyone was accustomed to performing. Every time I would try to get it included in scope for an engagement, it was always taken out. We saw social engineering as being the next largest threat landscape out there and that's where SET was born. I think when I first wrote it, all it did was send some phishing emails. It's come a long ways and would have NEVER imagined it would have taken a life of its own like it has.
4. Do you publish soon a new version of SET? Any new surprise?
There should be a new version coming out within a month or so. Kevin Mitnick and myself presented at DerbyCon 2011 on Adaptive Penetration Testing and one of the techniques that Kevin used on profiling the targets machine on whats being used (java, adobe, etc) will be introduced into SET. It will allow selective targeting based on specific applications that are installed and attack those.
5. What ethical hacking applications are most used?
Application wise that really depends on whats my target. I rarely use vulnerability scanners if at all anymore. Metasploit obviously is a very large one however it if it's a web application, Burp is my go-to tool for it all. It really just depends on the situation and what I want to do. A lot of times for me it's about exploring whats out there, learning the network, and from there thinking of a way to attack it.
6. What would you recommend to young people who are starting out?
Make security your passion, your hobby. Instead of playing on XBOX or taking up a hobby that kills all your time, go home and work on security things. Security takes dedication, time, effort, and it takes someone who has passion for it. The biggest advice I can give you is never think that anyone in this industry is smarter than you, it's not the case. It's about how you learn, taking that and focusing it. I'll give you my secret that was shared with me from a good friend in the early 2000's. Pick a programming language and instead of reading a book, come up with a new tool that will help you in some way and figure out how to write it. That's how Fast-Track was born.
7. Is it more amazing that you've seen it done (or done) through social engineering?
Every social-engineer is something new and amazing. You really get to understand that there is rarely anything that can stop what you're doing and its just a big rush. I enjoy social-engineering more than an actual hack now because I'm interfacing with humans and its so unpredictable. It's not like an exploit where you've sat there and coded it and after an absorbent amount of work, you have a working product. With social-engineering, that person has been programmed differently than the other. It's how you behave, communicate, and ultimately get them to do what you want. It's such a complex art, yet so effective.
8. What programs or methods you use to anonymize your attacks?
I don't really need to be anonymous in my attacks as I do them legitimately however I do have servers all over the world that I leverage during attacks depending on what I'm trying to do.
9. The computer in general and in particular that we move into the hacking scene do not have a good reputation with women:). Do women will understand when we talk about hacking?
Women in security is still a long ways off. We are as you mentioned a predominantly male driven population however, I think that's slowly changing. You have several high-profile women that are presenting at security conferences and something that is becoming the norm. I think traditionally if you look how "hacking" took place, it was through sitting in the basement nerding it out, that takes a certain kind of person and I think it's mostly a guy thing however that perception is quickly changing.
10. Who would you like us to do the next interview? (please if you know, help us to work with us. And his twitter)
Chris Nickerson is always a good one to talk to. He is indi303 on twitter.

14 dic 2011

Ponencia en la No cON Name 2k11

 

Por fin los amigos de Globbtv han publicado la ponencia de Flu Project en la No cON Name 2011. La ponencia dura cerca de 59 minutos y en ella se trató un tema sensible, como es la pedofilia y la pederastia en Internet, y como mediante el uso de técnicas oscuras se puede combatir estos hechos en la red. En ningún momento se intenta incentivar el uso de técnicas oscuras sin razón, pero si que los cuerpos del estado puedan utilizar dichas técnicas para luchar contra estos sucesos que implican a los jóvenes.

El debate está servido, ¿Cuál es tu opinión?

Os dejo directamente con el enlace al video:

Técnicas oscuras para combatir la pederastia en Internet

 

Diapositivas

13 dic 2011

El ciclo PDCA, esas siglas raras que salen en las "ISOs"...! Parte I

Buenas a todos, en el artículo de hoy me gustaría hablar de esas cuatro letras que forman uno de los palabros más comunes en los estándares ISO, y que a los responsables dedicados a temas de gestión TI les gusta tanto nombrar, pero que en realidad no se aplican tan bien en numerosas ocasiones, al menos en el sentido literal y como se define en los estándares, el ciclo PDCA.

PDCA son las siglas de Plan-Do-Check-Act, traducido a castellano, Planear-Hacer-Chequear-Actuar (también es conocido como "Ciclo de Deming". Resume en cuatro palabras el ciclo que se debe adoptar en una organización para implantar un sistema que haga las cosas como se deben de hacer, bueno, bonito y barato. Bueno porque si se sigue al pie de la letra nos permitirá hacer las cosas bien y funcionando de una manera estable. Bonito, porque si sigue al pie de la letra nos permitirá visualizar de una manera rápida el estado del sistema y ver como se debe proceder en cada momento cada vez que haya que realizar alguna operación. Y barato, porque si se aplica de una manera adecuada, aún haciendo una inversión alta inicialmente, permitirá ahorrar costes a la larga.

Si aplicamos las 3 Bs al PDCA, definiríamos el ciclo formalmente así:

Plan

  • Identificar los procesos que nos interesa mejorar e investigar en busca de la información necesaria para ejecutar dichos procesos.
  • Establecer de una manera clara los objetivos que se quieren mejorar.
  • Detallar los resultados que esperaríamos si se aplicase todo correctamente.
  • Establecer los objetivos de mejora y definir los procesos para conseguir estos objetivos.

Do

  • Implementar los nuevos procesos.

Check

  • Comprobar que las cosas estén funcionando como se espera, comparando con los objetivos que establecimos en la fase "Plan", y verificando si ha habido mejoras.
  • Deberemos documentar toda esta fase de monitorización, porque nos hará falta próximamente este monitoreo.

Act

  • Llega la hora de actuar. Si hemos detectado problemas en la fase "Check", habrá que aplicar mejoras.
  • Y documentar las modificaciones para que sean de utilidad para aprender de los errores y mejorar el sistema.

Como veis, el ciclo PDCA no dice nada que se salga de un esquema lógico aplicado en cualquier sistema en ingeniería (y en otras ramas): planificar las cosas, aplicarlas, comprobar que todo va bien, y si algo va mal, rectificar y seguir planificando nuevas cosas para comenzar el ciclo. Sentido común vaya, ¿no suena tanto a chino esto del PDCA ahora verdad?.

En esta cadena quiero que nos centremos en el ciclo PDCA aplicado a la norma ISO 27001, que es el estándar ISO dedicado a seguridad de la información, y el que nos toca por tanto en la temática de este blog, con el que se ayuda a la implementación de un SGSI (siglas de Sistema de Gestión para la Seguridad de la Información).

El ciclo PDCA que se aplica con la norma ISO 27001 es el siguiente:

 

Como véis, el ciclo es el mismo que se define en la rueda de Deming, con la salvedad de que se define ya de una manera más detallada que se debe hacer para aplicarlo en un SGSI (cito textualmente de la norma ISO 27001):

Planear (establecer el SGSI)

  • Establecer política, objetivos, procesos y procedimientos SGSI relevantes para manejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordancia con las políticas y objetivos generales de la organización.

Hacer (implementar y operar el SGSI)

  • Implementar y operar la política, controles, procesos y procedimientos SGSI.

Chequear (monitorear y revisar el SGSI)

  • Evaluar y, donde sea aplicable, medir el desempeño del proceso en comparación con la política, objetivos y experiencias prácticas SGSI y reportar los resultados a la gerencia para su revisión.

Actuar (mantener y mejorar el SGSI)

  • Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoria interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramiento continuo del SGSI.

Es evidente que este ciclo no reinventa la rueda, ni es un estándar propiamente dicho que aplique seguridad tal cual. Se debe definir el grado de seguridad que se requiere en una empresa según su modelo de negocio, y dependiendo de ello establecer ya las políticas, objetivos, procesos y procedimientos a seguir. Logicamente los objetivos de seguridad no serán iguales para un Banco Online como Bankinter, que para Carpinterías Pepe. Ya que por ejemplo, si la página Web del banco está caída un día, impediría que se realizasen miles de operaciones bancarias, creando una mala imágen y problemas a sus clientes, es decir, perderían muchas perras. Y si la página Web que se encuentra caída es la de Carpinterías Pepe, puede que no se den cuenta de este hecho ni los propios dueños, ¿verdad?

Pues con esta misma lógica y sentido común con el que analizamos la importancia de la seguridad en una organización según su modelo de negocio y sus necesidades, se debe aplicar el ciclo PDCA con la norma ISO 27001.

En el siguiente artículo nos meteremos en faena con el amplio mundo de la 27001 y su ciclo PDCA.

Saludos!

12 dic 2011

SMB Scanners Metasploit

Metasploit cuenta con varios modulos para la consultar y auditar la seguridad del protocolo SMB.

Podemos hacer un msf > search y posteriormente el nombre de cada uno de ellos para mas informacion msf > info

» smb/pipe_auditor» smb/pipe_dcerpc_auditor» smb/smb2» smb/smb_enumshares» smb/smb_enumusers» smb/smb_login» smb/smb_lookupsid» smb/smb_version

PIPE AUDITOR

El modulo pipe_auditor puede ser utilizado para determinar qué servicios están disponibles sobre SMB

PIPE DCERPC AUDITOR

Este escáner retornara los servicios DCERPC a los cuales se puede tener acceso a través de un canal SMB.

SMB2

Permite determinar si los diferentes hosts de la red soportan el protocolo SMB2.

SMB ENUM SHARES

Este modulo permite consultar los diferentes archivos y carpetas compartidas en los sistemas de la red. Como se puede observar todos las consultas son bloqueadas en todos los sistemas, una ventaja de este modulo es que permite ingresar las credenciales de usuario / contraseña de manera que esta combinación pueda ser probada en todos los sistemas de la red.

ENUM USERS

El escáner smb_enumusers se conectara con cada sistema a través del servicio SMB RPC y listará todos los usuarios existentes.

SMB LOGIN

El modulo smb_login permite validar el acceso en todos los sistemas de la red a través del protocolo SMB, además maneja una cantidad de opciones mayor a la de otros módulos, entre ellas se tiene la opción de cargar archivos que contengan nombres de usuario y contraseñas, aumentar la velocidad del ataque de fuerza bruta entre otras.

SMB LOOKUPSID

El modulo smb_lookupsid permite determinar que usuarios ahí creados en cada una de las maquinas de la red, esta función es de gran utilidad a la hora de realizar futuros ataques de fuerza bruta.

SMB VERSION

Este modulo permite escanear un rango de direcciones IP en la red para determinar la versión del servicio SMB en cada máquina, así mismo permite visualizar el sistema operativo con el que cuenta cada una de los equipos a los cuales se puede tener acceso, el resultado con o sin credenciales de usuario / contraseña no varía de forma significativa en los resultados.

Tenemos unos Cuantos MAS =)

msf > search smb/smb

11 dic 2011

Informe Flu - 49

Disfrutad del resumen:Lunes 5 de DiciembreMartes 6 de Diciembre
  • Hoy toca semana "Meterpreter" con el gran Zerialkiller. En este artículo nos habla de algunos scripts que pueden ser utilizados a traves de este shellcode: Meterpreter Scripts
Miércoles 7 de Diciembre
  • Hablamos de Cain, el popular software todo en uno de Massimiliano Montoro y os enseñamos a través de un pequeño vídeo a realizar un MitM y a recuperar las credenciales con las que se autentica un usuario de otra máquina situada en nuestra red:  PoC – Robo de credenciales mediante MitM con Cain
Jueves 8 de Diciembre
  • Zerialkiller dedica una entrada genial al payload Meterpreter que no os podéis perder, muy recomendada: Meterpreter Commands
Viernes 9 de DiciembreSábado 10 de Diciembre

10 dic 2011

Carrier IQ: Escándalo, es un escándalo…

 

Troyano, rootkit, espia, son algunos de los calificativos que ha recibido el software Carrier iQ, instalado, en principio, en terminales con iOS y Android. En resumen, un escándalo, según lo definen desde la recomendadísima web de Seguridad Apple.

Como ya ha sido protagonista de muchas idas y venidas en multitud de foros y RRSS, no creo que haga falta destripar lo que hace (o hacía) este software. Resumiendo, se trataría de un software con el cual algunas de las operadoras podrían obtener datos acerca de los fallos de software de un usuario, pero que, así como el que no quiere la cosa, también ofrece otro tipo de información acerca del software instalado, localización, uso, etc.

A priori, este software estaba instalado en iphone, hasta iOS4 y en algunas versiones de operadores que ofrecen terminales con Android.

Estoy harto (es un decir) de oír a los usuarios de Android, que este S.O está basado en Linux, y que este a su vez es un software libre y abierto, y por ende Android también lo es. Creo que este tipo de cosas les va a quitar una venda de los ojos. Una cosa es que Google haya tomado Linux como base para su sistema operativo, y otra muy diferente es que la versión final “cocinada” por su operadora/marca sea tan abierta y libre como el padre de la criatura.

Abanderados del software libre, han defendido la seguridad de Linux por su código abierto y precisamente este ha sido uno de sus puntos flacos en los últimos tiempos. Algún troyano en el propio kernel o en plugins de WordPress y algún ataque a Apache que podía haber sido afectado, les han sacado los colores a quienes atacan otros sistemas Unix y/o Windows, por el hecho de ser plataformas cerradas.

Por mucho código libre que sea, si no se mira o si no se audita debidamente, o se firman los fuentes antes de compilarlos poco o nada se podrá hacer para que los amigos del maligno, pongan sus huevos en nido ajeno cual cucos.

El problema de los 4000 mirrors “oficiales” sin control centralizado o los 448 usuarios potenciales con acceso al repositorio de kernel.org, parece pecata minuta, junto con las decenas de versiones de Android que existen entre las “cocinadas” por las operadoras y por usuarios avanzados.

Que un sistema con un código tan abierto y libre como Linux, adolezca de lo mismo que un sistema con código tan “oscuro y cerrado” como OSX, da que pensar, y seguro que tanto unos como otros, tomaremos nota de lo que siempre se debe tener presente en seguridad informática: “No digas nunca este cura no es mi padre”

Saludos,

9 dic 2011

Solución al #FPR4 – ¿Quién es el mejor buscador?

Ayer a las 23:59 dimos por finalizado el 4º reto hácking de Flu Project, #FPR4, al que titulamos: ¿Quién es el mejor buscador?

Hoy procedemos a publicar la solución para todos los que os quedásteis a medias o no pudisteis intentarlo y queréis aprender a resolverlo.

En este reto os dábamos dos cosas, la primera era un fichero pcap, que contenía una captura de red tomada con Wireshark, donde debíais buscar la respuesta a la pregunta: ¿Quién es el mejor buscador?, y la segunda, que era un simple formulario Web para verificar si la respuesta a la pregunta era correcta.

El reto lo han resuelto varios usuarios a lo largo de esta semana, y para pasarlo había que aplicar conocimientos de nivel medio de redes, esteganografía y un poco de Internet.

Vamos al lío. En primer lugar debíais bajaros el archivo pcap. Tras abrirlo os encontraríais con una serie de tramas de red (pocas, para que os resultase más sencilla la búsqueda):

Si os fijábais en la siguiente trama, contenía una imágen, que había sido descargada desde un servidor Web:

Si reconstruímos la imágen con Wireshark, podremos apreciar una bonita imágen de Flu :):

Como sabéis, los smartphones de última generación permiten geolocalizar las fotografías que toman con sus cámaras a través del GPS, añadiendo los datos de la posición donde se han tomado dichas fotografías en forma de metadatos. Nosotros hemos querido simular que la imágen de Flu ha sido tomada con uno de estos terminales, y hemos alterado sus metadatos, añadiendo una posición GPS de manera manual.

Ahora podéis proceder de dos maneras, o bien leeis los metadatos de la imágen en busca de las posiciones GPS y las posicionáis por ejemplo con Google Maps, o bien directamente subís la imágen a un servicio Web como GPS Visualizer, que lee los metadatos con la posición GPS y os sitúa en el mapa de Google Maps la posición desde la que ha sido tomada esa fotografía (En el caso del reto se trataba de la posición: 52.2038, 0.1170)

 

Ya tenemos el punto donde ha sido tomada la imágen, la "Universidad de Cambridge". Si ahora nos acercamos un poco más en el mapa, abriendolo con Google Maps y activando Google Street View, podremos ver delante de nosotros a una persona disfrazada de... , sí, eso es, Sherlock Holmes :)

 

Para pasar la prueba simplemente teníais que escribir la clave "sherlockholmes", en minúscula y sin espacios.

¿No era tan difícil verdad?

Hasta el próximo reto, saludos!

8 dic 2011

Meterpreter Commands

Meterpreter es un Payload que se ejecuta después del proceso de explotación o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para meta-interprete y se ejecuta completamente en memoria; evitando así tener problemas con los Antivirus.En este artículo se describen algunas de las características más importantes de este shellcode como son:1. Eliminación de archivos de Log.2. Captura de pantalla.3. Carga y descarga de archivos.4. Copiar información.5. Extracción de información de configuración: Tablas de enrutamiento, tarjetas de red, registro de Windows, configuración de seguridad, archivos compartidos, configuración de firewall, etc, etc.

Core Commands

BACKGROUNDEjecuta la sesión actual en segundo plano para retornar a la línea de comandos de Meterpreter, para regresar a la sesión se ejecuta el comando tradicional (sessions –i 1).MIGRATEPermite migrarse a otro proceso en la maquina víctima.File Systems CommandsLSPermite visualizar los archivos en el directorio remoto actual.DOWNLOADPermite descargar un archivo de la maquina atacada, es necesario hacer uso del back-slash doble en la ruta del mismo.UPLOADPermite cargar un archivo en una ruta especifica, de la misma manera que el comando download es necesario hacer uso del doble slash al momento de indicar la ruta.SEARCHPermite buscar archivos en la maquina víctima, además:1. Permite indicar el tipo de archivo.2. Permite indicar la ruta donde se quiere realizar la búsqueda.Networking CommadsIPCONFIGPermite visualizar todas la información de todas tarjetas de red existentes en la maquina atacadaROUTEPermite consultar y modificar la tabla de enrutamiento.System CommadsEXECUTEPermite ejecutar un comando.GETPRIVSPermite obtener tantos privilegios de administración como sea posible.GETUIDPermite consultar el tipo de usuario que la maquina victima esta ejecutando.PSPermite consultar todos los procesos que están en ejecución.SHELLPermite obtener un Shell, o línea de comando.SYSINFOPermite obtener información del sistema remoto como:1. Nombre de la maquina.2. Sistema Operativo.3. Tipo de arquitectura.4. Lenguaje del sistema operativo.User Interface CommadsENUMDESKTOPSPermite consultar todas las sesiones (o escritorios).IDLETIMEPermite consultar el tiempo en el que el usuario de la maquina victima ha estado ausente.SCREENSHOTPermite extraer una imagen del escritorio remoto.UICTLPermite controlar algunos de los componentes del sistema afectado.Password Database CommadsHASHDUMPPermite consultar el contenido del la base de datos SAM en sistemas Windows.http://www.nyxbone.com/metasploit/Meterpreter.html