jueves, 30 de junio de 2011

Y los ganadores de las entradas para asistir a la NcN 2011 son...

Compartir este artículo:

Buenas a todos, ya ha finalizado el concurso que organizamos junto con NcN 2011 para regalaros tres entradas para asistir al congreso el próximo mes de Septiembre.

El concurso ha sido muy divertido, nos lo hemos pasado muy bien leyendo vuestros tweets, muchos muy ingeniosos y graciosos, otros nos la intentaban colar, algunos se crearon cuentas especiales para spammear..., sois todos unos cracks. Sobre todo hubo un sprint final ayer digno de destacar entre @infiltrandome y @WiFiSlaX4, que por cierto, sí, nos lo hemos leído entero :)

Sin irnos más por las ramas, los afortunados ganadores de las entradas son...

  1. @infiltrandome
  2. @WiFiSlaX4
  3. @kenjorato

 

Nuestra más sincera enhorabuena :) La verdad que os lo habéis currado y le habéis echado muchas horas. Nos pondremos pronto en contacto con vosotros a través de MP por Twitter.

No queríamos despedirnos sin felicitar también a @Purp1e_moon, que ha quedado en un meritorio 4º puesto.

Y recordad, el concurso se adelantó en un día su finalización debido a que HOY es el último día para comprar vuestra entrada para la NcN 2011 a precio económico. ¡Así que no esperes más y aprovecha la oportunidad!

 

Nos vemos en la NcN, saludos!

 

miércoles, 29 de junio de 2011

Cookie Monster: automatizando el hijacking

Compartir este artículo:


Hace pocos días se publicó lo fácil, y realmente lo es y mucho, que es hacer una suplantación de identidad en Tuenti, la red social española. Por norma general, en redes sociales, sitios de compra (dealextreme, focalprice), cuentas de usuario de foros, son vulnerables a este tipo de ataques en el cual el robo de una cookie se convierte en la suplantación de identidad de un usuario.
Cookie Monster es una de esas herramientas que automatizan el proceso de obtención de cookies y proponen un arquitectura MITM con ARP Poisoning para lograr dicho objetivo. La herramienta está disponible en su versión 0.0.1 y al descargarla te encontrarás con sus fuentes, escrita en C, por lo que tocará compilarla...
Backtrack
Para esta proof of concept se ha utilizado backtrack, pero si tenéis un Ubuntu o un Debian debéis seguir el mismo proceso. En primer lugar hay que descargar la herramienta cookie-monster. Una vez descargada debemos ponernos el mono de compiler, si lo sé sería más divertido si nos lo dan todo hecho, pero el resultado es bastante bueno, así que trabajemos un poco, que no digan que los jóvenes buscamos la ley del mínimo esfuerzo...
Nota informativa para descomprimir el archivo o doble click sobre el explorador (nautilus, konqueror) o ejecución en una shell de 'tar -xvzf <ruta fichero>' (ruta absoluta o relativa).
Antes de seguir hay que tener en cuenta que necesitamos disponer de unas librerías antes de seguir, libpcap-dev libnet-dev libnids-dev libgtk2.0-dev libsqlite3-dev. Para su instalación ya sabéis 'apt-get install <chorro de librerías>'.
Sé lo que estás pensando... si que necesita esto librerías, pues si, pero pensemos en el resultado final... y una última nota informativa, si la versión de sqlite es inferior a la 3.7 no se podrá abrir el archivo cookie.sqlite, y esto es muy importante ya que si no cookie monster no podrá insertar la cookie en el fichero, o más bien base de datos, dónde firefox almacena las cookies.
Para la instalación de la versión 3.7 o superior de sqlite ejecutaremos las siguientes órdenes en una shell:
wget http://www.sqlite.org/sqlite-autoconf-3070700.tar.gz tar xzvf sqlite-autoconf-3070700.tar.gz (Descomprimir y entrar en su carpeta)
./configure --prefix=/usr
make
make install
Llegados a este punto ya tenemos todo lo necesario para una instalación correcta mediante la compilación de los fuentes de cookie monster.
Compilación
Para realizar la compilación de la aplicación nos situamos en la shell dentro de la carpeta de cookie monster. Debemos ejecutar './configure'. Después ejecutaremos un make, o podríamos ejecutar directamente 'configure && make' como se prefiera.
Bien, ha sido sencillo, ya tenemos compilado cookie monster ahora toca probarlo... ¿no lo estás deseando?


PoC
El objetivo de esta prueba va a ser el robo de una cookie de facebook, dejemos un rato en paz a tuenti, y para ello ejecutamos gcookiemonster, binario que estará en la carpeta src después de la compilación de la aplicación. NOTA: no se os olvide colocar el equipo en modo enrutador, echo 1 > /proc/sys/net/ipv4/ip_forward.
Una vez abierto nos encontramos una GUI con 5 pestañas, en primer lugar nos interesa configurar en la pestaña settings de dónde firefox pone y guarda las cookies. La ruta dónde debemos buscar es ~/.mozilla/firefox/nq474mcm.default, elegiremos el fichero cookies.sqlite, recordad que en este fichero se almacenan las cookies del navegador, será utilizado por cookie monster para insertar las cookies robadas.
La siguiente pestaña a tener en cuenta es arp, desde aquí podremos escoger a qué equipos se les realizará un MITM. Es sencillo realizamos un escaneo en una red, y después escogemos la víctima (target 1) y el router (target 2).
Otra pestaña a tener en cuenta es la de sniff, en esta pestaña haremos que cookie monster nos muestre todas las cookies que está capturando. Es recomendable seleccionar que excluya nuestra propia IP para no confundirnos con nuestras propias sesiones. Pinchad en el botón sniff y ¡adelante!
Nos colocamos en la pestaña cookie y a esperar a que la víctima entre en algún sitio con una sesión de usuario. En el ejemplo, se ha probado con facebook y como se puede visualizar en las imágenes es realmente sencillo...

 Ejecución de la cookie
Y el resultado es...


Resultado... suplantada la sesión de facebook
Por desgracia, no siempre es tan fácil, y el problema de estas herramientas automatizadas, es que si algún sitio cambia su forma de utilizar la cookie, es probable que la herramienta deje de funcionar correctamente. Por ejemplo, las pruebas que hemos realizado con tuenti, no son satisfactorias, y me podréis decir pero si habéis demostrado que es muy sencillo... si... pero la herramienta toma como la URL, y en el caso de tuenti no entra... ya que tuenti, en su host sería .tuenti.com. En fin, al menos sabemos que con facebook funciona a las mil maravillas.

martes, 28 de junio de 2011

Lanzamiento Oficial de Anubis v1.2

Compartir este artículo:
 

Buenas a todos, tras la buena aceptación que parece que ha tenido y sigue teniendo la cadena de artículos y el libro que publicamos desde Flu Project sobre "La Biblia del Footprinting", por cierto, libro del que ya se han superado las 600 descargas (¡gracias!), se nos había quedado en el tintero publicar una nueva versión de Anubis que resolviese unos problemas de funcionamiento que tenía debido al último cambio de API realizado por Google.

Pero como lo prometido es deuda..., aquí tenéis la nueva versión de Anubis, vamos por la 1.2. Esta versión posee de nuevo todas las herramientas operativas y algunas mejoras gráficas para hacer la herramienta más intuitiva, además de mejoras de estabilidad :-)

Para los que sea la primera vez que habéis oído hablar de Anubis, es una herramienta que publicamos hace algo más de un año desde mi blog y que permite automatizar la recolección y tratamiento de datos (footprinting y fingerprinting) durante los Test de Intrusión. Entre otras funcionalidades permite buscar dominios mediante Google Hacking, Bing Hacking, ataques de fuerza bruta contra el DNS, transferencias de zona, etc. Además, permite identificar el sistema operativo de las máquinas que hay tras los dominios mediante análisis del banner, búsqueda de errores y la integración de la herramienta nmap. Por otro lado contiene otras herramientas útiles como un fuzzer Web, la búsqueda del registrador de un dominio mediante consultas Whois, o la identificación de software utilizado en la organización y personal existente en la misma mediante el análisis de metadatos en los ficheros PDF.

La herramienta la podéis descargar desde AQUÍ.

Ya hay más de 1500 usuarios que han probado la herramienta. A continuación os dejamos algunas capturas de pantalla:

 

Disfrutadla, saludos!

lunes, 27 de junio de 2011

Hijacking en Tuenti

Compartir este artículo:
 

Hace poco se publicó en el blog de mi amigo (and boss) Chema un artículo sobre vulnerabilidades en Tuenti. La verdad que la serie está siendo muy interesante y os recomiendo seguidla. Mucha gente se pregunta ¿por qué esta inseguridad en tuenti?¿por qué si se conocen no se solucionan? bueno cada uno puede tener su perspectiva, pero entra en juego el rasante de la doble moral. Por un lado, hay quien piensa si esto es una red de entretenimiento social no hace falta grandes medidas de seguridad, total, es un juego. Realmente tuenti no es un simple chat dónde la gente intenta ligar y todas las tías son tios... por lo que debería tener un poco más de seguridad, y sobretodo tomarse un poco más en serio los pequeños fallos, que se convierten en grandes, cuando simplemente capturando una cookie solo necesitas saber el valor del parámetro SID. No descartamos que se pueda adivinar como se genera ese valor, pero por el momento lo desconocemos.

¿En qué consiste este ataque?

Esto es realmente sencillo, como bien se comentó en el lado del mal Tuenti solo valora el valor del parámetro SID de la cookie de sesión. Incluso hay un parámetro que se denomina token sign que no sirve, o aparentemente, para su propósito o para lo que cualquier persona pensaría que podría servir. Resumiendo, ¿me estás diciendo que si yo capturo una cookie de tuenti, ya sea mediante un MITM o un XSS u otros métodos puedo suplantar la identidad de un usuario de esta red social simplemente creándome una cookie con nombre SID en el navegador? La respuesta es si.

Vamos a ver una prueba, imaginaros que yo estoy en una red grande y en la que muchos jóvenes, que son los usuarios típicos de tuenti, están conectados. Vamos a tomar como ejemplo una Universidad. Ahora vamos a poner como ejemplo que esa Universidad tiene una red Wifi para que sus alumnos puedan conectarse por todo el campus, bueno entonces muchos alumnos podrán conectarse, ¿no? Cuantos más usuarios más posibilidades de que muchos de ellos estén en tuenti, el futuro del país, jóvenes que buscan conocer gente, y enseñar al mundo sus fotos de las noches del finde en la que acaban contando baldosas de vuelta a casa... si ¡así somos los jóvenes! bromas aparte sigamos...

Podemos capturar el tráfico aleatoriamente, es decir, hago un mitm, si la red es switcheada, y con Wireshark capturo la cookie, ¡bingo! En el filtro de Wireshark por ejemplo escribo 'http contains "tuenti"' o 'http contains "Cookie" && http contains "tuenti"' y de este modo solo se mostrarán los paquetes que contienen una cookie de tuenti.

A continuación podéis ver un ejemplo:

[caption id="" align="aligncenter" width="493" caption="Captura cookie tuenti con Wireshark"][/caption]

Una vez que se puede observar el campo cookie en el protocolo HTTP simplemente botón derecho sobre el campo cookie y copiar valor. Pegarlo en un notepad y fijaros en el parámetro SID, es el parámetro más importante.

Ahora simplemente copiaros ese parámetro en un navegador mediante un complemento para gestión de cookies. En las pruebas se han utilizado 'Cookie Editor' 'Cookies Manager', cuidado con el 'Cookie Manager' ya que no permitía poner que la caducidad de la cookie sería sin fecha, es decir, por cierre de sesión y si lo realizas con ese complemento observarás que la sesión robada de tuenti se reinicia cada vez que carga (este problema se veía también si utilizas Firesheep). Para un correcto funcionamiento utilizad los complementos mencionados anteriormente.

A continuación imagen de como se crea la cookie con un complemento de gestión de cookies en un navegador. Lo más importante a recordar... Nombre cookie: SID. Contenido: <valor del parámetro SID, lo tendremos copiado en el notepad>. Host: .tuenti.com Path: /

Fijaros bien en el punto delante de la palabra tuenti.com.

 

Creación de la cookie SID

Una vez creada en el navegador todo es tan sencillo como ir a la web www.tuenti.com y ¡ouch! ¿Dónde está la pantalla de login? estamos dentro de la sesión robada. Claro si la otra persona le da a cerrar sesión, la sesión se cerrará o si nosotros pinchamos en cerrar sesión le cerraremos la sesión a la víctima. Recordad que esto no siempre ocurre, sólo tenemos que recordar casos como los de twitter o Windows Live.

A continuación imagen de lo que nos encontramos al ir a la URL de tuenti.

 

[caption id="" align="aligncenter" width="561" caption="No hay pantalla de login, ouch!"][/caption]

En definitiva, un fallo el cual hipotéticamente y posiblemente ellos pensarán que es mediocre o un fallo leve, pero que los usuarios de tuenti juzguen si este pequeño fallo es pequeño o un agujero muy explotable.

domingo, 26 de junio de 2011

Informe Flu - 25

Compartir este artículo:

Damos comienzo al resumen de la semana 25 de Flu:

Lunes 20 de Junio

  • El lunes hicimos oficial nuestra participación como ponentes en uno de los congresos de seguridad más importantes de Europa, la No cON Name, con nuestra ponencia: ‘Técnicas oscuras para combatir la pederastia en Internet’. Esperamos veros por allí a todos :-)  Flu se va a la No cON Name 2011

Martes 21 de Junio

Miércoles 22 de Junio

Jueves 23 de Junio

Viernes 24 de Junio

Sábado 25 de Junio

 

sábado, 25 de junio de 2011

Plugins de WordPress posiblemente troyanizados

Compartir este artículo:

Según un escueto comunicado de WordPress.org, algunos de sus plugins más utilizados (AddThisWPtouch, y W3 Total Cache) han podido verse comprometidos o al menos así lo sospechan. Hasta que esto no se confirme y como medida de precaución, desde la página de WordPress recomiendan el cambio de password de todos los usuarios y en especial del administrador.

Hace tiempo que el propio WordPress también tuvo problemas de seguridad que hizo a sus usuarios actualizar urgentemente la versión del mismo. Esta vez le toca al repositorio en el que se almacenan sus plugins. Según el comunicado mencionado, se han encontrado indicios que algunos commits (actualizaciones de código en un repositorio) han podido no ser realizados por los desarrolladores de dichos plugins.

Página del comunicado:

Saludos,

 

viernes, 24 de junio de 2011

WriteUp Forensics100-CTF Quals DefCon

Compartir este artículo:

Hace unas semanas terminó el CTF de DefCon. Jamas habia participado en un CTF DefCon y la verdad esque fue bastante dificil. @paco_ y @r0bertmart1nez de hacking.mx me invitaron a su equipo y estuve jugando ahi, asi que lo muy poco que avanzamos es completamente para el equipo #kame0. Pero como me es costumbre siempre ando en el irc de RICteam con lo parceros que son los mejores =) unos Duros, divertidos (sobre todo usted @Phicardo)

Bueno al writeup, intentaré ser los mas breve. Yo pasé el Forensics100 de una manera tal vez no muy élite o limpia, pero fue rápido y funcional.

Nos proveen de esta imagen png. Una imagen bastante curiosa de 19025*1 pixeles:

Existe un patrón que parecía ser cada 450 pixeles con un pixel azul. Asi que siendo la imagen de esas dimensiones todo indicaba cortar esa imagen cada 450 pixeles y armar una imagen nueva poniendo cada imagen debajo de la otra.

Para cortarla y no complicarme decidi usar imagemagick con su programa convert con crop.Para cortar con crop se hace de la siguiente manera:

1
$convert -crop WxH+x+y image output

Donde W es el anchoH el alto de la imagen que se va a cortar. +x es la coordenada positiva desde donde se cortara en eje X+y es lo mismo pero para el eje Y.

Esto lo tenemos que hacer varias veces hasta alcanzar el final de la imagen. Pero para esto hice uso de recursividad en Bash, como ya habia mostrado antes

1
$for ((i=0;i<=19025;i+=450));do convert -crop 450x1+$i+0 forensics100.png out$i.png;done

Aqui lo unico que hago es aplicar el comando y el for lo uso para recorrer la posicion de la coordenada “X” e ir cortando cada 450 pixeles y doy salida a nuevos archivos. Al final Obtuve 43 imagenes.

Aqui ya solo lo que hice fue con gimp cargar las imagenes como capas y acomodarlas una por una debajo de otra:

Y despues de tantito trabajo. Obtenemos esta imagen:

Ahi se pueden leer dos cosas: arriba se ve algo como “i love Me to me….”

Aunque la verdadera flag era: thankYouSirPleasemayIhaveAnother

P.D. (Tenia un error en una mayuscula que no distinguia y en esa parte me ayudo el parcero “monje” Gracias mi amigo)

Atte. hecky

hecky@neobits.org

Sígueme en twitter: http://twitter.com/hecky

 

jueves, 23 de junio de 2011

Implantar medidas de seguridad en accesos restringidos

Compartir este artículo:

Buenas a todos, en el post de hoy me gustaría hablaros de las diferentes medidas disponibles en el mercado para bloquear el acceso a ciertas salas de nuestras organizaciones que contienen elementos a los que no podría acceder cualquier empleado o persona ajena a la empresa.

Es habitual que los directivos se echen para atrás a la hora de implantar este tipo de medidas, debido a que parece que son soluciones caras y difíciles de implantar, y no acaban siendo instaladas hasta que es necesario porque se esté realizando la implantación de una ISO 27001 o haya pasado algún incidente con alguien que haya visto cosas que no debía ver, para que por fin se instalen.

Dependiendo del grado de profesionalidad que se requiera se podrán aplicar algunas soluciones más o menos económicas, en este post analizaremos algunas soluciones de coste bajo y medio.

 

Lectores de tarjetas magnéticas

Este tipo de dispositivos son una solución económica y una de las más utilizadas en la actualidad para acceder a lugares restringidos. Su precio parte aproximadamente desde los 20€.

http://www.dealextreme.com/p/usb-universal-magnetic-stripe-credit-debit-card-bidirectional-track-2-swipe-reader-75-210bpi-25053

Lo malo de este tipo de dispositivos es que requieren el uso de tarjetas, que se van estropeando, los trabajadores pierden y además, son necesarias actualizarlas cada cierto tiempo, y reprogramarlas.

En caso de pérdida de la tarjeta, se estaría poniendo en riesgo el contenido de las salas protegidas.

Cada tarjeta tiene un coste que parte en unos 2€.

http://www.dealextreme.com/p/blank-writable-rewritable-3-track-low-density-magnetic-stripe-cards-10-pack-17891

 

Teclados de número PIN

Los teclados de número PIN son una solución clásica para proteger los accesos restringidos. Cuentan con el plus de que el PIN no se puede perder como una tarjeta, a menos que sea escrito en algún lugar. Hay que tener cuidado para evitar alguien que utilice la técnica del shoulder surfing, para ello muchos de estos aparatos vienen con un "tejadillo" que tapa la mano. Por ejemplo, el siguiente:

http://www.dealextreme.com/p/ps-2-pin-keypad-magnetic-stripe-credit-debit-card-bidirectional-3-track-swipe-reader-18344

Su coste es muy parecido al lector de tarjetas magnéticas y parte desde unos 20€.

 

Lectores de huellas digitales

Estos dispositivos requieren una base de datos de huellas, que deberían ser tomadas a todos los empleados, a los que se le darán diferentes accesos dependiendo de su huella.

Los precios desde los que arrancan estos aparatos suben un poco respecto a los anteriores, parten sobre los 40€.

http://www.shopinformatica.com/info.asp?idp=6668

 

Dispositivos que integran lectores de huellas, de tarjetas y de PIN

Otra posibilidad es la de tener los tres anteriores en un solo aparato, en este caso sería necesario recurrir a alternativas más profesionales como la siguiente:

http://www.todoespia.com/tienda/?padre=0&cat=168&cate=Control%20Biom%E9trico

Con él sería posible utilizar la autenticación de dos factores (es decir, algo que es necesario conocer, como por ejemplo un número PIN y algo que es necesario tener, como por ejemplo una tarjeta) para dar más seguridad a los accesos.

 

Dispositivos que integran lectores de huellas, de tarjetas y reconocimiento facial

Últimamente se están poniendo de moda los sistemas de reconocimiento facial, que hasta hace unos años parecían únicamente de película hollywoodiense. Por ejemplo el siguiente sistema integra todo lo del modelo anterior más el sistema de reconocimiento facial, aunque su precio ascendería a los 600€:

http://es.ucables.com/ref/FINGERPRINT-READER-AC-R273827 Escáneres de retina

Los escáneres de retina son una de las soluciones más seguras a la hora de autenticar usuarios y una de las que cuenta con una menor tasa de falsa aceptación. Una de las pegas que las hace menos amigables a los usuarios es que para poder realizar el escaneo al ojo es necesario tenerlo a una distancia de unos 2cm, lo que lo convierte en un sistema algo incómodo.

 

En mi organización contamos con lectores de huellas digitales y lectores de tarjetas por proximidad. ¿Y vosotros que sistemas tenéis en vuestra organización?

Saludos!

miércoles, 22 de junio de 2011

Smooth-Sec

Compartir este artículo:

De la mano del señor Phillip Baley, creador del proyecto, nos llega Smooth-Sec. Esta distribución de Linux, que viene con Suricata y Snorby integrados de serie y está basada en Ubuntu 10.04 LTS, nos proporciona un sistema robusto de IDS/IPS con el que controlar las actividades sospechosas de nuestra red.

Una de las principales ventajas de usar Smooth-Sec, es el ahorro de costes de implementación al poder realizar un despliegue sin necesidad de realizar las tareas de instalación del sistema operativo, securización del mismo e instalación y configuración del software IDS/IPS.

Sobre el sistema de IDS/IPS que soporta, Suricata, poco más hay que escribir que no se sepa. Suricata es el potente motor de “The Open Information Security”, que se ha ido haciendo un sitio entre los grandes de la detección de intrusos, experimentando un fuerte ascenso desde el cambio de licencia de SNORT hace unos años.

Compatible con las reglas de este último y con los Emerging Threaths, cuenta con detector automático de protocolos, estadísticas de rendimiento que permiten ajustar su configuración, proceso Multi-Threaded (vital en un IDS/IPS) y un módulo específico de registro para HTTP (incluyendo un descompresor gzip).

Por su parte, Snorby es un interface web para la monitorización y gestión de Suricata que facilita la cuantificación de las alertas emitidas por el IDS/IPS contanto con un sencillo cuadro resumen a través del cual podremos tener una visión del estado de las alertas a alto nivel e ir descendiendo hasta el detalle de las alertas.

Aunque el sistema viene preparado para VMWare, yo lo he instalado en VirtualBox y funciona perfectamente.

Más información:

Prueba el interfaz de Snorby:

Saludos,

 

martes, 21 de junio de 2011

Un repaso a la historia del Malware (II de VI)

Compartir este artículo:

Buenas a todos, hoy arrancamos esta apasionante cadena de artículos sobre la historia de los computadores y el malware hablando de la década de los 60.En los años 60 se produjo un gran salto computacional gracias a la actualización a finales de los 50 de los hasta el momento imprescindibles, tubos de vacío, por los transistores y posteriormente en 1963 con el comienzo del uso de los primeros circuitos integrados por parte de la NASA para el Apollo Guidance Computer y por los militares en el misil balístico intercontinental LGM-30 Minuteman. Este cambio arquitectural de las computadores hizo nacer la que ahora es conocida como la "Tercera Generación de las Computadoras".

En 1960 el DEC PDP-1, crea el que es considerado el primer monitor de un ordenador, el "cinescopio". Este invento inspiró a los primeros “hackers”, Victor VyssotskyRobert Morris Sr.Dennis Ritchie (de los laboratorios Bell) a programar en esta máquina el primer videojuego Core War, al que denominaron como "Darwin". Consistía en dos programas que luchaban entre sí para ocupar el mayor número posible de una memoria común compartida para destruir al enemigo.

Hablar de ordenadores en aquellos años era hablar de IBM, la gigante informática por excelencia hasta la fecha. En 1964 presentó sus nuevos computadores, los IBM 360, que incorporaban los primeros circuitos integrados, y lo más importante, se manejaban por medio de lenguajes de control de sistemas operativos. El sistema operativo de la serie 360, fue denominado como OS e incluía un conjunto de técnicas de uso de memoria y del procesador que pronto se convirtieron en estándares. Este ordenador hizo que John Kemeny y Thomas Kurtz desarrollaran, en el Darmouth Collage, el BASIC.

Ese mismo año la CDC presentaba su serie 6000, con el ordenador 6600, uno de los más rápidos hasta la fecha.

En 1966, la gran Hewlett-Packard entró en el negocio de los ordenadores (de propósigo general), presentando el HP-2116. Esta bestia de la computación, que era capaz de rivalizar en velocidad de ejecución con otros computadores de propósito específico, soportaba, entre otros, los lenguajes BASIC, ALGOL, y FORTRAN (desarrollado por IBM en 1957), que como sabéis se siguen utilizando en la actualidad en numerosas organizaciones.

A finales de los 60, en 1969, Data General consiguió vender 50.000 ordenadores de su modelo "Nova", nada más y nada menos que a 8000 dólares la unidad. Fue uno de los primeros de 16bits.

En el próximo post hablaremos sobre los años 70, cuando fue creado el primer sistema anti-virus.

Saludos!

 
 

Un repaso a la historia del Malware (I de VI)

Un repaso a la historia del Malware (II de VI)

Un repaso a la historia del Malware (III de VI)

Un repaso a la historia del Malware (IV de VI)

Un repaso a la historia del Malware (V de VI)

Un repaso a la historia del Malware (VI de VI)

Fuente: Wikipedia

lunes, 20 de junio de 2011

Flu se va a la No cON Name 2011

Compartir este artículo:

Si señor, hoy ya podemos decirlo abiertamente, hace una semana nos comunicaban desde la Asociación No cON Name que nuestra conferencia había sido aceptada para estar en la edición de 2011. Es un verdadero honor que Juanan y yo podamos estar allí en Septiembre rodeado de gente tan reconocida en el sector. Empezando por Juan Garrido y Chema Alonso con los que comparto el día a día.

Queremos dar las gracias a toda la asociación, y en especial Seifreed por ser tan cojonudo ;) quemaremos barcelona, no?

...y ¿qué carajo vais a contar?

La ponencia se titula 'Técnicas oscuras para combatir la pederastia en Internet' e intentaremos dar una visión global del problema que hoy en día es muy abundante entre los jóvenes e Internet. Concienciación, seguridad y técnicas para combatir la pederastia en Internet.

Por supuesto Flu-AD estará allí, Anti-Depredadores estará representado en la ponencia.

Descripción

Uno de los mayores problemas que caracterizan Internet es la posibilidad de conectarse de manera anónima, posibilitando así la suplantación de identidades por parte de usuarios con intenciones maliciosas, entre los que se encuentran, pederastas, pedófilos, etc. La entrada de usuarios más jóvenes con poca experiencia es una situación que llama la atención de los llamados depredadores de la red. Este tipo de usuarios utilizan técnicas de persuasión, amenazas y engaños sobre los jóvenes que se exponen a este tipo de situaciones, con la intención de obtener vídeos, imágenes, favores sexuales de menores de edad, etc. En la actualidad se pueden combatir este tipo de abusos de manera proactiva mediante el uso de técnicas de ‘Hacking Ético’. La presente ponencia analiza los resultados de varios estudios sobre los peligros de los jóvenes en Internet y en las Redes Sociales con los casos de Ciberbullying. Además, presenta una herramienta de tipo malware orientada a la recolección de evidencias que ha sido desarrollada por la Comunidad Flu Project para combatir de manera específica los casos de Ciberbullying.

Por cierto el grito de guerra que os dejo...

[youtube e5CrrKeZU1s nolink]¡A Barcelona, nos vamos a Barcelona, a Barceloooona, nos vamos a Barceloooona...!

DNS poisoning con Cain y Abel

Compartir este artículo:

Hola!

Muy buenas a todos/as!

El otro día podíamos ver como hacíamos un ataque man in the middle con Cain y Abel, hoy lo que haremos será envenenar la cache DNS, así que las consultas que haga la víctima, por ejemplo a http://dragonjar.org haremos que sea redirigido a http://seifreed.com.

Con esto conseguimos por ejemplo suplantar una página sin que el usuario se de cuenta, o por ejemplo redirigir hacía una página de exploits.

Ya tenemos el man in the middle corriendo, ahora nos vamos a APR – DNS

Añadimos la URL que queremos suplantar

Hemos añadido que cada vez que el usuario vaya a http://dragonjar.org, resolveremos por el host que queramos,

Después de poner el dominio que nos interesaba, lo resolvemos para sacar la IP.

Podemos ver todo el tráfico que se va generando.

Los ataques de DNS poisoning, son muy peligrosos.

Un saludo

 

domingo, 19 de junio de 2011

Informe Flu - 24

Compartir este artículo:

Damos comienzo al resumen de la semana 24 de Flu:

Lunes 13 de Junio

  • Juanan nos enseñaba un patrón de diseño para evitar SQL Injection, ActiveRecord.

Martes 14 de Junio

Miércoles 15 de Junio

Jueves 16 de Junio

Viernes 17 de Junio

Sábado 18 de Junio

 

sábado, 18 de junio de 2011

Un repaso a la historia del Malware (I de VI)

Compartir este artículo:
 [caption id="attachment_3035" align="alignright" width="281" caption="Imagen de www.saramanzano.com"][/caption]

Buenas a todos, hoy vamos a dar comienzo en Flu Project a una cadena de artículos en los que analizaremos la historia del malware desde los años 60 hasta la actualidad.

En cada artículo analizaremos una década, y hablaremos sobre el tipo de ordenadores que había, recuperaremos fotografías con algunos de los modelos más destacados y explicaremos los distintos malware que hayan nacido durante esos años y con qué objetivos, como  funcionaban, etc.

Si queréis os animamos a que nos enviéis información que tengáis sobre malware de éstas décadas para ir completando la cadena de artículos antes de publicarlos, y convertirlos así en un buen punto de información. También nos podéis enviar información sobre ordenadores y fotografías de vuestros computadores clásicos, yo intentaré buscar una de mi Amstrad CPC464 :P,

En el próximo post comenzaremos con los años 60, hablando de un interesante juego de tres grandes programadores que dió mucho que hablar :)

 

Hasta el próximo post!

 

 
 

Un repaso a la historia del Malware (I de VI)

Un repaso a la historia del Malware (II de VI)

Un repaso a la historia del Malware (III de VI)

Un repaso a la historia del Malware (IV de VI)

Un repaso a la historia del Malware (V de VI)

Un repaso a la historia del Malware (VI de VI)

viernes, 17 de junio de 2011

Hack windows 7 method css internet explorer 8

Compartir este artículo:

En este video Muestro Como penetrar un sistema windows 7 con Internet Explorer 8. Utilizaremos el exploit "Internet Explorer 8 CSS Parser Exploit" se puede encontrar aqui, o bien en la manera que lo muestro en el video es por medio del Framework de Metasploit que se encuentra bajo el nombre de "Windows/browser/ms11_xxx_ie_css_import", a continuación unos detalles sobre el:

Description:Thie module exploits a memory corruption vulnerability within Microsoft\'s HTML engine (mshtml). When parsing an HTML page containing a recursive CSS import, a C++ object is deleted and later reused. This leads to arbitrary code execution. This exploit utilizes a combination of heap spraying and the .NET 2.0 'mscorie.dll' module to bypass DEP and ASLR. This module does not opt-in to ASLR. As such, this module should be reliable on all Windows versions.

References:http://www.osvdb.org/69796http://www.securityfocus.com/bid/45246http://www.wooyun.org/bugs/wooyun-2010-0885http://seclists.org/fulldisclosure/2010/Dec/110http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

Descripción:«Este módulo explota una vulnerabilidad de corrupción de memoria en el motor de HTML de Microsoft (MSHTML). Al analizar una página HTML que contiene una importación de un CSS recursivo, se elimina un objeto C++ que luego es reutilizado. Esto posibilita la ejecución de código arbitrario. Este exploit utiliza una combinación de “heap spraying” y el módulo “mscorie.dll” de .NET 2.0 para eludir a DEP y ASLR. Este módulo está excluído de ASLR. Por lo tanto, debería funcionar en todas las versiones de Windows.»

Referencias:http://www.osvdb.org/69796http://www.securityfocus.com/bid/45246http://www.wooyun.org/bugs/wooyun-2010-0885http://seclists.org/fulldisclosure/2010/Dec/110http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

[youtube fdeQ31DKg7c nolink]

------------------------------------------------Actualización 17/06/2011 - 18:05. Agradecimientos a eVeR.

jueves, 16 de junio de 2011

Tus documentos importan, cífralos

Compartir este artículo:

 

Los documentos personales, documentos privados de una empresa, datos de clientes, datos de trabajadores, no pueden estar al alcance de cualquiera. Si la información la llevamos en dispositivos de almacenamiento externos, ya sean discos duros o una memoria usb, es muy interesante utilizar una partición cifrada para mantener a salvo los documentos.

Es decir, es muy recomendable que si llevamos información personal o delicada tengamos 2 particiones, una partición no muy grande para la documentación confidencial y que dicha partición esté cifrada y otra partición, muy superior de tamaño, y que no tenga cifrado.

¿Por qué la partición cifrada sería pequeña?

Cada uno debe tomar las decisiones que mejor le convengan para obtener la solución a su problema, pero normalmente, son los documentos de texto los que contienen información delicada de nosotros, de la empresa, etc. 

No sería la primera vez que información de trabajadores de una empresa es conseguida mediante la pérdida de una memoria USB incumpliendo la LOPD. En este caso, la culpa sería de la empresa ya que, aunque la pérdida de esa información delicada es del responsable del fichero, la ley cargaría contra la empresa en cuestión.

Soluciones en Windows

Microsoft incorpora desde Windows Vista la aplicación BitLocker que se encarga de cifrar el contenido de una partición de un disco duro interno. Cuando Microsoft liberó Windows Vista, traía la novedad de, BitLocker pero hay que tener en cuenta que hasta el Service Pack 1 de Windows Vista, BitLocker no podía cifrar otra partición que no fuera la del sistema. Con la aparición del Service Pack 1 apareció la posibilidad de cifrar otras particiones, siempre y cuando dicha partición estuviera en un disco interno.

Claramente, se veía la intención de Microsoft de dotar de seguridad fuerte a los datos de los usuarios, pero ¿Por qué no se puede cifrar dispositivos externos? Hasta la aparición de BitLocker To Go en Windows 7 no se podía cifrar el contenido de dispositivos externos, ni discos duros externos, ni memorias usb externas.

Soluciones en GNU/Linux

Para los sistemas Linux se puede utilizar una aplicación denominada cryptsetup. Una vez instalada esta aplicación desde Sistema > Administración > Utilidad de discos. En el video que se muestra a continuación se puede ver el proceso para crear 2 particiones, una de ellas cifradas.

[youtube M4JYkZxnhJw nolink]

Compatibilidad entre Windows y GNU/LinuxUna de las herramientas que nos permite disponer de esta compatibilidad es TrueCrypt. Además, es gratuita.[youtube oXfQcdKWnMM nolink]

 

 

 

miércoles, 15 de junio de 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (IV de V)

Compartir este artículo:

Buenas a todos, hoy continuaremos con la cadena de artículos sobre BCP, tratando los siguientes puntos:

5.- Diseñar un plan de continuidad del negocio.

6.- Diseñar un procedimiento de restauración de los servicios.

7.- Entrenar a los miembros de la organización mediante simulacros de problemas.

Si recordáis, en anteriores post hablábamos sobre si podría ser más rentable para nuestra organización recuperarse de un incidente más rápidamente pero a un alto coste material, o más lentamente y a menor coste. Este período es conocido como "Ventana de interrupción". Dependiendo de la decisión que se haya tomado, se deberá barajar entre una de las siguientes estrategias de recuperación:

  • Hot Site: Sitio alternativo totalmente configurado para operar en unas pocas horas. Cuenta con conexiones de red, luz, etc. y equipos informáticos. Su precio es bastante elevado.
  • Cold Site: Sitio alternativo sin configurar. Su activación puede requerir varias semanas. Su precio es económico
  • Warm Site: Sitio alternativo configurado parcialmente para operar en unas pocas horas. Por lo general cuenta con conexiones de red, luz, etc., pero no incluye equipos informáticos. Su precio es mayor que un Cold Site pero menor que un Hot Site.
  • Instalaciones duplicadas: Son lugares para recuperar las instalaciones críticas, que tienen instalaciones idénticas a las originales y por tanto están listos para funcionar inmediatamente. Para considerarse una instalación duplicada válida no puede estar sujeta a los mismos desastres que la instalación original. Por ejemplo, si ambas estuviesen en un mismo edificio, y se fuese la luz, no serviría de nada tener una instalación alternativa.
  • Acuerdos entre sedes: Suele utilizarse en empresas grandes con varias sedes y consiste en utilizar las instalaciones unas de otras cuando las suyas fallan.

Ahora bien, ¿qué aspectos tenemos que tener en cuenta para diseñar un plan de continuidad del negocio efectivo?. A continuación os resumo brevemente los puntos principales:

  1. Procedimientos de evacuación: Lo primero en cualquier BCP debe ser conservar la vida humana.
  2. Procedimientos de declaración de desastres: Antes de que ocurra un desastre, deben existir unos procedimientos a través de los cuales se pueda declarar cualquier tipo de desastre, ya sea natural o no. Y evidentemente hay que saber distinguir un incidente de un desastre. Por ejemplo, la infección de un equipo en la red con el "conficker" es un incidente, pero si no se detiene a tiempo y se permite su propagación por la red puede convertirse en un desastre.
  3. Distinción de responsabilidades en el plan: Una vez declarado el plan debe quedar muy claro "quien tiene responsabilidad de qué". Si no se definen bien es probable que cuando ocurra un incidente, los empleados se pisoteen unos a otros y se echen las culpas si las cosas no van bien.
  4. Pasos para la recuperación del sistema: Se deben detallar punto por punto todos y cada uno de los pasos necesarios para recuperar todos los sistemas de la organización.
  5. Recursos para la recuperación del sistema: Además de los pasos, también es necesario detallar los recursos necesarios para recuperarse del incidente (nº de equipos, software, conexiones de red, conexiones eléctricas, mano de obra, etc.)

Además deberían distinguirse los siguientes equipos, formados por empleados de la organización:

Es normal, sobre todo porque más del 90% de las empresas son PYMEs, que no haya empleados suficientes para cubrir todos los equipos, por lo que se pueden unificar.

Según el National Institute of Standards and Technology (NIST), el alcance de un BCP comprendería los siguientes planes:

  • El BCP en sí mismo, encargado del mantenimiento de las operaciones de negocio.
  • Plan de Recuperación del Negocio (BRP): encargado de la recuperación de las operaciones de negocio.
  • Plan de Continuidad de Operaciones (COOP): encargado del mantenimiento de las funciones esenciales en un sitio alternativo.
  • Plan de Soporte de Continuidad/Contingencia TI: Encargado de recuperar las operaciones clave.
  • Plan de Comunicaciones de Crisis: Encargado de los avisos al personal en caso de incidente.
  • Plan de Respuesta a Incidentes Cibernéticos: Encargado de enfrentarse a los incidentes cibernéticos maliciosos como ataques hacking.
  • Plan de Recuperación de Desastres (DRP): Encargado de realizar procedimientos detallados para restaurar las operaciones en un sitio alterno.
  • Plan de Emergencia de Ocupantes (OEP): Encargado de minimizar la pérdida de vidas o lesiones.

Cuando esté todo listo habrá que realizar una serie de simulacros de emergencia para verificar que todo el personal sepa que hacer en cada momento. Estos simulacros no solo harán hincapié en incidentes como incendios o inundaciones, también se simularán terremotos, ataques informáticos, o incluso ataques terroristas.

 

Eso es todo por hoy, hasta el próximo post!

martes, 14 de junio de 2011

Charla de seguridad en Monlau

Compartir este artículo:

Hola!

Muy buenas a todos/as!

La semana pasada tuve el honor de poder dar una charla en el colegio Monlau. Cuando fui a ver a Chema, que dió una charla sobre Passwords por defecto.

Charlando con el responsable del área de informática me ofreció el poder venir a dar una charla sobre Seguridad Wireless.

Así que me preparé dos charlas, una sobre seguridad wireless y otra sobre ataques en la red LAN.

He colgado las presentaciones en mi cuenta de Slideshare.

Aquí tenemos la de seguridad Wireless:

Y aquí podéis encontrar la de ataques en Red Local:

 

Disfrutadlas, saludos!

lunes, 13 de junio de 2011

Evita SQL Injection con patrones de diseño como ActiveRecord

Compartir este artículo:
 

Buenas a todos, en el post de hoy me gustaría hablaros sobre los patrones de diseño, como por ejemplo ActiveRecord, el cual es un mecanismo de Mapeo Objeto-Relacional (Object Relational Mapping - ORM), que son utilizados para acceder a los datos de una base de datos desde código sin necesidad de utilizar SQL. En concreto hoy os hablaré sobre sus beneficios de cara a la seguridad.

En primer lugar, y aprovechando que no es un tema muy conocido, aprovecharemos para explicar que son.

Los patrones de diseño son una manera de acceder a las tablas de una base de datos sin la necesidad de escribir ningún tipo de código SQL. Para ello solo utilizaremos clases y objetos, como en POO, Las clases están muy cerca de la representación de los datos en la BBDD y representan las tablas, son conocidas como "Modelos" y un objeto representaría una fila de una de las tablas de la BBDD, y se encargaría de encapsular el acceso a la misma, extraer, modificar y borrar datos.

A continuación os muestro un ejemplo con una parte de código de Castle ActiveRecord para .Net para que os hagáis una idea del funcionamiento. En este caso extraeremos los valores de las columnas "identificadorUsuario" que es Primary Key y "nombreUsuario" de la tabla "USUARIOS":

Modelo:namespace DatosUsuario.Models{[ActiveRecord(Table = "USUARIOS")]public class Persona : ActiveRecordBase<Persona>{Private int _identificadorUsuario;[PrimaryKey]Public int identificadorUsuario{get{ return _identidicadorUsuario;}set{ _identificadorUsuario=value;}}Private int _nombreUsuario;[Property]Public string nombreUsuario{get{ return _nombreUsuario;}set{ _nombreUsuario=value;}}}}

 

Este sistema reduce el uso de SQL hasta en un 80%, ya que los patrones de diseño como ActiveRecord, internamente se encargan de convertir nuestras operaciones con las clases y objetos en código SQL. Esta conversión se realiza de manera segura sin vulnerabilidades de SQL Injection. Por lo que así, gracias a esta abstracción, no habrá posibilidad de que generemos querys inseguras.

Por ejemplo, si un usuario malicioso intentase inyectar un "drop database" en SQL Server, Castle Active Record (wrapper de NHibernate) lo convertiría a SQL de una manera parecida a la siguiente:

EXECUTE sp_executesql 'select * from USUARIOS where nombreUsuario = @nombreUsuario', '@nombreUsuario varchar(65)', @nombreUsuario = 'drop database PEPITO;---';

Es decir, se parametriza, así no se ejecuta la sentencia SQL como código y simplemente se interpreta la inyección de código como texto.

¿Os parecen interesantes estas utilidades para interactuar con la BBDD o sois de los que les gusta SQL "a pelo"?

 

saludos!

 

domingo, 12 de junio de 2011

Informe Flu - 23

Compartir este artículo:
Damos comienzo al resumen de la semana 23 de Flu:Lunes 6 de JunioMartes 7 de JunioMiércoles 8 de JunioJueves 9 de JunioViernes 10 de JunioSábado 11 de Junio

sábado, 11 de junio de 2011

Atributos de ficheros en Linux y Unix: chattr y chflags

Compartir este artículo:
 

Conjuntamente con los permisos, los atributos de ficheros en Unix es una opción muy válida para restringir aún más, las operaciones a realizar con nuestros ficheros y directorios.

En sistemas Linux, se usa el comando chattr para cambiar estos atributos. Una vez “dominado” es uno de los comandos mas útiles en linux para salvaguardar la integridad de muchos de sus ficheros importantes conjuntamente con los permisos.

Es un comando poco conocido por muchos usuarios e incluso administradores de sistemas. Con chattr, y en sistemas de ficheros ext2 o posteriores, es posible asignarle atributos a los ficheros y directorios que residan en los mismos. El uso del comando está restringido naturalmente a root y en algunos casos al propietario del fichero (consultar la página man)

La tabla con los atributos y sus significados, la podemos ver aqui:

AtributoSignificadoEjemplo de uso
AEl valor de la fecha de acceso no será cambiado en cada lectura del fichero.Puede incrementar los tiempos de lectura al ahorrarse la actualización de este dato.
sEl espacio que ocupaba el fichero, será rellenado por bloques de ceros cuando el fichero sea eliminado.Muy util para realizar un borrado pseudoseguro de forma rápida. No obstante, es recomendable el uso de srm.
aEl fichero únicamente podrá ser abierto para añadir datos al mismo.Este atributo está pensado principalmente para usarlo con logs. Podemos modificarlos para añadir líneas pero no modificar más.
cActiva la compresión de los datos del fichero.En kernels con soporte de compresión, se comprime el espacio del fichero en disco de forma transparente para las aplicaciones.
DEste atributo hace que los datos escritos en un directorio, se sincronicen en el discto de forma automática.Es muy util en el caso de discos en memoria RAM o bien en aquellos que la escritura sea en formato raw. No es muy seguro para equipos de uso habitual.
dElimina el fichero o directorio de las copias de seguridad realizadas con la utilidad dump.Util para directorios como /tmp o aquellos de los que no queramos hacer backup o se hagan con otras herramientas.
ISuele venir por defecto en ext4 y ext3. Está relacionado con la utilización de la indexación vía htree de estos sistemas.Desactivando este atributo, podemos ahorrar tiempo de acceso en el caso de estar utilizando otros sistemas de indexación, aunque rara vez se dará el caso.
iPone el fichero en modo solo lectura y no es posible crear enlaces hacia el.Interesante atributo para activarlo en ficheros que rara vez son escritos. Binarios, ficheros de un servidor web, repositorios de consulta, o incluso ficheros de BBDD que no son accedidos vía web para su modificación.
jEn sistemas con ext3 o superior, es posible realizar el “journaling” de los ficheros con este atributo en el caso de que la partición no sea montada con tal opción.Puede ahorrar tiempos de acceso a disco montar un sistema de estas caracterìsticas y activar el journaling solo para determinados ficheros. No es muy recomendable.
SEste atributo tiene el mismo significado para los ficheros, que el D para los directorios.Es muy util en el caso de discos en memoria RAM o bien en aquellos que la escritura sea en formato raw. No es muy seguro para equipos de uso habitual.
TActiva el denominado Orlov block allocator en un directorio. Esto es, que el directorio con este atributo, se escribirá en las partes mas “rápidas” del disco.Este atributo es muy util para utilizarlo con algunos directorios con gran número de accesos como un directorio de un servidor web, el servidor de ficheros, etc.
tLos ficheros con este atributo, no presentan fragmentación en el sistema de ficheros.Realmente, no tiene mucho uso salvo para antiguos sistemas. Actualmente, los sistemas modernos, cuentan con FS resistentes a la fragmentación.

La forma de asignar un atributo es con el signo “+” y retirarlo es con el signo “-”. Para listar los atributos de los ficheros, se puede utilizar el comando lsattr.

Vamos a ver un ejemplo:

-bash-3.2# touch prueba-bash-3.2# chattr +i prueba-bash-3.2# rm pruebarm: remove write-protected regular empty file `prueba'? yrm: cannot remove `prueba': Operation not permitted-bash-3.2#id uid=0(root) gid=0(root) groups=0(root)....

En este ejemplo, hemos activado el flag iinmutable, y como vemos, ni siquiera el propio root puede eliminar el fichero. Otro ejemplo muy interesante:

-bash-3.2# chattr +a prueba-bash-3.2# rm pruebarm: remove regular empty file `prueba'? yrm: cannot remove `prueba': Operation not permitted-bash-3.2# echo HOLA > prueba-bash: prueba: Operation not permitted-bash-3.2# echo HOLA >> prueba

En este segundo ejemplo, activando el atributo aappend, no nos permite enviar datos al fichero para cambiar su contenido completamente, pero sí que nos permite la escritura para añadir datos al mismo.

En Unix, e incluyo naturalmente a OSX, el comando el cuestión es chflags y la utilidad del mismo es muy similar. Como siempre, recomiendo muchísima precaución a la hora de usar estos comandos ya que pueden dejar el sistema operativo totalmente inutilizable e inaccesible.

Saludos,

 

viernes, 10 de junio de 2011

msntunnel: Tuneliza conexiones TCP usando MSN Messenger

Compartir este artículo:

Como hace bastante tiempo que no publico nada tengo un montoooooon de basura arrinconada en los portátiles; y por esto, he abierto un proyecto en googlecode (rusoblancogarbage) para ir subiendo todos los scripts y códigos curiosos que tengo por aquí.

Para empezar he subido msntunnel.py, este pequeño script permite conectarte a un puerto de un host remoto usando como pasarela una conexion de MSN Messenger.

Teoría

La teoría es bien simple, en la máquina origen de la conexión se pone un puerto a la escucha que es leido por msntunnel.py, cada uno de los paquetes que se leen en ese socket se codifica en base64 y se mandan usando una cuenta de messenger como un mensaje de chat a una segunda cuenta de messenger manejada por otro proceso msntunnel.py en el host remoto,  el mensaje se decodifica y se envía al host (normalmente localhost) y puerto de destino.

Ejemplo

No os distraigais con el pedazo de esquema que he hecho con el Dia; os pongo un ejemplo.

Digamos que tenemos dos cuentas de MSN Messenger (host_a@hotmail.com y host_b@hotmail.com) previamente asociadas entre si como contactos.

Si quisiéramos conectarnos al puerto 22 de HOST B desde HOST A haríamos lo siguiente:

En HOST A:
root@host_a# python msntunnel.py -u host_a@hotmail.com -p passhosta -r host_b@hotmail.com -L 2222
En HOST B:
root@host_b# python msntunnel.py -u host_b@hotmail.com -p passhostb -r host_a@hotmail.com -R 127.0.0.1 -P 22

Una vez ejecutados estos comandos en sus respectivas máquinas deberíamos tener el puerto 2222 abierto en HOST A que corresponde con el puerto 22 en HOST B.

Ventajas

  • La ventaja principal de este tipo de tunneling es que no es necesario conocer la dirección IP de la máquina destino ya que todo el routing de mensajes se hace a través de un servidor externo.
  • Otra de las ventajas es que no existe comunicación directa entre las máquinas y por lo tanto es un poquito más dificil de rastrear.

Limitaciones

  • En esta versión no se verifica que el tamaño del paquete codificado en base64 sea lo suficientemente pequeño para que el protocolo de messenger lo admita, por lo tanto los paquetes grandes dan un error de envio (más bien creo que no llegan xD). Lo dicho, como ésta versión falla con paquetes grandes, lo mejor es que la probeis con algo como SSH o quizas sea suficiente con bajar el MTU de loopback (no lo he probado).
  • Otra limitación es la velocidad que se ve bastante afectada.
  • El canal de comunicación es controlado por un tercero (Microsoft) por lo que la modificación/intercepción/almacenamiento de la comunicación es posible para el.

Posibilidades

  • No sería demasiado complicado reescribir modificar el código para usar interfaces TUN en vez de sockets y así poder tener más libertad en la conexión.
  • Otra mejora interesante sería permitir la comunicación simultanea con más de una cuenta de messenger de la lista de contactos y así tener un auténtico servicio de VPN sin un servidor dedicado (OpenVPN/Hamachi por messenger x”D).
  • Incluir otros servicios de mensajería instantanea como jabber, icq, irc…

Descargas

jueves, 9 de junio de 2011

Os dejamos un día de margen para que podáis comprar la entrada "con precio reducido" para la NcN

Compartir este artículo:

Buenas a todos, algunos de vosotros os habéis puesto en contacto con nosotros para comentarnos que el último día del concurso coincide con el último día en el que podéis adquirir las entradas para la No COn Name a precio reducido. Por ello hemos decidido adelantar un día la fecha de finalización del concurso y que así podáis, en caso de que no ganéis el concurso, comprar vuestra entrada a precio reducido. Así que tenéis hasta las 23:59 del día 29 de Junio de 2011 para twittear mucho :)

Por otro lado, y viendo un poco la evolución de las primeras horas del concurso, comentaros como ya hemos hecho vía twitter que no se aceptarán los twitts escritos por bots. Tendréis que poner twitts de manera manual, y con textos "normales". Entiéndase por normales frases con contenido semanticamente correcto (aunque tenga faltas de ortografía, que eso a nosotros nos da igual, otra cosa es a vuestros profesores de Lengua ;-)).

Os recordamos que los twitts deben tener la siguiente estructura:

@noconname @fluproject <mensaje> #ncn2k11

Los Twitts que no respeten la estructura, con las menciones y el hashtag en el mismo orden que el indicado no serán contados. Tampoco lo serán los twitts de la gente que se dedique a hacer simplemente un RT de los mensajes escritos por otros usuarios, para así no perjudicar a los usuarios que se lo curran un poco más. Y finalmente, tampoco serán tenidos en cuenta los twitts de usuarios que escriban una frase poniendo un twitt por palabra, ya que como se ha indicado son twitts que carecen de frases con contenido semánticamente correcto (al menos que tengan sujeto y predicado :-)).

Si os queda alguna duda, podéis comentárnoslas por Twitter, email o con un comentario.

Tenemos 3 entradas a la espera de un ganador. ¡A twittear!

 

saludos!

Hacking Windows 7 con Fasttrack

Compartir este artículo:

Fasttrack es una herramienta maravillosa que nos ayuda a varias cosas, desde actualizar nuestro framework de metasploit y SET, hasta lanzar ataques automatizados.******************************************************************* **** Fast-Track - A new beginning... **** Version: 4.0.1 **** Written by: David Kennedy (ReL1K) **** Lead Developer: Joey Furr (j0fer) **** http://www.secmaniac.com **** *******************************************************************Fast-Track Main Menu:1. Fast-Track Updates2. Autopwn Automation3. Nmap Scripting Engine4. Microsoft SQL Tools5. Mass Client-Side Attack6. Exploits7. Binary to Hex Payload Converter8. Payload Generator9. Fast-Track Tutorials10. Fast-Track Changelog11. Fast-Track Credits12. Exit Fast-TrackEnter the number:Exiting Fast-Track...

--------------------------------En este caso are un .exe con la ayuda de msfpayload pero con la facilidad que nos otorga fasttrack, el mismo fasttrack nos da la opciòn de ponernos a la escucha de este payload generado para su conexiòn inversa con msfcli.--------------------------------Video AQUI

[youtube lQtDgVBobuE nolink]

miércoles, 8 de junio de 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (III de V)

Compartir este artículo:

Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre BCP tratando los puntos 3 y 4 expuestos en el primer post:

3.- Clasificar las operaciones realizadas en la empresa y su nivel de criticidad.

4.- Identificar los procesos que soportan funciones más críticas.

Clasificar las operaciones realizadas en la empresa y su nivel de criticidad

De la misma manera que se analizaba en el artículo anterior la clasificación que era necesaria realizar sobre los posibles incidentes que pueden causar un problema en la organización, se debe realizar una clasificación con las operaciones realizadas en la empresa según su nivel de criticidad.

A continuación os presento una de las clasificaciones que más comúnmente se utiliza:

  • Críticos: Se trata de funciones  que no pueden realizarse a menos que sean reemplazadas por capacidades idénticas. No pueden ser reemplazadas por métodos manuales, es decir, un usuario no puede realizar esa operación de manera manual en un tiempo y costes razonables. Por ello, la tolerancia a la interrupción es muy baja y el coste muy alto.
  • Vitales: Funciones que sí pueden realizarse manualmente pero únicamente por un período corto de tiempo. La tolerancia es mayor que la de los sistemas críticos, y los costes menores, aunque debería superar los 5 días para que os hagáis una idea.
  • Sensitivos: Estas funciones pueden realizarse de forma manual con unos costes asumibles para una empresa por un largo período de tiempo, aún así sería necesario la contratación de personal extra, recolocación de empleados, etc. Es un proceso difícil y exige mano de obra adicional para realizarse.
  • No sensitivos: Funciones sin importancia, a las que no es necesario dedicar apenas tiempo para restaurarlas.

Identificar los procesos que soportan funciones más críticas

Ya tenemos la clasificación, ahora tendremos que valorar si un sistema concreto se clasifica como crítico, vital, sensitivo o no sensitivo. Lo normal es determinar el riesgo basándonos en el impacto que tendría la ausencia del sistema, así como la probabilidad de que ese sistema tenga cualquier tipo de problema.

Por ejemplo, imaginemos que tras analizar las estadísticas de operación de un CPD, se ha llegado a la conclusión de que hay una probabilidad de que falle del 0,1%. Imaginemos ahora que el coste de tener un CPD alternativo por si falla sería aproximadamente de 3.000.000€. Por tanto la previsión de gasto "viable" en seguridad en un período de, por ejemplo, 3 años, no debería superar:

3.000.000 X 0.1% = 3000€

¿La estimación es sencilla verdad? Esta ecuación por tanto nos deja claro el porque todavía hay muchas organizaciones que invierten muy poco en seguridad, y es que "la seguridad" es cara, no solo en referencia al material software y hardware necesario, si no también a los costes en auditorías/consultorías, personal extra, etc. cuyo valor puede superar al del activo que se desea proteger. Por tanto, debemos entender también el punto de vista de nuestros jefes cuando les pedimos más seguridad y pasan de nuestro culo, entonces intentaremos demostrarle mediante este sistema si nuestra proposición es realmente viable (que seguro que lo es).

 

Hasta el próximo post, saludos!

martes, 7 de junio de 2011

¿Quieres una entrada para No cON Name 2011?

Compartir este artículo:

Si señor un título bueno no tiene que ser muy explicado, pero si quieres una entrada para asistir a la No cON Name 2011 solo tenéis que participar en el concurso creado entre la Asociación No cON Name y Flu Project. Flu Project junto con No cON Name sortearán 3 entradas mediante un concurso. El objetivo es que los usuarios/seguidores de Flu Project puedan asistir los días 16 y 17 de Septiembre, los cuales tendrá lugar uno de los congresos más importantes de seguridad informática a nivel Europeo, y podemos decir que hasta mundial, la No cON Name, que se realizará en la ciudad de Barcelona.

¿Cómo puedo conseguir mi entrada?

El concurso es bastante sencillo. Los usuarios interesados necesitan de un Twitter para poder twittear mensajes sobre el evento. Pueden poner cualquier comentario, aunque es aconsejable algo sobre seguridad, lo típico soy un fan security o tuenti tiene más agujeros que un queso de gruyere, eso sí, no se os olvide ponerle el hashtag #ncn2k11 para que se pueda contabilizar el tweet como válido. Otra de las cosas que no debéis olvidar antes de empezar a enviar tweets es hacerse follower de Flu Project (@fluproject) y de la No cON Name (@noconname), esto es un requisito necesario ya que si no, no se podrán contabilizar correctamente los tweets.

Por último comentaros que los mensajes de los tweets deben tener el siguiente patrón:

@noconname @fluproject <mensaje> #ncn2k11

Es importante que se mantenga el patrón anterior ya que facilitará contabilizar el número de tweets. Los tweets que no lleven el patrón no serán contados como válidos.

¿Quién ganará las entradas?

Son 3 entradas las que hay en juego y serán otorgadas a los usuarios que manden mas tweets con el patrón anterior. Es decir, el usuario que más tweets mande ganará la primera entrada en juego, el segundo la segunda y el tercero la tercera.

No dejes para mañana lo que puedas hacer hoy, no dejes de twittear para conseguir tu entrada para la No cON Name.

Plazos

El concurso empieza el día 8 de Junio de 2011, es decir, este miércoles a las 00:00. A partir de este día podréis estar twitteando para conseguir vuestra entrada. El concurso finaliza a las 23:59 del día 30 de Junio de 2011.

Una vez tengamos ganadores los chicos de la No cON Name se pondrá en contacto con vosotros, daremos la lista oficial de ganadores en Flu Project, no dejéis para mañana lo que podéis twittear hoy.

¡Ánimo!