30 jun 2012

Pantalla Pública XIII

 

Buenas a todos, hoy vamos con el post 13 de la cadena pantalla pública. Podéis seguir envianos nuevas pantallas públicas a nuestro email info@flu-project.com

La primera pantalla del hoy nos la pasa nuestro amigo Fossie, ¡saludos!, os dejamos con su mensaje:

Te adjunto dos imágenes para la sección "Pantalla Pública"La primera es de una oficina de la CAM, no se ve demasiado bien pero es un error al iniciar el ordenador.La segunda se de una tienda de ropa que tienen una pantalla plana para poner anuncios publicitarios y les ha saltado la actualización de Ubuntu pero lo curioso es que parece que nadie mira la pantalla porque el cartelito de Ubunto permaneció ahí toda la mañana.SaludosEnhorabuena por tu blog!!!!

 

El siguiente pantallazo me lo mostró un amigo el otro día en la oficina, ¡vaya, me quedo sin mi hamburguesa!Saludos!

29 jun 2012

FesTICval 2012: La visión de Flu Project

El FesTICval es uno de esos eventos que uno tiene la responsabilidad ética de ayudar, ya que el conocimiento y las ganas de los chavales de aprender y conocer las TIC son envidiables... Quien pillase aquella edad de nuevo, 14, 15, 17, 17 años... lo que se ve allí es vida, ganas de conocer gente, mundo, situaciones, sensaciones... relaciones sociales, recordad que no todo es el ordenador.

Flu Project tenía la deuda moral siempre con la URJC, por todo lo que nos ha aportado todos estos años, no sólo nos ha dado conocimientos, si no allí uno desarrolla otras habilidades, como son las sociales... quizá lo más importante de todo lo aprendido, quizá algo más interesante que sacar un 10, una matrícula, o el reconocimiento, incluso, de algunos de tus compañeros (otros han sido mu' grandes)... Os recuerdo que cosas que hacer en la biblioteca, en el URJC Tech Fest, fue un evento en el que se explicó que la biblioteca era un sitio dónde se hacían muchas más cosas que, simplemente, estudiar...

Nos dieron 2 talleres, el primero "La biblioteca no es solo estudiar", el cual se puede ver como una segunda parte de "cosas que hacer en la biblioteca", y el segundo "redes sociales: tu también puedes caer". El primero fue llevado a cabo por Miguel Ángel Moreno Álvarez, el cual demostró su destreza y conocimientos en ataques de redes de datos, ¿estarán basados en hechos reales? ya hemos dicho que la biblioteca sirve para mucho más que estudiar... (y si no que se pase alguno por los ba#*$) Por otro lado, en el taller de redes sociales, se daba la alternativa a Sonía Frías, la cual demostró ser una gran comunicadora y tener sangre fría para llevar a cabo el taller con un éxito increíble. Ellos representaban a Flu Project, ya que Juan Antonio se encontraba en Le France, aprovechando sus vacaciones, merecidas... y yo... como siempre liado de trabajo... en mi querida Informática 64.

En la imagen anterior, se ve un ataque por detrás a los asistentes, se ve como se les hace una captura de pantalla a traición... ¿estarían siguiendo lo que decía la ponente Sonia?

Desde Flu Project, queremos agradecer a Sonia y Miguel su ayuda desinteresada y la participación que han realizado en estas jornadas. También agradecer a la URJC la confianza que siempre depositan en nosotros, ya que al fin y al cabo, profesionalmente somos una mezcla de por dónde pasamos, y allí empezó todo...

Felicidades por el evento, y esperemos que el próximo año sea aún mejor. Por cierto, César agradecerte desde aquí tu confianza, y para el próximo año esperemos que estés con menos estrés! Ánimo!

28 jun 2012

Seguridad en hoteles

Uno cuando va viajando y se aloja por ahí, nunca saber que puede ir encontrando en la red a la que se va a conectar.

Uno de los sitios donde se suele alojar la gente cuando viaja es en los hoteles. Algunos hoteles ofrecen conexión Wireless para que los clientes se puedan conectar de manear gratuita junto con el alojamiento que ya han pagado.

Este tipo de infraestructuras que ofrecen al usuario que pueda ver su correo, conectarse por VPN o simplemente estar un rato de ocio, también es un foco de peligrosidad, mas que nada es que una red, y es queque no sea de confianza y uso habitual, puede ser un foco de peligro.

Y esto ocurre cuando la red no está debidamente configurada.

Así rápidamente una configuración ideal, podría ser:

Por ejemplo para cada usuario se podría asignar VLAN’s distintas.

O que la parte de dispositivos de red tuviera configurada isolation.

Si un usuario se autenticara en la red del hotel podría escanear la red local en busca de objetivos

Aquí tenemos un listado de usuarios con vulnerabilidades que un atacante podría explotar.

Se han encontrado vulnerabilidades del siguiente tipo

Como véis se pueden ver vulnerabilidades.

Una de las vulnerabilidades nos permite ver por ejemplo el nombre de un dispositivo Apple conectado a la red.

Las redes en los hoteles nos permiten hacer mas cosas pero lo veremos mas adelante, los escenarios, son múltiples jujuju

27 jun 2012

USB Forensic

Hola a todos!

Hoy vamos hablar sobre los usb, como ya comente en anteriores artículos Windows lo guarda todo, eso lo saben bien los "compis" que se dedican al análisis forense. Y los dispositivos externos no iban a ser menos, cada vez que conectamos un dispositivo externo al ordenador Windows guarda su identificador en el registro. Con lo cual se puede sacar información muy buena como el número de serie, la marca, el modelo, cuando se escribió o modifico por última vez.

 Para poder acceder a esos datos tenemos que abrir el editor de registro y escribir la siguiente ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Como podéis ver, se ven todos los dispositivos que fueron conectados al pc.

Como ejemplo abrimos un dispositivo usb a analizar, vamos a la opción  FriendlyName, en el podemos ver el nombre del dispositivo, (la marca).

Como comente antes, se puede sacar mucha información, así que poneros a trastear.

Sino queréis hacer de forenses y estar entretenido mirando la información de los dispositivos conectados en los pc, podéis borrar todas las huellas con este software: usboblivion, es muy fácil de usar, con el preserváis vuestra privacidad, sobre todo en ordenadores compartidos.

Cuidado donde metéis el pendrive, hasta la próxima saludos.

Autor: Francisco Javier Santiago Vazquez

Sitio web: http://www.flu-project.com/usb-forensic.html

26 jun 2012

Apuntes sobre nmap

Anteriormente, en Flu Project, hemos estado viendo algunos apuntes sobre la herramienta nmap. En un primer artículo sobre la introducción a nmap se pudo ir aprendiendo con fáciles ejemplos a utilizar la herramienta.

Esta herramienta, mundialmente conocida, permite al auditor explorar los puertos abiertos, detección de servicios, averiguar versiones de productos, fingerprint del sistema operativo, entre otras acciones. La herramienta se encuentra disponible para sistemas Linux como Windows.

Nmap puede suponer, a primera vista, una herramienta costosa de utilizar por su flexibilidad y diversidad en las posibles acciones a realizar con ella. Es verdad que dispone de gran cantidad de parámetros, por lo que se intentará listar algunos de interés relacionados con los tipos de escáneres vistos en este libro. También, se puede recomendar el uso de interfaces gráficas para la utilización de nmap, y de este modo simplificar el entendimiento y uso de la herramienta.

La ejecución de los comandos nmap se puede generalizar mediante el siguiente esquema namp <tipo de scan> <opciones>. La ejecución por defecto sería la siguiente nmap <dirección IP>, con la que se obtiene un reporte de la máquina con dicha dirección IP dónde se informa de los puertos abiertos, servicios encontrados o el estado de la máquina. Para ser el escaneo por defecto no es poca la información obtenida.

Parámetro

Descripción y Ejemplo

-O

El escaneo realizará fingerprint del sistema operativo con el objetivo de obtener la versión de éste en la o las máquinas remotas. Ejemplo: nmap –O <dirección IP>

-sP

Con este parámetro se analiza que equipos se encuentran activos en una red. Ejemplo: nmap –sP 192.168.0.0/24

-sS

Se lanza un escaneo sobre varios equipos o una red. Permite obtener un listado de puertos abiertos de éstos. Ejemplo: nmap –sS 192.168.0.0/24

-sN

Permite realizar un escaneo de tipo Null Scan. Ejemplo: nmap –sN <dirección IP>

-sF

Permite realizar un escaneo de tipo FIN Scan. Ejemplo: nmap –sF <dirección IP>

-sX

Permite realizar un escaneo de tipo XMAS Scan. Ejemplo: nmap –sX <dirección IP>

-p

Se Indica sobre qué puertos se debe realizar el escaneo. Ejemplo: nmap –p 139,80,3389 <dirección IP>. Para indicar rangos especificamos el puerto de la siguiente manera 80-1500. Se realizará un análisis desde el puerto 80 hasta el 1500

-A

Este parámetro habilita la detección del sistema operativo, además de las versiones de servicios y del propio sistema. Ejemplo: nmap –A <dirección IP>

-sI

Permite realizar un escaneo de tipo idle. Ejemplo: nmap –P0 –p - -sI <dirección zombie> <dirección víctima>. Cabe destacar que la opción –p – permite realizar un escaneo sobre todos los puertos de la máquina, esta acción puede provocar que el escaneo se ralentice en gran medida

-sV

Obtener las versiones de los productos. Ejemplo: nmap –sV <dirección IP>

Uno de los escaneos más interesantes son los idle scan, que pueden ser realizados con nmap utilizado una máquina de zombie, la teoría queda reflejada en el artículo de escaneo de puertos idle, de hace ya unas cuantas semanas. Cuando decimos una semanas, decimos... las primeras semanas de Flu Project de vida, allá por finales del año 2010, principios del 2011... :)

Desde Flu Project se recomienda el aprendizaje de la herramienta ya que dispone de gran cantidad de parámetros y posibilidades. La herramienta es una de las imprescindibles para cualquier auditor en cualquier test de intrusión.

25 jun 2012

¿Qué hacemos cuando nuestros programadores nos ponen los cuernos?

 

Buenas a todos, ya son varias las historias que he oido, algunas bastante cercanas, sobre la experiencia de empresas a las que sus empleados son infieles. El jefe de equipo, paranoico por naturaleza, no se fia mucho de sus desarrolladores, y piensa que podrían estar implementando puertas traseras en el software que desarrollan.
 
El tema es serio, ¿que intereses puede haber detrás de los desarrolladores para hacer estas modificaciones al software que no formaban parte de los requisitos iniciales del proyecto?
 
En este caso se abren una gran cantidad de caminos, empleados contratados/sobornados por empresas de la competencia para obtener información del software de nuestra empresa, empleados enfadados por sus malas condiciones laborales y/o bajos sueldos, que quieren tener un clavo al que agarrarse para realizar un posible chantaje, también puede darse la posibilidad de que se utilicen para piratear el software y distribuirlo ilegalmente por Internet y un largo etcétera.
 
Ante estos casos, no nos quedará otra que revisar el código fuente de todas las aplicaciones para asegurarnos de que no nos la han metido por donde amargan los pepinos. Es probable que los desarrolladores no nos faciliten el código fuente "maligno" para que no podamos pillarles, por lo que puede que no nos quede otra que hacer reversing, y decompilar los ejecutables finales llevados a producción para intentar averiguar que hacen.
 
Por ejemplo, para decompilar programas desarrollados en .Net yo suelo usar Remotesoft .Net Explorer. En caso de que el código no haya sido ofuscado, nos mostrará de una manera muy clara el contenido del programa.
 
 
Remotesoft .Net Explorer también permite ofuscar el código fuente y visualizar metadatos a bajo nivel.
 
Para Java podéis usar Java Decompiler.
 
Otros ofuscadores interesantes:
¿Y si no nos han abierto puertas traseras, pero han dejado a propósito una SQL Injection en un apartado de una APP? (qué también es una puerta trasera al fin y al cabo, aunque menos llamativa). Para ello contaremos con algunas herramientas automáticas que puedan analizar si un software contiene código peligroso. Por ejemplo, algunas herramientas que pueden ser útiles para analizar este tipo de vulnerabilidades son FindBugs, Lapse o PMD pero de ellas os hablaré en próximos posts.
 
Como habitualmente, podéis encontrar estas y otras herramientas en nuestro listado de herramientas de auditoría.
 
Saludos!

24 jun 2012

Informe Flu - 77

Comenzamos con el resumen de la semana:Lunes 18 de JunioMartes 19 de JunioMiércoles 20 de Junio
  • Seifreed y sus phising de cuentas de hotmail. Esto es algo tan antiguo, como que hace 1 década ya jugábamos con estas cosas, pero 10 años después han evolucionado y siguen siendo igual de peligrosas si no se está concienciado.

Jueves 21 de Junio

  • Flu Project estará en el FesTICval 2012 de la URJC. En este festival de las TIC se darán 2 talleres a los chavales de instituto que deben decidir en pocos años a que quieren dedicarse. La rama de la seguridad aplicada a las redes de datos o a las redes sociales son los temas principales de dichos talleres.

Viernes 22 de Junio

Sábado 23 de Junio

Semana 77, una más en Flu Project, ha sido especial por el gran número de cosas que nos han pasado... eso sí, no nos podemos quejar ya que han sido buenas :)

23 jun 2012

Un 0,13% de los usuarios ya utilizan Windows 8 en PC y un 62,65% utilizan iOS en sus tablets

Buenas a todos, supongo que muchos conoceréis www.netmarketshare.com, se trata de un sitio Web en el que realizan estadísticas sobre el uso de sistemas operativos, navegadores y motores de búsqueda y que actualizan todos los meses con los valores actuales.

La suelo utilizar para charlas en eventos y cursos, porque es bastante útil contar con valores orientativos de las cuotas de mercado. El otro día, mientras consultaba los valores del último mes me resultó curioso ver que Windows 8 ya era utilizado por el 0,13% de los usuarios globales, lo que supone para haceros una idea, el 10% de los usuarios que utilizan Linux (en todas sus versiones) en el mundo, o el mismo número de usuarios que utilizan Mac OS X 10.4 (aproximadamente):

 

 Si nos vamos a cuotas globales por cada sistema operativo, independientemente de sus versiones, tendríamos los siguientes números:
  • Windows 92.53%
  • Mac 6.44% 
  • Linux 1.03% 
  • SunOS 0.00%

Hace un par de años Windows bajó al 88% de la cuota de mercado, pero con el éxito de Windows 7 recuperó fuerzas para volver a romper la barrera del 90%. Mac OS X también ha subido en los últimos años de un 5% al 6,44% actual, motivo por el cuál comienzan a pegar con más fuerza los malware para la gente de la manzana, más usuarios, más beneficios al crear malware.

En el caso de los tablets la gente de Apple arrasa en números:

  •  iOS 62.65%
  •  Android 19.69%
  •  Java ME 12.17%
  •  BlackBerry 2.09%
  •  Symbian 1.86%
  •  Windows Phone 0.66%
  •  Kindle 0.47%
  •  Bada 0.13%
  •  Windows Mobile 0.11%
  •  Samsung 0.10%
  •  BREW 0.04%
  •  LG 0.02%
  •  HUAWEI 0.01%

¿Eso implica que hay más malware para iOS que para Android, como ocurre en el mundo del PC con Windows y Linux? ¿Qué opináis?

Si vais a dar una charla sobre tecnología no os olvidéis de echar un vistazo a estas tablas, que nunca se sabe cuando se van a necesitar :)

Saludos!

22 jun 2012

El malware de los “scr”. Una historia de amor y odio (Parte II)

Buenas a todos, a modo de información, en el post de hoy os daré algunos datos importantes sobre el famoso malware de los "scr" (bautizado como Win32/Quevar.gen! por Microsoft) que os comentaba el pasado lunes y que puede que os sean útiles en caso de que lo hayáis padecido y os encontréis en proceso de recuperación:

  • Si tras hacer varios barridos con algunos antivirus veis que todavia siguen existiendo archivos con la extensión "xcod.scr", y tenéis todas las firmas de los AV actualizadas, abrir los archivos con un notepad y veréis con toda probabilidad que se trata de archivos RTF. Estos archivos no son infectados realmente por el malware y simplemente les cambia la extensión de rtf a xcod.scr, por ello los antivirus no los detectan como software malicioso. Para restaurarlos simplemente debéis cambiar la extensión a rtf.
  • El malware crea un ejecutable de nombre aleatorio en la ruta %AppData%\Microsoft\<random characters>.exe . Es decir, "Datos de programa\Microsoft" en WinXP y "AppData\Roaming\Microsoft en Vista, 7 y 8" (al igual que Flu), además de la dll "%windir%\xpsp2res.dll".
  • Crea un lnk con nombre también aleatorio en "AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".
  • Veréis que los archivos docx infectado adquieren la extensión "xcod.scr" en Windows con versiones de kernel inferior a la 6.0 (XP, 2003 server) y "docx.scr" en versiones con kernel superior a 6.0 (Vista, 7, 8, 2008 server y 2008 server R2)
  • La mayor parte de los AV eliminan directamente los documentos infectados, por lo que si queréis recuperarlos mi recomendación es que los abráis en una máquina virtual (infectaréis la máquina virtual), y una vez abiertos le dáis a "guardar como" y los dejáis con otro nombre en otra unidad. McAfee por el momento (desconozco si algún otro también), limpia estos archivos y los renombra a formato "doc", independientemente de si anteriormente eran "doc" o "docx". Si eran docx os dará un error al abrirlos, para que no vuelva a aparecer el error debéis guardar el documento con un nuevo nombre y la extensión docx.
  • En el primer reinicio de un equipo infectado en el que McAfee detectase archivos maliciosos, estos serán enviados a cuarentena y cuando intentéis restaurarlos volverán a su origen (con el código malicioso inyectado). Por lo que cuando McAfee limpie los archivos y los renombre a "doc", deberéis hacer una copia de los archivos en otra ruta para no perderlos al reiniciar el equipo.
  • El bicho intenta abrir conexiones a las siguientes urls: avtoclub.eu, vnk.sk, 1nlreality.sk, forum.perfect-privacy.com .

Especial agradecimiento a Francis Allan Tan Seng por su análisis que me ha permitido contrastar hipótesis.

Espero que estos datos os sean de utilidad, saludos!

21 jun 2012

¡Nos vamos al FesTICval!

 

Buenas a todos, la semana que viene FLU PROJECT estará en el FesTICval que organiza la Universidad Rey Juan Carlos para estudiantes de institutos, hablando de hacking, ataques en redes de datos, seguridad en redes sociales y de nuestro proyecto Flu.

Nuestras ponencias serán el miércoles 27 y jueves 28, ambas a las 16:00 horas.

A continuación os dejamos con un breve resumen de las charlas:

  • Miércoles 27: 16h – 18h  Las Redes Sociales: Tú también puedes caer

Objetivos: Hoy en día, las redes sociales son un modelo de comunicación único, tanto para personas como empresas. La seguridad que éstas ofrecen, no se encuentra a la altura del volumen de datos e información que mueven. El contenido autogenerado por los usuarios puede quedar a merced de ojos que quieran suplantar la identidad o acceder a información confidencial de otros usuarios, ¿y tú también quieres caer?.

Metodología: Tras una breve introducción se irán destapando los problemas de seguridad que existen en las redes sociales más habituales y cómo resolverlos de forma práctica.

  • Jueves 28: 16h – 18h  La biblioteca no es sólo estudiar: Taller de Hacking Básico

Objetivos: En una biblioteca se pueden llevar a cabo muchas tareas aparte de estudiar: relaciones personales, sociales, y divertirse con la seguridad informática en ella. ¿Así de fácil? Descubre pruebas sencillas para analizar la seguridad informática de una organización. Aprende con nosotros como si estuvieras en primero.

Metodología: Tras una breve introducción se irán descubriendo los problemas de seguridad más habituales y cómo resolverlos de forma práctica.

Podéis descargar el programa para ver el resto de charlas desde aquí.

Yo me perderé las charlas porque estaré toda la semana fuera, pero el resto del equipo de Flu Project (Sonia y Miguel) estará dándolo todo en el terreno de juego como siempre.

Si estáis entre los alumnos de institutos que iréis al FesTICval, esperamos que lo disfrutéis!

saludos!

20 jun 2012

Robo de cuentas en phishings a Hotmail

Los servicios como “Mira quien te tiene bloqueado” o “Obtén el nombre de los usuarios que te han eliminado de MsN”, es un servicio que suele atraer a usuarios curiosos.

Este tipo de servicio son un engaño total a usuario final, de manera que el único fin es infectar al usuario o el robo de contraseñas en si mismo.

En este caso, mi sistema anti-spam bloqueó un correo de este tipo, así que haremos un pequeño análisis.

La verdad es que es un poco sospechoso no?

Si miramos el código fuente de la página vemos las funciones mas importantes

function validaForm(){d = document.form1;var filter = /^([\w-]+(?:\.[\w-]+)*)@((?:[\w-]+\.)*\w[\w-]{0,66})\.([a-z]{2,6}(?:\.[a-z]{2})?)$/i;if (!(filter.test(d.txtmail.value))){alert(“O email não é válido”);d.txtmail.focus();return false;}

Esta función comprueba que el email sea válido así se aseguran de recoger solo direcciones de correo válidas.

Cuando rellenas los campos de email y de contraseña:

<form name=”form1″ method=”post” action=”./action.php” onsubmit=”return validaForm()”>

Se envían los datos a un PHP que los recoge.

Cuando se envían los datos al usuario se le muestra la siguiente pantalla

En realidad esta página lo que nos muestra es:

 <span>HTTP-EQUIV</span>=’<span>Refresh</span>’ <span>CONTENT</span>=’<span>4;URL=http://hotmail.com</span>’&gt;</span><span>

En realidad la web nos muestra un mensaje y nos redirige a la web de Hotmail, de Microsoft, es decir, la web original.

Cuando se envían los datos en el submit, el servidor enviaría los siguientes datos

http://viajandopelasruas.com/cadastrando/cadastro/action.phpPOST /cadastrando/cadastro/action.php HTTP/1.1Host: viajandopelasruas.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveReferer: http://viajandopelasruas.com/cadastrando/cadastro/Content-Type: application/x-www-form-urlencodedContent-Length: 65txtmail=a%40hotmail.com&txtsenha=jujujujujuju&envia=Carregando…HTTP/1.1 200 OKDate: Fri, 15 Jun 2012 15:41:30 GMTContent-Type: text/htmlConnection: keep-aliveKeep-Alive: timeout=15Server: ApacheContent-Length: 294

Una de las cosas que me sorprende es que el servicio de antiphishing de Hotmail que le deben de llegar como REFERER esta URL, no hayan mandado el cierre de dicha URL.

El controlar las URL que vienen de REFERER es muy importante y te da un valor añadido de conocimiento de que pueden estar haciendo contra ti.

19 jun 2012

El noble arte de la escritura: PowerShell

El arte noble de la escritura, bonito comienzo para una entrada especial en Flu Project por mi parte. La semana del 11 de Junio ha salido al mercado mi primer libro, compartido en la autoria con Ruben Alonso. El libro trata el mundo de la administración y automatización de tareas en el día a día de un administrador de sistemas a través de la consola PowerShell. PowerShell es una gran apuesta de Microsoft desde hace ya años, pero una gran desconocida para el gran público. En nuestro habla encontraremos pocos libros en castellano, debido a que no dispone de una gran masa social, como puede ser el caso de muchas otras herramientas.

El comienzo, y su puesta en marcha, ha sido ilusionante, mejor de lo que esperábamos, y eso ayuda a compensar el enorme esfuerzo que ha supuesto para mi la escritura del libro. El libro obtendrá críticas positivas, ya hemos leído alguna como es la de los compañeros de Seguridad a lo jabalí, y críticas negativas, para las cuales también estamos preparados mentalmente. Y es que este mundo es así, en algunas ocasiones hay personas que no saben, ni se imaginan el esfuerzo que supone el plasmar el conocimiento e investigación de un recurso en cientos de hojas, con el simple objetivo de transmitir el conocimiento y ayudar a otros a mejorar sus tareas.

Hablemos un poco del libro, intentamos llevaros por un viaje por distintas secciones e interesantes aportaciones de PowerShell al mundo de la administración de sistemas. En el comienzo de la interacción con la línea de comandos y el necesario desarrollo de scripting, hasta el mundo de la seguridad en PowerShell, un mundo el cual no es muy visitado diariamente por muchos administradores de sistemas. Por otro lado, la integración de la línea de comandos con herramientas Microsoft dota de gran versatilidad a la consola, por lo que hemos viajado e interactuado con Active Directory, Hyper-V, Sharepoint, SQL Server e IIS para plasmar, como dije anteriormente, nuestras ideas en el libro. Nuestro objetivo aportaros un manual de referencia con el que podáis ayudaros en vuestras tareas diarias y recibir ayuda para la automatización de trabajos. Mi objetivo personal, que alguien utilice el libro para obtener conocimiento y aplicarlo en la medida de lo posible a su vida, personal y laboral. Y por supuesto... si nos queréis comunicar algo, estamos abiertos a escucharos.

Mis agradecimientos son claros, los más personales los dejo para los lectores del libro, pero desde aquí y públicamente, quiero agradecer a mi gente de i64, porque hacen que todo tenga una dimensión especial. Si es cierto, que me gustaría indicar y volver a decir que el libro también queda dedicado a todas las personas que en mayor o menor medida han influido en mi vida, porque han dejado su huella, de manera sutil, o han marcado su huella de una manera honda. Sea como sea, gracias...

18 jun 2012

El malware de los "scr". Una historia de amor y odio.

Buenas a todos, la pasada semana sufrí una historia de amor-odio con un nuevo juguete que me encontré en uno de mis terrenos habituales de juego (en un lugar de la Mancha de cuyo nombre no quiero acordarme...). Todo empezó con una llamada de un amigo avisando de que algo no iba bien, me comentaba que los ficheros doc de varios recursos compartidos de red habían cambiado su extensión a "xcod.scr". Me agarré mi kit CSI, me subí al batmovil y me fuí al lugar de los hechos.

Tras hacer un análisis previo de la situación con herramientas de última generación (el explorador de Windows...), confirmamos la situación remitida, "pos si, pos vas a llevar razón, ahora tenemos muchos scr y pocos doc..."

Tras analizar el lugar de los hechos arranco el Process Monitor y me pongo a monitorizar procesos y entradas de registro, y efectivamente, ahí están, sin parar, veo documentos de word creándose con formato scr a mansalva por el proceso "Explorer.exe" (¿será un rootkit que está inyectado en el explorer? soy un paranóico). Pero había un dato curioso, solo sucedía en las carpetas compartidas en red..., por lo que llegaba la hora de plantearse una de las acciones más elaboradas en los planes de contingencia... ¡Carlos, por dios trata de arranc.... tira del cable! Tras pensar por un segundo en las posibles consecuencias de la acción, ya que se trataba de un equipo "indispensable", decidimos recurrir al plan B, ir mirando que usuarios estaban accediendo a los recursos compartidos y tienen abiertos esos extraños documentos y les bloqueamos el acceso.

Tras ejecutar el plan B, la situación se estabilizó y pudimos dedicar más tiempo a analizar esos extraños archivos en profundidad. Tras una hora de análisis en el laboratorio de malware nos dimos cuenta que el bicho tenía un comportamiento muy similar, casi idéntico, al malware Dorifel, que apareció hace un par de semanas y que inyectaba código malicioso en los archivos de Word y los renombraba, e intentaba conectarse a algunas IP externas para llevarse archivos (categoría "Low" como dicen en McAfee, ¡vaya!) Pero no podía ser el mismo porque todos los antivirus se lo comían con patatas (verificado en VirusTotal con varias muestras), por lo que llegamos a la conclusión de que se trataba de una mutación. Por ello, nos pusimos en contacto con nuestro proveedor de Antivirus y le proporcionamos las muestras para que publicase a la mayor brevedad una nueva vacuna.

Entre tanto, no quedó otra que aislar el equipo infectado (descompartir las carpetas compartidas), ya que algún que otro usuario del sistema de estas tierras de ricos quesos y mejores mantecados, un poco despistado... ignoró las recomendaciones de evitar el acceso a los archivos de los recursos compartidos.

El sol se ponía y llegaba la hora de recogerse, por lo que decidí llevarme un par de muestras para analizarlas mientras los mortales dormían. Y mi sorpresa, cuando pincho el pendrive en mi PC fue mayúscula, veo desaparecer las muestras del bicho bajo la siguiente alerta de mi AV, Microsoft Security Essentials:

¿Habrán sido las muestras subidas a VirusTotal? ¿Habrá sido por otros usuarios que les suceda lo mismo y lo hayan remitido? Comencé a buscar en ese momento en los foros habituales de Malware y efectivamente vi como en numerosas organizaciones esa mañana y tarde había sido de locos para mucha gente, ese bicho había pegado fuerte, y las casas de AV se pusieron las pilas para cazar la nueva mutación.

El resto de la historia es poco épica y os imagináis como termina, pero si que hay un detalle que me gustaría señalar. De los AV a los que tengo acceso, Microsoft Security Essentials, Kasperski y McAfee, solo este último restaura los ficheros (con un matiz que ahora contaré), el resto los elimina y ¡adiós!, perdiste tus Word (más te vale contar con un buen backup). El matiz de los archivos restaurados por McAfee es que renombra todos los archivos infectados scr a doc, y si teníais archivos en formato docx... ahora tienen la extensión doc. Por lo que os tocará cambiar las extensiones de doc a docx a manopla, con un script (o con batch para los expertos... :)). Aún así, los archivos no quedan del todo bien y os saltará un error al abrirlos con Word, pero os dará la posibilidad de restaurarlos y guardarlos de nuevo, ya sí, en un documento correcto.

El bichito me quería, y se quiso venir de paseo en mi portatil un día más, me cogió cariño, pero de nuevo MSE rompió nuestra historia de amor.

Si que es verdad que esta historia (toda ficción por supuesto) tiene sus partes épicas, con gladiadores, keygen, tipos malos, clonadoras forenses y otros juguetes varios, pera esa historia la dejaremos para una tarde entre cervezas ;)

Saludos!

P.D. Esta historia puede haber sido dotada de dramatismo o haber sufrido leves modificaciones... o no...

17 jun 2012

Informe Flu – 76

Comenzamos con el resumen de la semana:

Lunes 11 de Junio

Martes 12 de Junio

Miércoles 13 de Junio

Jueves 14 de Junio

  • El jueves Juan Luis G. Rambla concluyó su cadena Un Forense llevado a juicio (X de X), con un fantástico resumen de todos los aspectos importantes. Pero Juan Luis todavía nos tiene una sorpresa preparada, estad atentos al blog :)

Viernes 15 de Junio

  • El viernes publicamos un artículo sobre el  10% de descuento en el libro “Gestión Ágil de Proyectos Software” que podéis conseguir los lectores de Flu Project. Simplemente tenéis que enviarnos un email a info@flu-project indicándonos que queréis acceder al descuento del libro y os facilitaremos un código de compra.

Sábado 16 de Junio

16 jun 2012

Pantalla Pública XII

Buenas a todos, hoy vamos con el duodécimo post de la cadena pantalla pública. Como habitualmente os recordamos que podéis seguir envianos nuevas pantallas públicas a nuestro email info@flu-project.com

La primera pantalla del día nos la envía Alberto, donde se puede ver una curiosa pantalla publicitaria de Xbox 360. ¡Un saludo Alberto!:

 Concluimos con dos pantallas públicas que nos envía Inyama desde Londres. Os dejamos directamente con su mensaje. ¡Gracias Inyama!:
Buenas tardes!No es la primera vez que te escribo mandándote pantallas.Te adjunto dos imágenes de pantallas que me he encontrado en Londres.La primera es del museo de Ciencia Ficción y la segunda en la estación de King's Cross en uno de los andenes.Un saludo y una vez más enhorabuena por el blog.

15 jun 2012

10% de descuento en el libro "Gestión Ágil de Proyectos Software"

Buenas a todos, desde Flu Project hemos llegado a un acuerdo con la empresa Kybele Consulting para conseguir un 10% de descuento para los lectores de Flu Project en la compra de su último libro "Gestión Ágil de Proyectos Software".

A continuación os dejamos con el resumen del libro:

La presente obra ofrece una visión amplia sobre diferentes factores que se deben tener en consideración para la construcción de software de calidad.  Y persiguen los siguientes objetivos:

  • Presentar de forma clara los conceptos fundamentales relacionados con la agilidad.Dar a conocer las principales metodologías y técnicas.
  • Tratar aspectos muy importantes para gestionar correctamente un proyecto ágil, la calidad de la información o la gestión del conocimiento.
  • La selección de los temas incluidos en el libro se ha basado sobre todo en la experiencia práctica,  combinada con rigor científico, proporcionando una panorámica actual y completa sobre problemáticas y soluciones asociadas a la gestión ágil de proyectos de desarrollo software.
Podéis ver el índice del libro aquí.

El precio final es de 19.95€ (4 % de IVA), y los lectores de Flu Project recibiréis un descuento de 2€ en la compra (10%)

Para acceder al descuento debéis enviarnos un email a info@flu-project.com indicandonos que queréis adquirir el libro y os proporcionaremos un código de descuento para que podáis comprarlo directamente desde la tienda virtual de Kybele Consulting.

Saludos!

14 jun 2012

Un Forense llevado a juicio (X de X)

Un Forense llevado a juicio (I de X)Un Forense llevado a juicio (II de X)Un Forense llevado a juicio (III de X)Un Forense llevado a juicio (IV de X)Un Forense llevado a juicio (V de X)Un Forense llevado a juicio (VI de X)Un Forense llevado a juicio (VII de X)Un Forense llevado a juicio (VIII de X)Un Forense llevado a juicio (IX de X)Un Forense llevado a juicio (X de X)


Tal y como se ha mostrado a lo largo de los diferentes post, un forense sigue unos procesos muy concretos y a veces complejos, siendo necesario ser muy cuidadoso en los mismos. Formalmente no existen fundamentos regulatorios en España para la realización de los procedimientos, sin embargo deben seguirse unas buenas prácticas que como mínimo garanticen llegar al juicio con la confianza de unos hechos probables y reproducibles. Este último post lo dedicaremos a repasar el procedimiento que permita defender con garantías un informe pericial en un juicio y a otros aspectos importantes a tener en cuenta dentro del ámbito legal:

  • Paso I. Obtener información previa sobre el caso. Antes de comenzar siquiera la recogida de evidencias, deberemos estar seguros de las circunstancias. Es preciso obtener la máxima información del caso que puedan proporcionarnos. El escenario puede ser complejo o simple y ello determinará también la cantidad de evidencias a recuperar y a tratar. Cuanta más información se obtenga de forma inicial, menor serán los problemas a afrontar durante el caso.

  • Paso II. Obtención de evidencias. Recuperar y firmar las evidencias, generando los ficheros de cadenas de custodias correspondientes. Frente a circunstancias que puedan producirse en otros países, en España este proceso pasa por no alterar las pruebas y garantizar la validez de la prueba pericial. Deberá aconsejarse de los procedimientos para almacenar  de forma segura cualquier evidencia que pueda ser aportada al juicio.

  • Paso III. Obtener cualquier dato importante que pueda facilitar la parte de acuerdo a las circunstancias del caso: nombres, direcciones, correos, números, ficheros, etc. Estos datos serán utilizados para realizar búsquedas de manera eficaz. Debe establecerse también una línea temporal que sirva como base para la realización del pericial y articular así un proceso secuencial, manejable y que permita hacer un informe eficaz.

  • Paso IV. Ordenar y relacionar los datos obtenidos de las evidencias, nunca deberá ocultarse nada. No hay que olvidar que en un perito debe primar la garantía de independencia y exponer las conclusiones sin injerencia por las partes es una máxima si el pericial quiere tener el valor que le corresponde en el juicio. Tampoco hay que despreciar la posibilidad de que pueda realizarse un contrapericial que destape cuestiones ocultadas.

  • Paso V. Construir un informe escrupuloso, técnico pero legible y con unas conclusiones sólidas que permiten arrojar luz sobre el caso. Evitar las verdades a medias y cualquier apreciación dudosa emitida a través de un prejuicio obtenido en los pasos previos. Un elemento muy importante del informe consiste en definir las garantías que permiten dar veracidad a las evidencias.

  • Paso VI. Toda vez que el informe esté concluido y se estime llegar a juicio aconsejar al abogado correspondiente, la práctica de la prueba anticipada cuando la circunstancia lo requiera.

  • Paso VII. Apoyar al abogado técnicamente en la estrategia a llevar en el juicio para la defensa del pericial y en la preparación de la nota que deberá llevar a la vista. Deberán definirse aquellas preguntas claves para presentar las conclusiones más importantes del informe.

  • Paso VIII. En el juicio, el perito juega un papel clave y por lo tanto la otra parte intentará desmontar su figura así como los argumentos más importantes que presente. Debe tenerse siempre en cuenta el carácter imparcial y objetivo del que  goza. Si este se pierde, resultarán mucho menos eficaces tanto las pruebas como el informe.  La compostura será un punto esencial, no debiendo entrar en confrontación con la otra parte, aunque a veces resulta complicado. Si en el informe se establecía la necesidad de realizar la argumentación técnica necesaria, en el juicio deberemos desprendernos de esa faceta intentando transmitir la información de la forma más clara y concisa para su entendimiento.

Existen muchos aspectos que no han sido tratados evidentemente a lo largo de los post, fundamentalmente por la gran cantidad de circunstancias que pueden darse. Sin embargo hay una serie de consideraciones esenciales para no pasar determinadas fronteras. En ocasiones,  y fundamentalmente las empresas, se sobrepasan ciertos límites que más allá de lo decoroso o no que puedan ser, suponen acciones ilegítimas y que atentan contra determinados principios.

A veces se duda de la realización de determinadas prácticas como el acceso a las cuentas de correo que proporciona la organización a un usuario, cuando las evidencias se encuentren ahí. Existen lagunas interpretativas entre la protección en el ámbito estrictamente personal y la que goza la propia empresa para hacer un uso razonable de los medios que proporciona. Sin un buen documento de uso de medios tecnológicos las organizaciones se enfrentan a la decisión judicial. En este sentido existen sentencias en uno y otro sentido y es que hay que recordar que la justicia en España se basa en la interpretación de la ley y esta puede tener varias caras.

Ante una circunstancia así lo primero a considerar es si la empresa tiene un documento sólido de uso de medios donde se establezca que la misma podrá ejercer el control del uso de los mecanismos que a efectos profesionales se faciliten y que viene reflejado en el estatuto de los trabajadores. Se podría por ejemplo controlar accesos a internet, llevar estadísticas o incluso acceder a las cuentas de correo. Sin este documento deberá hilarse muy fino puesto que las circunstancias podrían desencadenar en dos sentencias totalmente antagónicas. Sirva de ejemplo las siguientes.

En la primera de ellas se estima una demanda por despido improcedente al considerar violación de la intimidad el acceso al correo electrónico de un trabajador en el transcurso de un pericial (http://www.bufetalmeida.com/64/violacion-de-correo-electronico-de-trabajadores-despido-improcedente.html). Se proporciona a continuación un extracto de la sentencia que recoge este proceder.

“Del anterior relato de los hechos se dimana que, en el marco del conflicto laboral al que tantas veces se ha hecho alusión y, además, en paralelo a la interposición por la actora de la papeleta de conciliación para la extinción contractual, el empresario encargó a una empresa especializada un análisis (monitorización) de los contenidos del ordenador de la actora, con especial referencia a sus archivos personales (es este último un extremo que queda diáfano al acto del juicio, ante la clara respuesta dada por el perito compareciente a instancias de la empresa a pregunta de este magistrado). A estos efectos, dicha persona -por órdenes de la empresa- entró en archivos de correo electrónico de la demandante, sacó copia y se aportaron como prueba documental. Hay que decir que algunos de dichos correos son de carácter íntimo y personal (especialmente los que figuran numerados como 129 y 136 del ramo de prueba de la demandada).

Dichas consideraciones han de comportar la valoración de si estas pruebas son contrarias a derechos constitucionales y, más en concreto, a lo establecido en el art. 18.3 de nuestra "norma normarum". En el caso de que se diera una respuesta positiva a esta cuestión, las pruebas practicadas resultarían inhábiles, en aplicación de lo contemplado en el art. 11.1 LOPJ.

Séptimo.- Como se puede desprender del anterior relato fáctico -en el que no se ha nombrado en este extremo- este juzgador ha llegado a la conclusión de que dicha prueba es contraria al derecho fundamental al secreto de las comunicaciones -consagrado en el art. 18.3 CE, ya citado-.”

Por el contrario puede citarse también el famoso caso de Deutsche Bank donde se recurrió una sentencia en suplicación ante el Tribunal Superior de Justicia de Cataluña por un uso abusivo del correo electrónico para fines personales por parte de un trabajador que había desembocado en despido. Se citan a continuación algunos párrafos significativos de la sentencia.

“doctrina jurisprudencial ha venido señalando (en aplicación al art. 54.2d ET) como esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que deben observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 mayo 1985).”

“En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado arts. 54.2.d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo, así –con independencia de su concreto coste económico-temporal- un deber básico que, además de inherente `a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo –ex art. 5ª ET-, parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores”

A pesar del fallo favorable a la empresa, posteriormente se realizó por parte de la persona despedida una demanda contra cuatro directivos por el delito de descubrimiento y revelación de secretos (http://www.delitosinformaticos.com/articulos/98883692516000.shtml).

Como puede verse, las situaciones pueden llegar a enturbiarse hasta límites insospechados. Como comentaba recientemente con un abogado especialista en casos de este tipo, “yo cuanto más experiencia tengo, más nervioso voy por todo lo que he visto y porque no se por dónde puede salir la cosa”.

Con esto finalizamos la serie. Espero que haya sido de vuestro interés y os pueda resultar útil en cualquier circunstancia. Si tenéis cualquier duda personal o alguna apreciación, podéis poneros en contacto conmigo a través de mi correo electrónico jlrambla@sidertia.com.

Desde Flu-Project y Sidertia Solutions (www.sidertia.com) os estamos preparando una sorpresa, pronto os daremos más detalles.

Muchas gracias por el tiempo que habéis dedicado a leer esta serie.

  

13 jun 2012

El engaño del malware brasileño

Que los criminales cada vez usan mas técnicas para que, por parte de los analistas se dificulte el análisis de la muestra no es algo nuevo ¿no?

Hoy os traigo un caso muy típico de un malware brasileño que se baja un fichero hosts modificado y lo pone en lugar del que tenemos en la máquina. Con esto consigue que ciertas páginas (normalmente de categoría bancaria), sean redirigidas a una web con Phishing o malware.

Si capturamos todo lo que el troyano a enviado y recibido, y miramos la captura de Wireshark, “por encima”, la petición con el típico Follow TCP Stream

A simple vista, podemos ver que el Content length es grande, pero no vemos nada. Si nos fijamos, esto acaba aquí, pero…

Si hacemos scroll down..

¿porque ocurre esto?

pues porque el troyano introduce satos de linea, si vemos el archivo en hexadecimal

Este método es usado por los troyanos brasileños, así que si analizáis alguno, acordaros ;)

12 jun 2012

Cómo obtener una shell con el Paint

Hola, buenas a todos, básicamente lo que os voy a enseñar es como obtener una Shell (consola) en Windows XP, o Win 7 usando Paint.

Abrimos el Paint (inicio>cmd>mspaint), una vez allí seleccionamos la lupa, y le indicamos 8x (para ver mejor) y luego tenemos que reducir el tamaño de la superficie de dibujo, hasta dejarlo con 1 solo píxel de grosor (altura) y 6 de anchura, tal como suena. Un píxel en este caso, será lo que pintéis cuando seleccionáis el lápiz y pulsáis con el botón izquierdo del ratón. Esto es importante, porque si no tiene esas dimensiones, no generaréis de forma correcta el código a ejecutar la consola. Se verá muy pequeñito OJO.

Vale, ya tenemos la superficie que vamos a ir pintando píxel por píxel con los distintos códigos que os voy a ir indicando.

Dentro de paint os váis a Colores>Modificar colores>Definir colores personalizados y vais creando los 6 colores distintos con los cuales vamos a ir rellenando los distintos píxeles de izquierda a derecha.

1er píxel de la izquierda

  • Rojo: 10
  • Verde: 0
  • Azul: 0

2º píxel

  • Rojo: 13
  • Verde: 10
  • Azul: 13

3er píxel

  • Rojo: 100
  • Verde: 109
  • Azul: 99

4º píxel

  • Rojo: 120
  • Verde: 101
  • Azul: 46

píxel

  • Rojo: 0
  • Verde: 0
  • Azul: 101

6º píxel (de la derecha del todo)

  • Rojo: 0
  • Verde: 0
  • Azul: 0

Nos debe quedar exactamente así.

Ahora guardamos el archivo con nombre cmd y la extensión debe ser Mapa de bits de 24 bits (*.bmp, *.dib).

Y lo último que nos queda es una vez creado ese archivo de nombre cmd.bmp, le cambiamos la extensión del archivo a .bat, quedándonos cmd.bat. Doble click encima et voilá, tenemos una preciosa SHELL.

Sí abrís el archivo con un bloc de notas veréis que en realidad lo único que hemos hecho es llamar al ejecutable cmd.exe desde un bat, ¿pero a que mola?

A disfrutar pintando señores :D

11 jun 2012

Insegurida​d de los teclados virtuales

Cada vez se hace mas evidente que la mayoría las páginas web, no tienen en cuenta la importancia de la protección de los datos, paginas con contenido confidenciales, como por ejemplo, los bancos, o webs de e-commerce, son objetivos de los atacantes o de la causa “hacktivista” del momento, solo veamos los siguientes escenario para hacernos una idea de lo que piensan los roles involucrados.

Tres escenarios posibles, tenemos que considerar:

 
  • Del lado del usuario, nos conectamos a un banco o a una web de compras, ¿acaso podemos tener por lo menos una “pequeña tranquilidad” viendo el “candadito”?
  • Del lado del proveedor de ese servicio, disponemos del último antivirus, parche y cumplimos con la ISO 1.000.001 ¿damos por asentado que los usuarios estarán seguros?
  • Mientras Del lado del atacante, están contentos porque instalaron el ultimo keylogger, indetectable, y encima pueden saber si el usuario sale con la secretaria que trabaja en el proveedor

Posiblemente tu estés en alguno de esos roles y has pensado algo muy parecido a los escenarios planteados, te cuento que de cada 10 sitios webs que visito, y en el cual estén trabajando tanto con “HTTPS” como con teclados virtuales, noto que 7 de ellos tienen fallas que un atacante no perdonaría.

Hablemos de los teclados virtuales:

Un teclado virtual es una aplicación por lo general escrita en JavaScript que nos muestra una pagina web, y en el cual, mediante clics del mouse, podremos mandar nuestro o “clave”, sin utilizar el teclado y así poder tener acceso al servicio ofrecido.

Encontramos también, teclados que no obedecen ningún orden de aparición de teclas, esto significa que no están ordenadas como los teclados originales, y también tenemos teclados virtuales de números solos, o hasta gráficos (este es muy bueno, recomendable usarlo!!!)

De antemano, sabemos que es IMPORTANTE, no acceder a sitios que contengan teclados virtuales (por tanto con información sensible) desde lugares públicos, (llámese ciber, aeropuerto, hoteles, etc), dado que es más sencillo un ataque desde ahí.

Pero no siempre la seguridad de estos teclados es la mejor, algunos llegan al punto de guardar en “campos ocultos” los datos digitados sin cifrar, para luego ser enviados en métodos GET o POST, otros guardan una cookie en texto plano con esta información, sin contar con los que guardan toda la información digitada en la cache del navegador.

Existen métodos como la suplantación del teclado en la cache del navegador, que permiten a un atacante, sin modificar la pagina de la entidad bancaria o el sitio que contenga el teclado virtual, reemplazarlo con otro que además de enviar la información al sitio donde debería ir, también envía una copia de la misma a ellos y para esto solo es necesario que el usuario visite un sitio malicioso, para después acceder a la pagina legitima de la entidad.

Los atacantes casi siempre están un paso adelante, keyloggers indetectables, troyanos que graban videos, y aplicaciones que utilizamos para manejo de proxys, las cuales son de utilidad en el traslado de los paquetes hacia el destino, no se habla de un esnifeo, sino que se habla de la traslación de esos paquetes, que NO ESTAN CIFRADOS en el momento que los utilizamos en NUESTRO ORDENADOR.

La clave ingresada, sea pulsada o por teclado virtual, no está cifrada en su mayoría (al menos de cada 10 bancos que testee, 2 estaban cifrados), y pude capturar lo ingresado por teclado virtual, en TEXTO PLANO!!!!, en otros bancos, capture el hash que realizo el teclado virtual, pero no hay como un buen traductor (HASHONLINE).

CONCLUSION Y RECOMENDACIONES

De lado del cliente:

  • Utilizar software para la administración de contraseñas como LastPass.com o similares
  • Realizar nuestras transacciones desde equipos seguros y ojala siempre desde el mismo.
  • Utilizar diferentes claves SEGURAS para cada sitio (ayuda mucho usar software de administración de contraseñas)

De lado del sitio web:

  • CIFRA TODO, cada etapa del camino que recorre la información debe ser cifrada
  • Si vas a almacenar la información temporalmente en alguna parte, asegúrate que esta este cifrada y que sea borrada cuando no se necesite
  • Utiliza un teclado que cambie cada la posición de las teclas cada vez que el usuario entre y ojala que maneje símbolos que acordaran utilizar mutuamente con anterioridad.
  • No te quedes con el “OK, tengo todo controlado”, piensa mejor ¿¿tengo todo controlado??

Como conclusion, no nos podemos confiar del candadito y el teclado virtual pensando que son medidas altamente seguras y que nuestra informacion estará segura con ellas, como vimos anterioremente existen muchas formas de atacar estas medidas

Artículo cortesía de Oscar Leonardo BanchieroTwitter: @banchiero

10 jun 2012

Informe Flu – 75

Comenzamos con el resumen de la semana:

Lunes 4 de Junio

  • El lunes Juan Luis G. Rambla publicaba su 9º artículo en la cadena Un Forense llevado a juicio (IX de X). Queda solo una semana para concluir una de las cadenas con mayor éxito. No os la perdáis, que pronto tendremos una interesante sorpresa.

Martes 5 de Junio

Miércoles 6 de Junio

Jueves 7 de Junio

Viernes 8 de Junio

Sábado 9 de Junio

9 jun 2012

Pantalla Pública XI

Buenas a todos, hoy os traemos un nuevo post de la cadena pantalla pública con 3 nuevos cazados. Os recordamos, como de costumbre, que podéis seguir envianos nuevas pantallas públicas a nuestro email info@flu-project.com

La primera pantalla pública me la encontré hace un par de semanas mientras pasaba un fin de semana por tierras mañas. Los puntos de información de Zaragoza molan :)

La segunda pantalla pública de hoy nos la envía Rafa Sánchez de una gasolinera Cepsa, donde aparece una pantalla con un Windows XP.

 

La tercera pantalla pública de hoy nos la envía @sniferl4bs mediante un RT de un twitt de @mike_melendez:

Saludos!

8 jun 2012

Laboratorio de malware II

En la primera parte del inicio de esta “saga” de análisis de malware cOmentaba que había que preparar la máquina virtual para hacer las pruebas de análisis de malware (sobretodo de la parte dinámica).

A la máquina virtual, yo no le asigno mas de 128 MB de RAM ya que si realizas un dump de la memoria o guardas un snapshot se restaura mucho más rápido. Pero si le asignas 256 o 512, eso ya viene a gusto de cada uno.

Una vez hemos preparado la máquina, preferentemente Windows XP, pondremos una serie de herramientas.

UnxUtils este paquete de herramientas son muy útiles. Estas herramientas son cat, awk, wget, cut, grep ¿De que nos sirven? Pues nos sirven a la hora por ejemplo de parsear algun fichero, obtener algun tipo de fichero de internet etc… Para poder sacarles partido las copiamos a C:\Windows\System32, así las podremso invocar directamente desde la linea de comandos.

Total Commander Aunque el explorador de Windows es muy bueno, la verdad es que he descubierto en total commander una utilidad óptima para trabajar y también, para trabajar con malware ¿Porque? Pues porque te permite realizar muchas tareas de manera automática, incluye visor ehxadecimal, descomprime cualquier tipo de fichero. Te permite invocar comandos como si fuera un cmd.exe, te permite realizar MD5, diff, sin duda una utilidad SÚPER útil.

OllyDBG Evidentemente no podía faltar OllyDBF para realizar reversing del malware. Aunque hay gente que prefiere realizar la parte de análisis estático del código fuera de la máquina virtual, OllyDBG  nos sirve para hacer los dumps necesarios de la memoria.

Paros Proxy Paros nos sirve como proxy HTTP para interceptar y ver como se realizan las peticiones entre cliente y servidor.

Immunity Debuguer Al igual que en OllyDBG nos sirve para realizar el análisis estático del malware, tool imprescindible.

Mantra En el caso de malware Mantra nos sirve para mirar aquellas webs que contienen Exploits Kits, o que la infección se efectúa en la parte Client Side, nos sirve para mirar la parte de servidor desde el navegador.

User Proces Dumper Esta utilidad de Microsoft nos sirve para dumpear los procesos de la memoria.

Windows System Control Ya conocemos las utilidades de Nirsoft y de Sysinternals, pero con Windows System Control, podemos tener estas herramientas actualizadas. Las utilidades de Sysinternals, también nos ayudaran en la parte de análisis estático.

Y hasta aquí la segunda entrega de la parte de Laboratorio de Malware

7 jun 2012

Soy Auditor de Seguridad. ¿En qué me puedo certificar? Parte III

Buenas a todos, hoy continuaremos la cadena sobre certificaciones útiles en auditoría de seguridad con 8 certificaciones nuevas de ISECOM y de SANS:

  • OPST: La certificación OPST (siglas de OSSTMM Professional Security Tester) del Instituto para la Seguridad y Metodologías Abiertas, Isecom (desarrolladores de la guía de seguridad OSSTMM) es una titulación orientada a certificar el conocimiento a nivel técnico para auditores de seguridad. Como es lógico se basa en la guía OSSTMM y en ella se tratan aspectos que van desde el uso de herramientas cono Nessus, Nmap o TCPDump hasta la auditoría de dispositivos Firewall, Router o IDS. Es una certificación bastante técnica pero en España, al menos por ahora, no es de las más valoradas. Además de OPST, ISECOM tiene las siguientes certificaciones:
    • OPSA (OSSTMM Professional Security Analyst Accredited Certification): Orientada a liderar proyectos y equipos de seguridad de la información.
    • OPSE (OSSTMM Professional Security Expert Accredited Certification): Orientada a certificar expertos en seguridad bajo la metodología OSSTMM
    • OWSE (OSSTMM Wireless Security Expert) Orientada a certificar a expertos en seguridad Wireless
  • GSE: La certificación GSE (siglas de GIAC Security Expert) de SANS, es probablemente la certificación más valorada a nivel internacional en Seguridad de la Información (aunque en España al igual que las de ISECOM no es muy conocida). Es con toda probabilidad la certificación más técnica en seguridad y prueba de ello es que hay muy pocos certificados en GSE, de hecho el primero en España no llegó hasta 2005 y en Lationamérica hasta 2011 (desde el año 2003 que se creó). Para conseguir acceder al examen de GSE es necesario superar previamente las certificaciones GSEC - GIAC Security Essentials, GCIH - GIAC Certified Intrusion Handler y GIAC GCIA - GIAC Certified Intrusion Analyst, y al menos dos de ellas con una calificación "gold". Una vez que se consigue acceder al examen, este está formado por dos partes, una primera teórica, y una segunda parte práctica que tiene una duración de dos días.
¿Hay algún GSE en la sala que quiera compartir su experiencia? :-)

Saludos!

6 jun 2012

Herramientas forense para ser un buen CSI. Parte VIII

Un caso forense sobre una intrusión web

Buenas a todos, hoy vamos a seguir con la cadena de posts sobre herramientas forense charlando sobre la herramienta notepad++, la herramienta más simple que nos podremos encontrar y una de las más útiles, y si no que se lo pregunten a programadores y analistas, por su genial soporte para multitud de lenguajes y por la posibilidad de incorporar plugins, como el famoso "compare" para comparar diferencias entre archivos. Pero hoy el potencial que querremos explotar de notepad++ no irá relacionado con la programación, si no con el ámbito forense.

Imaginaros que os llaman para realizar un análisis forense a un servidor web, debido a que han aparecido ciertos datos internos de la BBDD en pastebin o porque han desaparecido varias entradas en algunas de las tablas en la BBDD. Después de realizar todo el proceso forense que nos recomienda Juan Luis desde su genial cadena, Un forense llevado a Juicio, llegará la hora de ponernos manos a la obra y contestarnos las preguntas: ¿Qué ha pasado?, ¿Cuándo?, ¿Cómo? ¿Por qué? ¿Quién ha sido?

Para contestarnos a estas preguntas pediremos a los administradores del servidor los logs de acceso de los últimos días o meses (según nuestra intuición y las pruebas que hayamos recopilado en un primer vistazo, cómo metadatos, etc.), porque imaginamos que tendrán logs... ¿o no?, para el post de hoy supondremos que sí.

Para que os hagáis una idea del tamaño que pueden alcanzar estos logs, el log de un solo día de nuestra web www.flu-project.com alcanza las 80.000-100.000 líneas. A continuación os dejo una captura de un log que tenía a mano del pasado mes de Octubre:

¿Habéis probado a abrir un documento de este tamaño con el notepad de Windows?, lo más probable es que se os cuelgue la herramienta y no logréis vuestra misión, pero por el contrario a Notepad++ le basta con 1 segundo para abrirlo (me gusta Notepad++ se nota ¿no? :-) ).

Una vez que hayáis abierto el log, a mi personalmente me gusta aplicar a estos casos el formato del lenguaje SQL (aunque eso dependerá del gusto de cada uno), principalmente porque colorea los números de un color, lo que es útil para destacar las IPs y los estados de las peticiones (200, 404,...), y por otro lado, nos coloreará claramente las posibles inyecciones de tipo SQL, y que será una de las posibles maneras por las que han salido los datos de la BBDD de nuestro cliente.

Cuando se realiza una intrusión web, normalmente se peina el perímetro buscando las dimensiones de la aplicación/aplicaciones y del servidor y los posibles puntos débiles, para ello se suelen usar fuzzers, spiders, herramientas de fuerza bruta y escáneres de puertos, que suelen dejar mucha huella en los logs. Así que podremos echar un vistazo rápido a nuestro log y ver si encontramos muchas peticiones seguidas desde una misma IP, lo cuál destaparía en gran medida las intenciones de nuestro intruso.

Entre las peticiones seguidas que provengan desde una misma IP será útil fijarse en los "User-Agent", quizás os encontréis con algunos datos curiosos, como "Foca", nuestra amiga rosácea o el UA de algún que otro spider conocido. Esto nos dará ya una idea de que hay alguien aburriendose mucho, o de que después nos encontraremos con algunos cañonazos en nuestra muralla. Siguiendo con la búsqueda del User-Agent, puede ser útil buscar el de herramientas que automaticen ataques de inyecciones de tipo SQL, como por ejemplo "havij" y quizás os encontréis con algo como lo siguiente, un Windows XP (versión 5.1) lanzando un ataque automatizado (Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij) sobre una petición parecida a la que os mostramos a continuación:

GET webDelCliente.com/aplicacion.asp?noticia=1.1+union+all+select+0xchorizo-- HTTP/1.1" 200

Ya tendríamos las respuestas a las preguntas:

  • ¿Qué ha pasado?: Le han robado a nuestro cliente los datos que sospechaba
  • ¿Cuándo?: La fecha nos la habrá proporcionado el log
  • ¿Cómo?: Han explotado una vulnerabilidad de tipo SQL Injection con una herramienta automatizada de una página asp que no validaba el contenido del parámetro "noticia"
  • ¿Por qué?: Por adivinar
  • ¿Quién ha sido?: Tenemos la IP

Tenemos la dirección IP señores, pero puede haberla camuflado con un proxy (o varios), aunque la experiencia nos dice que antes de camuflar la IP, se suelen realizar "algunas pruebas previas" que pueden servirnos para localizar previamente otros posibles ataques de menor embergadura con patrones similares (es lo que tiene encontrarse con una vulnerabilidad sin querer, y apresurarse a explotarla, o un descuido de principiante)

Otra información interesante a buscar es si desde esa IP se han realizado otro tipo de peticiones (sin ser ataques), para intentar buscar la respuesta a la pregunta ¿Por qué?. Quizás veamos artículos, páginas u archivos en los que haya mostrado nuestro intruso un gran interés.

Llevándolo al extremo, imaginaros que los clientes que os han contratado para realizar el análisis forense sospechan de un miembro de la organización (quizás no sea tan extremo), entonces podríamos seguir rascando los "User-Agent" de nuestra querida IP, y quizás veamos cosas como...

Mozilla/5.0 (iPhone; U; CPU iPhone OS 2_1 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, like Gecko) Version/3.1.1 Mobile/5F136 Safari/525.20

Curioso, el atacante tiene un iPhone y sabemos la versión y es probable que un compañero de trabajo sepa el móvil que tiene otro compañero de trabajo ¿quizás un iPhone? ¿de eso se suele presumir delante de los compañeros no?

No solo de análisis de inyecciones vive el Analista Forense, será necesario lanzar mil hipótesis, contrastarlas, investigar los hábitos del atacante, sus motivaciones, hasta tenerle rodeado y entonces... dar tu veredicto.

Y ya queda en decisión de nuestro cliente si denunciar el hecho o resolver las cosas "en casa".

Saludos!

5 jun 2012

Captura de tráfico remoto con Wireshark

Imaginad un escenario en el cual hemos de analizar un tráfico de red específico y no podemos instalar un analizador de paquetes porque el escenario no te lo permite.

Uno de las posibles vías es realizar una captura de datos remotos.

Esto es posible con Wireshark, ya que te permite hacer la recogida del tráfico de una máquina remota.

Necesitaremos que la máquina remota esté ejecutando rdpcap que viene incluído cuando instalas winpcap en entornos Windows.

Con esto ya estamos preparados en Wireshark para poder lanzarlo contra la máquina que hace server.

En Wireshark, en el apartado capture,  cambiamos LOCAL por REMOTE y..

Ya estamos listos para recoger los datos capturados en la máquina de la cual queríamos obtener los datos.

;)