Me ha entrado una Titi... ¿Habré ligado?

El día de la semifinal de mi amada España, antes de comenzar el partido, me entró un correo de una Titi o de un Tití, según cada uno quiera imaginárselo que con el problema de las tildes en los teclados internacinales vete tú a saber. Ya sabéis, uno de esos correos con estafas nigerianas que ofertan amor, sexo, o lo que tú quieras guapo... que para algo estamos hechos unos Adonis nosotros los informáticos.

El caso es que como llevaba un día largo de trabajo, pensé en: "Venga, vamos a ver cómo es el gancho". Así que, con total delicadeza, para que pareciera que me había tragado el anzuelo, procedí a a utilizar la mayor de las sutilezas que aprendemos en Bronxtolex para ligar con las chicas. Algo mítico. Saqué al caballero que llevo dentro y le envíe un bonito mensaje de amor que decía: "¡Genial! Mándame tus fotos en pelotas ahora mismo."

Figura 1: La típica chahara de bar para ligar

Aunque mis compañeros de Bronxtolex dicen que esto funciona, os juro que yo no he conseguido jamás éxito alguno con este tipo de tácticas de aproximación, pero creo que es porque soy informático y se me nota a la legua. El caso es que esta vez, mira tú que bien, funcionó, y me envió su fotografía. ¿A que está guay mi nueva conquista, eh?

Figura 2: El toque de las flores me conquistó

El caso es que venía muy vestida para mi gusto, así que, como no tenía tiempo para conversaciones intrascendentes de "mandame 1.000 € para el viaje", "quítatelo todo", "págame el visado", "ponte a del revés que no te veo bien", y esas cosas que suelen discutirse en los bares los jueves en las copas al filo de la media noche, decidí buscar a mi ligue en Internet, y acabar con esto por la vía rápida.

Haciendo uso de la web de Tineye, que compara fotografías para buscar al bombón almendradito en la web, mira tú por donde, la tipa ya tenía un historial de conquistas... pero qué le voy a pedir yo a la vida.

Figura 3: Mi conquista en TinEye

Para ahorrar tiempo de conversación fui a ver el set completo de las fotos de la susodicha "dama", que está en una de esas webs donde se reportan las fotos usadas en el timo del Nigeriano, y bueno... tal vez merezca la pena la estafa. Al final... ¿no estamos en este mundo para vivir de ilusión? 

Figura 4: Mira tú si merece o no la pena la estafa

Si ligas con una Titi, dale tu corazón, pero no la pasta, no vaya a ser que se vaya con otro y con el dinero... Yo, seguiré carteándome con mi Titi, que me hace ilusión recibir e-mails con proposiciones, y esto es algo que no me pasa muy a menudo, y es divertido tener momentos así.

Saludos Malignos!

FOCA Plugin .SVN Extractor disponible para descarga

Hemos puesto disponible para descarga el segundo Plugin para la FOCA .SVN Extractor , que permite parsear un fichero .SVN/Entries descubierto en una web, para obtener usuarios y URLs del sistema. Basta con poner la dirección en la que esta almacenado dicho fichero y el Plugin clasificará los datos por extensiones y por ficheros, en forma de árbol.

Figura 1: .SVN/Entries Extractor

Todos estos datos obtenidos son enviados al proyecto de FOCA, para que sean analizadas todas las URLs, y se obtengan usuarios, Juicy Files, búsqueda de vulnerabilidades en esas URLs, Directory Listing, etcétera. Este tipo de fallos lo hemos encontrado en webs como la de propia Apple.

El Plugin, junto con WebFuzzer, está disponible en la sección de Plugins de FOCA.

Actualmente los Plugins solo están soportados en la versión PRO de FOCA, que puedes conseguir apuntándote a un seminario - el próximo es el día 4 de Julio -, pero puedes apuntarte ya, obtener la FOCA PRO y asistir al seminario que mejor se ajuste a tus necesidades de tiempo en el futuro.

Saludos Malignos!

Estafas & Ingeniería Social: El jequeriano

Ayer por la noche, después de sufrir como nadie en el partido de fútbol contra Portugal, entré a revisar los periódicos deportivos, a ver si decían algo del cumpleaños del gran Raúl, el camino en post de la segunda HackCup del Foca Team, o los penalties de Cesc y Sergio Ramos - que fueron muy buenos, pero me tuvieron en un puño ambos -. El caso es que entre las noticias de la prensa se encontraba una que me llamó poderosamente la atención: El presidente del Getafe estafado por un falso Jeque.

Figura 1: La noticia de la estafa por el jequeriano

Hoy, al revisar mi correo tenía una oferta de esas, de jeques que tienen mucho dinero y lo quieren invertir en mí, ¡que no se diga que yo no tengo nivel!. 

Figura 2: Con la de pasta que deben tener, y no tienen ni para comprarse un dominio

El esquema es básicamente el mismo que el de El Nigeriano, también llamadas estafas 419. En todas ellas se busca ganar la confianza de la víctima haciéndole creer que va a llegar mucho dinero, y por el camino se le van solicitando "pequeñas" cantidades para reservar viajes, hoteles, pagar impuestos en aduanas, y un largo etcétera.

En el caso del presidente del Getafe el asunto tiene además mucho de ingeniería social, porque lo llevan a ver el despacho a Dubaí, también un lujoso despacho en Barcelona, donde el gabinete del jeque - ya que el jeque no lleva estos asuntos directamente - le llegan a enseñar al mismísimo jeque, que luego resultó ser un camarero de un bar de Barcelona.

Estos esquemas son el timo de la estampita buscando siempre atacar a aquellos que tienen en el interior un "bug de avaricia" explotable por medio del vector "dinero rápido y fácil".  Solo como precaución, alerta a tu jefe por si está cerca de caer en un ataque del jequeriano.... - aunque haya algunos casos insólitos en los que sea verdad..-

Saludos Malignos!

La financiación ilegal de Francisco Camps y los metadatos en el caso Gurtel: 200.000 € de facturas falsas en Excel

Los metadatos dan mucho juego a los peritos informáticos y es por ello que creamos la Forensic FOCA. En este caso parece que la Unidad de Delitos Económicos y Fiscales (UDEF) los ha utilizado para concluir que tres facturas presentadas en el caso de la financiación ilegal de la campaña de Francisco Camps eran falsas.

Estas facturas estaban emitidas por la empresa Orange Market - la de El bigotes - por servicios ficticios en las que se plasmaba un concepto “suficientemente amplio y vago en su descripción, que permite acomodarse a las necesidades tanto de Orange Market como de la empresa pagadora”, según la UDEF. Esos conceptos fueron: “Ocho lonas publicitarias” (40.600 euros); “asesoramiento en relaciones públicas” (21.460 euros); “estudio corporativo” (69.600 euros), y “estudio impacto” (67.860 euros).

Sin embargo, aunque las facturas tenían fechas diferentes con espacio de varios meses entre ellas (25 de enero, 6 de febrero, 17 de abril y 2 de julio de 2007), en los metadatos, el campo de propiedades de los archivos revela que los ficheros fueron redactados consecutivamente y en solo tres minutos: entre las 18.46 y las 18.49 del 17 de julio de 2007. Sospechoso.

Esto ha llevado a los peritos informáticos de la UFED a inferir “que antes de la elaboración definitiva del presupuesto por parte de Orange Market, ya existía una previsión o instrucción al respecto de emitir la factura en una fecha determinada y de cuándo se iban a recibir los fondos en pago a la misma”.

Este indicio lleva a investigar los objetos de los servicios facturados, pero como os podéis imaginar, de ellos no hay ni rastro. Otro caso digno de convertirse en un ejemplo ejemplar de la importancia de los metadatos en el análisis forense digital.

Saludos Malignos!

Spam de Garrafón desde Japón

Llevo desde el año 1999 con mi dirección de correo electrónico de trabajo publicada en todas las presentaciones que he hecho, y debe de estar en todas las bases de datos de spam habidas y por haber de esas que se hacen con spiders y que se comercializan en el mundo. Tanto es así, que cuando reviso la carpeta de spam, podría decirse que tengo un honney pot de correo electrónico que riete tú del malware recibido por Virus Total, porque me llega de todo. De vez en cuando la reviso, para ver los mensajes de las nuevas campañas de captación de muleros, los spam de Facebook y los servidores vulnerados, las nuevas campañas de Fraude Online, como la de Paypal o las estafas de SEO al CEO, el ASCII ART que llega desde el lejano oriente, etcétera.

Algunas veces, cuando veo los correos que se envían para infectar a usuarios por medio de ataques de Driven By URL, creo que no es posible que nadie pique en algo así, pero sé de sobra que la verdad es otra. Este correo es un ejemplo de ello. Supuestamente me lo envían desde LinkedIN - que últimamente está de moda - y es la prueba de cómo dejar mil señales para que el usuario lo detecte... y seguro que alguno aún así pica.

El correo no viene desde LinkedIN, sino directamente lo envía un tal Kimura Takayuki de un dominio japonés. En segundo lugar, el mensaje no va enviado hacia mí, sino hacia un tal Cherald, de otro dominio de correo. Además, todos los enlaces - los tres que se ven - apuntan a sitios web  hackeados,  supuestamente con exploits, que no han sido ni ofuscados - basta con pasar el ratón por encima y verlo. Pero lo peor, lo peor de todo, es el recochineo, ya que, a uno de Bronxtolex, jamás de los jamases se le escaparía que la marca del  güiski está mal escrita, ya que no es Johnny Walker, sino Jhonnie Walker.

Uno de Brónxtolex detectaría eso hasta con 6 copas de Juanito el Caminante encima... que uno está acostumbrado a recibir garrafón que sabe todo a lo mismo, pero intenta fijarse en las etiquetas... a mí me la va a dar el Kimura éste. Como se ponga tonto compro el bar y lo despido.

Saludos Malignos!

Acceder a una cookie HTTPOnly con un Applet Java

Las veces que se puede acceder a una cookie marcada con HTTPOnly por medio de un ataque de inyección de código en cliente suelen ser muy limitadas. Por ejemplo, la técnica de utilizar el método Trace por medio de un ataque XSS se ven limitadas a poder inyectar una petición Trace desde el cliente - algo bastante limitado - y a que el servidor tenga habilitado el método Trace.

Otra técnica que hemos visto este año se basaba en aprovecharse de un fallo en los mensajes de error 400 de Apache, ya que si se ponía un campo muy largo se puede leer en la respuesta la petición, por lo que se podría inyectar una cookie maliciosa para generar el error 400 y acceder en la respuesta a la cookie HTTPOnly.

Las cookies HTTPOnly están protegidas por el navegador, pero hay un momento en el que hay que tomar especial cuidado, y es cuando estas aún no han llegado al navegador, es decir, en el momento en que son entregadas por el servidor web por medio de un Set-Cookie.

En Seckkb - donde tenéis los códigos de ejemplo - han hecho un repaso intentando acceder al parámetro Set-Cookie para llegar a acceder a la cookie HTTPOnly antes de que sea protegida por el navegador intentándolo con Plugins en Adobe Flash, Sirverlight y Applets Java, y ha sido este último, haciendo uso de la función getHeaderField del paquete java.net.URLConnection el que ha permitido acceder a la cookie.

Figura 1: Cookie HTTPOnly conseguida desde un Apple Java

Esto implicaría que la inyección deberá está presente antes de que el servidor envíe la cookie, pero si se da esa circunstancia, se podría hacer un ataque que cargar un Applet y accediera a las cookies HTTPOnly que enviara el servidor.

Saludos Malignos!

No Lusers 139: Sadomasoquismo francés

El partido de ayer me inspiró un poco, así que hoy le dedico este No Lusers, con todo el amor más maligno del mundo a los guionistas de los guiñoles franceses que se meten con nuestros deportistas. El de Rafa Nadal y el Control Antidoping en Roland Garros, también va dedicado para ellos.

Saludos Malignos!

No Lusers 138 : Bug Hunting

Paypal ha sido el último en subirse al carro de pagar a los bug hunters por el envío de vulnerabilidades y exploits de sus sistemas, con el objetivo de que estas no vayan al mercado negro. Paypal sería un objetivo muy jugoso en ese mundo. 

Supongo que esta decisión la han tomado viendo los resultados del programa que lanzó Google Chrome de recompensa de bugs, llamado Pwnium, y en la que los exploits premiados han dejado de manifiesto que si hay un camino, alguien con mucho talento puede encontrarlo.

El primero de ellos, el exploit de Sergei Glazunov llegó a hacer uso de 14 bugs para conseguir una explotación consistente que permitiera salirse de la sandbox de Google Chrome y llegar al sistema operativo. El segundo de ellos, Pinkie Pie, hizo uso de 6 bugs.

Visto esto, los grandes software vendors habrán tomado buena nota de lo que la industria de la seguridad ofensiva es capaz de hacer con una buena motivación. Los dos exploits que ha recogido Google Chrome le han permitido descubrir 20 bugs y evitar que cayera en malas manos, algo que agradecen los usuarios, y los fabricates de software.

Saludos Malignos!

Una charla con Nico Waisman en Red Innova

En la pasada Red Innova intentamos hacer una charla para explicar a los asistentes en qué consisten los exploits, por qué aparecen, y qué repercusiones tienen hoy en día. Para ello, el gran Nico Waisman  (puedes seguirle en twitter: @nicowaisman) y yo unimos nuestras charlas sobre el escenario haciendo un mix de poco más de 40 minutos. Aquí os lo dejo para que lo veáis.

Solo es una charla de dos amigos contando a gente no profesional del mundo de la seguridad los riesgos de bugs y exploits, pero para mí fue super-bonito compartirla con Nico. Luego nos hicieron una entrevista juntos... pero eso fue otra historia. }:P

Saludos Malignos!

Una solución al reto de Cripto de SensePost

En verdad el reto de criptografía de Sensepost no es muy difícil. Después de leer la entrada pensé que quizás era alguna debilidad en un algoritmo casero de criptografía, pero no. Basicamente la cosa va así:

1) Cliente dice HOLA a servidor
2) Servidor contesta con un num aleatorio entre 1 y 1000
3) Cliente genera un paquete con "RESP " + hash(numero_aleatorio, clave)
4) Servidor calcula el mismo hash por si mismo y lo compara con el recibido.

- Si son iguales genera una session key así: hash( hash_anterior, clave, kc );
- El algoritmo de hash no es más que un md5($salt . $clave);

Figura 1: Hash en captura pcap

Figura 2: Número aleatorio de inicialización en la captura

- Puesto que tenemos el número aleatorio que envía el servidor en el archivo pcap (448) y el hash con el que compara (cb4efa38892033a4343bfec947701609), lanzamos un crackeador que tenga ese formato, por ejemplo, hashcat.

$ ./hashcat-cli64.bin -m 2 -a 3 ~/hashfile -e ~/saltfile --pw-min=7 --pw-max=7 -1=?l?d ?1?1?1?1?1?1?1 

Initializing hashcat v0.39 by atom with 8 threads and 32mb segment-size...
NOTE: press enter for status-screen
Added external salts from file /home/D/saltfile: 1 salts
Added hashes from file /home/D/hashfile: 1 (1 salts)
Activating quick-digest mode for single-hash
Input.Mode: Mask (?1?1?1?1?1?1?1)
Index.....: 0/1 (segment), 94931877133 (words), 0 (bytes)
Recovered.: 0/1 hashes, 0/1 salts
Speed/sec.: - plains, 36.59M words
Progress..: 46851708/94931877133 (0.05%)
Running...: 00:00:00:01
Estimated.: 00:00:43:13
Input.Mode: Mask (?1?1?1?1?1?1?1)
Index.....: 0/1 (segment), 94931877133 (words), 0 (bytes)
Recovered.: 0/1 hashes, 0/1 salts
Speed/sec.: - plains, 36.78M words
Progress..: 898263584/94931877133 (0.95%)
Running...: 00:00:00:25
Estimated.: 00:00:42:36
Input.Mode: Mask (?1?1?1?1?1?1?1)
Index.....: 0/1 (segment), 94931877133 (words), 0 (bytes)
Recovered.: 0/1 hashes, 0/1 salts
Speed/sec.: - plains, 36.79M words
Progress..: 5867093480/94931877133 (6.18%)
Running...: 00:00:02:40
Estimated.: 00:00:40:21
cb4efa38892033a4343bfec947701609:448:bm28lg1
All hashes have been recovered

Y ya tenemos la clave secreta. Para generar la clave de sesión, basta con que pongamos el valor numérico en el código de servidor a 448 (el valor original) en vez de dejar que se genere uno aleatorio, e iniciarlo con la clave descifrada, el mismo programa te genera la session key.

Figura 3: Configurando el valor "random" del código por el valor 448 que se utilizó

Figura 4: Ejecución de Cliente y Servidor para obtener la clave de sesión

Ahora ya tenemos la clave que se usó y la Session Key de la comunicación con la que descifrar el mensaje oculto en el archivo pcap.

Clave: bm28lg1
Session: 07e0f7a7cbc2d8b3dba6b7d3b69c3236

Diego Marañón

Actualización: Ya está publicada la solución oficial

No Lusers 137: Makinavaja

Todos los miércoles, cuando iba al instituto me compraba El Jueves, y me descojonaba con las historias de Clara de Noche, Mamen, Manolo e Irene, Grouñidos en el Desierto, Noticias del Quinto Canal, Jhonny Roqueta, las caricaturas de Vizcarra - gracias por hacerme la mía -, Pedro Pico & Pico Vena, etcétera, pero sin duda alguna mi ansia se guardaba para Las Historias de la Puta Mili, y por encima de todas, Makinavaja, ambas creadas por IVÁ.

Las viñetas estaban llenas de letras, los muñecos casi ni se veían, pero las historias y las frases de la cultura y sapiencia de este delincuente por necesidad, que prefería robar a llorar, eran lapidarias como  la mítica:

"No sabes si son ricos porque son hijoputas, o hijoputas porque son ricos"

Hicieron dos películas y una serie de Televisión de este poeta de la necesidad, que con una madre puta, dos amigos llamados Popi y Moromielda - que siempre tenía hachis y calzaba más que Nacho Vidal -, junto con el Abuelo, luchaban contra la hipocresía del mundo desde la Barcelona más personal descrita por el mago del personaje: IVÁ..

De cuando en cuando me leo los Pendones de El Jueves dedicados a Makinavaja, y me siguen pareciendo igual de actuales las aventuras de este héroe. Si no lo has conocido, debes perseguir sus comics por los rincones y leerlos, porque sus aventuras parece que están escritas para todo lo que estamos viviendo hoy. Será que el mundo no ha cambiado nada desde que IVÁ nos abandono. Gracias por tantas y tantas horas de buenos momentos.

Saludos Malignos!

Un reto de cripto por una entrada de un curso en Black Hat

Hace mucho tiempo que no me animo a hacer algún reto hacking, pero el tiempo lo tengo más ajustado cada vez. Así que, como la gente de SensePost está haciendo uno os voy a animar a que participéis en él. Han propuesto un reto de criptografía en el que hay que romper un sistema de cifrado entre un cliente y un servidor del que se ha capturado el código fuente del servidor y el cliente, junto con los ficheros transmitidos con un mensaje cifrado. Además se conoce que la password que se utiliza como secreto compartido es de longitud 7.

Figura 1: Funcionamiento del servidor

Con todos estos datos parece que tienes suficiente para comenzar a jugar ¿no?. El ganador se llevará una entrada gratis para uno de los cursos que la gente de SensePost dará en la próxima Black Hat USA 2012, como conmemoración de 10 años impartiéndolos..

Tienes el código fuente del cliente y el servidor y las capturas de red en pcap, junto con más información del reto, en el blog de SensePost y las direcciones de twitter y de correo electrónico a las que tienes que enviar la solución. Si no eres el primero, no pasa nada, yo estaré encantado de publicar tu solución al reto aquí, para que todos veamos cómo has resuelto esta prueba.

Saludos Malignos!

No le vemos problema alguno a los reportes que nos envías

Hace unos dias, revisando unos scripts que realicé en Perl decidí adaptarlos con algunos modulos a una pagina shtml. Tenía montado un servidor Apache corriendo en mi maquina, aceptando scripts en CGI para poder probar las salidas que realizaban desde el servidor hasta el cliente. Decidí buscarme un alojamiento que me brindara la posibilidad de programar Perl en el servidor contratado.

Para mi sorpresa, al ejecutar uno de los scripts que subo descubro que tengo mas privilegios en el servidor desde mi cuenta gratuita de los que me esperaba. Tas reiterados correos electrónicos a la compañía durante dias advirtiéndoles de algunos errores en sus configuraciones, y la única respuesta que recibo es:

//No le vemos problema alguno a los reportes que nos envías//

Como no sé si esto es una cosa solo en mi cabeza, os paso algunos de los los reportes que he enviado que no son considerados como problema:

Reporte 1:

Esta empresa como muchas otras tiene un Panel de Control donde el cliente mantiene un usuario y una contraseña para acceder desde la pagina web del proveedor a sus servicios - facturaciones, dominios contratados, espacio contratado, etc. - y paralelamente acceso a su Cpanel para la configuración de sus servicios dado por otro usuario y otra contraseña.

Figura 1: Información en datos de cuenta

En el primer reporte podemos comprobar como en el Panel de Control del Site podemos ver en texto plano el usuario y la contraseña que da acceso al Cpanel de la configuración de todo nuestro sitio. ¿Realmente es un problema?¿Un error?¿Es normal? Si lo es no se porque tener dos usuarios y dos contraseñas distintas de acceso.

Reporte 2:

Programe un script que listase en una tabla los archivos de un directorio dado con su enlace, pero al hacerlo se me olvidó indicar el directorio a listar. Como aún no tenia claro qué directorios iba a emplear configuré un simple my $dir = '../'; con lo que me dí cuenta de la mala gestión del administrador del sitio.

Figura 2: Ejecución de un listado de ficheros desde Perl

Fue entonces cuando me picó en la nuca ese gusanillo que te hace la tipica pregunta de “¿Y si…?” Pues si. ¿Y si pruebo todo lo que puedo obtener de aquí para tener los suficientes argumentos y que la empresa a la que no le debo nada proteja a sus clientes? Por lo menos los clientes que tengan cuentas que estan pagando un dinero por tener sus ficheros protegidos.

Tras eso cree distintos scripts en Perl que ejecutaban comandos en el sistema. Y estos son los resultados.

Figura 3: Salida de un comando df -h

Figura 4: Salida de un cat /etc/passwd

Sin extenderme más, he de decir que abandono mi cuenta en este hosting, porque no me gustaría que cualquier pudiera acceder al código de mis programas, así que mejor no usar este servidor.

Terminando con este llanto a gritos

Llevo mas de dos semanas intentando de buena fe contactar por todos los medios con esta empresa que suministra espacio protegido a la gente. Me he tomado las molestias de recopilar todo tipo de información para que se guíen a la hora de ver qué ocurre, moletandome para nada, porque la única respuesta ha sido:

//No le vemos problema alguno a los reportes que nos envías//

Pues vale, sin problemas, aquí queda escrito, saludos a http://www.host-ed.net/ por la colaboración aen este articulo.

Saludos
Miguel Francisco Morata

NBNS Sniffer: Capturar búsquedas en Superbar de Chrome

Google Chrome, al igual que ya empiezan a realizar otros navegadores de Internet, permite la característica de buscar desde la barra de direcciones, es decir, la SuperBar. Basta con introducir una o varias palabras y Google Chrome lanzará una consulta a su buscador para mostrar los resultados. De hecho, en Google Chrome no hay un sitio específico para búsquedas como en otros.

Sin embargo, hay un momento concreto en el que la SuperBar tiene que tomar una decisión entre hacer una búsqueda a Google Search o hacer un GET a la cadena solicitada en la SuperBar. Si se introduce más de una palabra es evidente que se debe buscar en Google Search pero... ¿qué se debe hacer si se introduce una palabra que puede ser el nombre de un servidor web?

Si introducimos www.elladodelmal.com, Google hará primero un GET para después, en el caso de no estar disponible ese servidor web, realizar una búsqueda en Google Search. Este comportamiento es similar si se realiza, por ejemplo, la introducción de un único termino, como por ejemplo una palabra.

En ese caso no realiza primero un GET, sino una búsqueda de resolución de ese término por la red usando NetBIOS para después intentar hacer un GET, y si fallase, realizar la búsqueda de ese término en Google Search.

Figura 1: Tráfico NBNS generado por una búsqueda en la SuperBar de Google Chrome

Este comportamiento es conocido desde hace ya algún tiempo, y permite que alguien que esté sniffando la red pueda enterarse de todo lo que está buscando la gente por la SuperBar. Esto es así, incluso si si está configurado Google Search para realizar búsquedas con HTTP-s, ya que la búsqueda de resolución del término se hace por otro protocolo. En Internet Explorer 9, aunque se pueden hacer búsquedas en la barra de direcciones, el comportamiento no es igual a éste.

Como estamos desarrollando la Evil FOCA en Informática 64, uno de los módulos que le vamos a meter es la posibilidad de escuchar este tráfico, pero ya tenemos una versión POC de esto que puedes descargar y probar en tu red. 

Figura 2: NBNS Sniffer

Te aseguro que te sorprenderá qué es lo que busca la gente en las redes del trabajo, aunque lo mejor es que la búsqueda de esa palabra significa una conexión a un servidor, por lo que si se utiliza un módulo como Name Service Spoofer de Metasploit, puedes lograr un ataque de Phishing que haga un redirect a la página esperada por la víctima, pero con los resultados trampeados. Es decir, ponerle una página de resultados de Google para ese término pero totalmente controlada.

Por supuesto, algunas veces encontrarás peticiones NBNS que nada tengan que ver con búsquedas en Google Chrome, y sí con el funcionamiento normal del protocolo. Puedes descargar desde aquí NBSN Sniffer, y recuerda que necesitarás Winpcap para que funcione. Uno más de los ataques en redes de datos IPv4 e iPv6 para meter en la mochila.

Saludos Malignos!

Engañado por Rosvelt Mejia Díaz y el Corporativo de Investigaciones Universitarias en México ¡Ten cuidado!

Recientemente tuve una muy mala experiencia con un evento, y como sé que tengo muchos amigos que son invitados a conferencias por todo el mundo, quiero alertarlos publicamente de estas personas, para que sepan a qué atenerse con ellos.

Comenzaré la historia diciendo que tengo la inmensa suerte de ser invitado muchas conferencias por todo el mundo, lo que me ha permitido conocer lugares y personas maravillosas. En México, que es donde tuve el problema, he tenido la gran suerte de estar en Toluca, en México D.F. y en Chiapas dando conferencias, donde he conocido la afamada Hospitalidad Mexicana, de la que doy fé que es impresionante. Allí me han tratado con todo el cariño y el respeto siempre, haciendo que siempre tenga un especial recuerdo de mis eventos allá.

Dicho esto, los hechos comienzan con una invitación de Rosvelt Mejia Díaz, del Corporativo para Investigaciones Universitarias de México, a un evento en la universidad, lo que me hizo suponer que sería algo similar al que realicé el año pasado en Chiapas.

Figura 1: Invitación recibida de Rosvelt Mejia Diaz

Tras negociar las condiciones y cambio de fechas del evento, pasé a comprar mis billetes y organizar alguna actividad más en México para los días cercanos, con toda la confianza y tranquilidad de siempre.

Figura 2: Correo de aceptación de condiciones

La sorpresa llegó cuando, el día antes de tomar mi vuelo a México D.F. desde Venezuela me encontré con que tras un rápido intercambio de correos electrónicos y una llamada de teléfono resultaba que:

1.- El evento de el Corporativo de Investigaciones Universitarias era en Acapulco en lugar de en Puerto Vallarta, y yo tenia los billetes de avión al sitio original, con lo que había comprado algo que no me valía para nada. 

2.- Según ellos no había posibilidad alguna de llevarme a Acapulco para el evento, y que debían cancelar mi participación. 

3.- Tenía que estar dos días en Mexico D.F. sin tener alojamiento alguno.

Supuestamente, ellos me iban a hacer un ingreso de todos los gastos que me habían supuesto los viajes de avión, pero nunca más volvieron a dar señales de vida. 

Figura 3: Último mensaje recibido. Los 300 USD eran para reservar un hotel de emergencia. Nunca llegaron

Al final me hicieron perder días de mi vida, y un buen montón de dinero en viajes, pero lo peor fue la sensación y preocupación de tener que estar en un país extranjero cambiando de prisa vuelos, buscando hoteles por si tenía que quedarme allí, etcétera.

Cuando regresé a España, busqué a estos tipos por Internet, y vi que tienen un perfil más que sospechoso en Linkedin. Por supuesto, nunca más volvieron a contactar conmigo.

Figura 4: Perfil en Linkedin de Rosvelt Mejia Diaz

Os dejo aquí esta historia para que estéis alertados de ellos si os ofrecen cualquier cosa, pero no quiero manchar en un ápice a México - que sus gentes me han hecho querer a ese país -, y de hecho tengo planeado estar en septiembre allí en la próxima Hacker Halted Latino America que se realizará.

Saludos Malignos!

Cálico Electrónico Capítulo 2 Temporada 4 "Cuidado con el Danger" y Tiras de prensa en Deili Electrónico

Hola a todos, ayer en Red Innova Nikotxan presentó en primicia el Capítulo 2 de la Temporada 4 de Cálico Electrónico, titulado "Cuidado con el Danger". Así que, por si no estás suscrito al Canal Youtube de Cálico Electrónico, os lo dejo aquí:

Además, desde ESET y Onitnet nos han vuelto a apoyar - ¡Mil gracias! - para lanzar un nuevo proyecto con Cálico Electrónico que durará todo un año de momento, para la publicación de Tiras de Cálico Electrónico. Todas ellas se publicarán en primicia en el blog de Protegerse y luego un día después las tendremos disponibles en la web de Cálico Electrónico en el Deili Electronico - que será semanal }:S -.

Primera tira de Cálico Electrónico

Saludos Malignos!

Owning bad guys {and mafia} using javascript botnets en RootedCON 2012

Ya han publicado más vídeos de la RootedCON 2012, y ha tocado el turno a la charla que dimos sobre cómo usar Rogue Proxy Servers para controlar máquinas.


La descripción de la charla paso a paso la tienes en la serie de posts que ya tienes publicados:

**************************************************************************************************
- Owning bad guys & mafia with Javascript botnets (1 de 5)
- Owning bad guys & mafia with Javascript botnets (2 de 5)
- Owning bad guys & mafia with Javascript botnets (3 de 5)
- Owning bad guys & mafia with Javascript botnets (4 de 5)
- Owning bad guys & mafia with Javascript botnets (5 de 5)
**************************************************************************************************

Saludos Malignos!

Libro PowerShell: La navaja suiza de los administradores

Ya tenemos listo y a la venta el nuevo libro de la colección de libros de Informática 64, en esta ocasión dedicado a Microsoft PowerShell, algo que nos ha ayudado mucho en nuestro trabajo, y que hemos decidido plasmar en un libro. Los autores son Pablo González y Rubén Alonso, consultores de sistemas y seguridad, que han cubierto los principales aspectos del uso de Microsoft PowerShell para administrar Windows, Active Directory, SQL Server, SharePoint Server, etcétera.

Este es el libro número 15 de la colección, que queda compuesta por los siguientes títulos, aunque ya estamos trabajando en tres nuevos que saldrán pronto:

- Libro 15: PowerShell, La navaja suiza de los administradores 

- Libro 14: Desarrollo de Aplicaciones iOS para iPhone & iPad: Essentials
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicación Web: SQL Injection
- Libro 11: Aplicación del Esquema Nacional de Seguridad con Microsoft
- Libro 10: Seguridad y Hacking de comunicaciones Móviles: GSM/GPRS/UMTS
- Libro 9: Máxima Seguridad en Windows: Secretos Técnicos
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores: Google, Bing y Shodan
- Libro 6: Una al Día, 12 años de Seguridad
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Auditoría y Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación de medidas técnicas y organizativas para aplicar la LOPD
- Libro 1: Análisis Forense en Sistemas Windows

Os recordamos que en Colombia los puedes pedir directamente a través de IT Forensics LTDA, para que os salgan más baratos los gastos de envío.

UPDATE: La semana que viene hay un Virtual Hands On Lab a través de Internet sobre PowerShell, dentro de la semana de VHOLs dedicada a Windows Server.

Saludos Malignos!

Cómo dar una buena presentación: To do and not to do

Mis primeras presentaciones fueron nefastas. Lo hacía bastante mal y me sentía bastante frustrado. Si alguien piensa que no vale para dar una presentación, o que se siente totalmente incapaz de hacerlo, entonces puede entender más o menos cómo me sentía yo cuando tuve que dar mis primeras charlas en público. No se me daba nada bien y como os conté me daba Pánico.

Sin embargo, he tenido una mamá que siempre me ha apoyado, a veces incluso en cosas imposibles para mí, y lo hacía con una frase que me sacaba de quicio en aquel entonces: "Nadie nace sabiendo hijo, si otros han podido, entonces tú también puedes".

Por supuesto, la respuesta que daba cabreado era que hay hombres que han corrido los 100 metros en menos de 10 segundos y yo nunca iba a ser capaz de hacerlo, que había límites innatos, que yo no tengo el cerebro de Einstein, etcétera, pero en el fondo algo calaba esa perorata continua de mi madre en mis orejas, y volvía a intentarlo. Leía, estudiaba, practicaba, y luchaba por hacerlo un poco mejor.

Dar presentaciones es cuestión de práctica, y como toda ciencia o saber humano, tiene ciertas reglas, que aunque no parezcan descriptibles con un lenguaje algebraico que termine con un Q.E.D., sí que se pueden describir los condicionantes de una ecuación que dan un buen resultado.

Mi admirado Gonzalo Álvarez Marañón (@ArtePresentar), uno de los mejores ponentes que conozco, hace tiempo que abandonó sus presentaciones sobre seguridad y criptografía para centrar todo su potencial en El Arte de Presentar, y ahora lo ha plasmado en un fantastico libro.

Figura 1: Gonzalo presentando el libro de El arte de presentar

Hoy por la mañana me senté a leerlo un rato, y me enganchó. Con más de 300 páginas, en una presentación impecable, el libro recoge reglas fundamentales y avanzadas que ayudan a dar una buena presentación. Me he visto reconocido en muchas de las cosas que a golpes he ido aprendiendo, y otras nuevas que me han ayudado a entender el porqué algo no funcionó.

Me ha hecho sentir especialmente contento, el verme retratado como ejemplo en la parte de las demostraciones, aunque algunas veces, como a todo hijo de vecino, me ha fallado alguna demo - ley de vida -.

Si te sientes, o te has sentido como yo me sentía, sólo debes aprender y practicar cómo se da una buena presentación - sea la temática que sea -, y puedes leer el blog de El Arte de Presentar, asistir algún Curso de Presentaciones de Alto Impacto (hay uno mañana y otro pasado mañana) o leer el Libro de El Arte de Presentar.

Saludos Malignos!

Ping 1 en Windows, Mac OS X y Linux

Hoy tengo un poco de lío, así que toca un post rapido de una curiosidad con la que estaban jugando mis compañeros de auditoria web en Informática64 con el ping en IPv4 que tal vez os sirva alguna vez. La idea es hacer un Ping a una dirección IPv4 pero sin poner los 4 bytes, que tiene un comportamiento muy concreto en Windows y Mac OS X, aunque en Linux tiene un comportamiento ligeramente distinto.

Figura 1: Ping 1 en Windows

Figura 2: Ping 1 en Mac OS X

- Si se pone sólo 1 byte, rellena con ceros por la izquierda
- Con dos bytes, rellena de ceros en el medio.
- Con tres bytes, rellena de ceros el tercer byte.

Al final, la explicación parece ser que el último valor, cuando no están los cuatro bytes, lo toma como valor entero alineado a la derecha que luego se rellena con ceros, por lo que pue suceden cosas como que Ping 1.4000 es lo mismo que Ping 1.0.15.160 y que Ping 2.2.2000 es equivalente a Ping 2.27.208. 

Figura 3: Ping 1 en Linux

En los sistemas Linux, Ping 1 falla, pero el resto es similar. ¿Alguna idea en dónde usar esto?

Saludos Malignos!

No Lusers 136: Rafa Nadal gana su 7º Roland Garros

... y pasa el control Antidoping sin ningún problema....

LinkedIN: Mata tus cookies ... y cambia la password

La red social para contactos profesionales, LinkedIN, hace tiempo que me tiene intrigado. El que aún no use de forma nativa Http-s para las sesiones o el que tenga formularios aún que son perfectos para realizar ataques de SSLStrip siempre me llamó la atención, y suelo tener bastante cuidado con esta red cuando me conecto.

Yo, como muchos de vosotros tengo mi propio perfil allí, así que cuando pasa algo con esta red suelo tomar precauciones, y esta historia es consecuencia de una serie de lamentables incidentes encadenados. Este es el fujo de los acontecimientos.

Incidente 1: El bug de PHP en modo CGI

Cuando a principios de mayo salió el bug de PHP en modo CGI, rápidamente corrió que algunos servidores de Linkedin estaban afectados, algo que es más que probable que pueda haber sido utilizado para robar las passwords -  esto es mera especulación y ya veremos los resultados de la investigación -. En ese momento, yo decidí que mi password en esta red social debía ser más robusta, así puse una contraseña más compleja para evitar que fuera fácil de crackear en caso de que mi hash acabara por ahí.

Incidente 2: Linkedin vulnerable a ataques de fuerza bruta

A mediados de Mayo se publicó una manera de hacer fuerza bruta al sistema de login de Linkedin. Generó mucha controversia sobre si era factible o no, y si era fácil de bypassear el captcha o de si se podía automatizar la gestión del security_token. En cualquier caso, yo decidí cambiar mi contraseña y ponerla más fuerte, por lo que subi mi contraseña a una passphrase de 20 caracteres.

Incidente 3: Se publican los hashes de las cuentas

Tras los avisos anteriores, los hashes en SHA-1 de las contraseñas se hacen púbicos. Aunque se intentan borrar, muchos se hacen con ellos, y aparecen sitios que intenta a) alertar si tu hash se ha hecho público con un sistema como el publicado por Security By Default o b) robar información, solicitando que envies la password para ver si está publicada, que seguro que a muchos les va a encantar. Momento de volver a cambiar mi password (y van 3 veces en un mes).

Incidente 4: Las estadísticas

Cuando salen publicadas los hashes, y los resultados del cracking de estos 8 cuentas tenían una password de 20 caracteres que había sido averiguada. Podría ser uno de esos 8 hashes el mío, aunque era una password compleja. Por suerte ya había cambiado mi password. 

Figura 1: Datos estadísticos del cracking

Incidente 5: La aplicación de iOS

La semana pasada también sale una notificación que dice que la aplicación de LinkedIN para iOS envía todos los datos de las entradas del calendario en texto claro, con lo que tus reuniones y los contactos con los que te reúnes circulan por la red. 

Figura 2: Datos de calendario enviados en plano

Como yo tengo la aplicación de Linkedin para iOS voy a comprobarlo, y descubro... que mi sesión se abre tras encender desde el cero el terminal y arrancas la aplicación, aunque ya he cambiado la contraseña, con la información de la cuenta en el dispositivo }:O

Incidente 6: Hijacking a Linkedin para iOS

Ya se había anunciado que Facebook para iOS y DropBox para iOS eran vulnerables a hijacking, si alguien podría acceder a los ficheros de la aplicación en el dispositivo. Estos ficheros temporales son accesibles si el terminal tiene jailbreak o si se puede acceder a un backup del equipo, siempre que se conozca el passcode - así que protege tu passcode y tu backup -.

Para probar esta vulnerabilidad, el proceso que he seguido es sencillo:

Paso 1: Configurar la cuenta en LinkedIN para iOS

Tras instalar la aplicación de Linkedin para iOS iniciamos sesión en la aplicación. A partir de ese momento no se solicitarán credenciales durante la apertura de la aplicación en el dispositivo.

Paso 2: Copiar a PC los ficheros que mantienen la sesión en el dispositivo

Para ello he utilizado un dispositivo con jailbreak y he copiado los mismos que el hijacking de Facebook para iOS utilizando iFunBox, que son:

Linkedin/Cookies/Cookies.binarycookies
Linkedin/Preferences/com.linkedin.Linkedin.plist

Paso 3: Cerrar la sesión en LinkedIN para iOS

Haciendo clic en la opción de cerrar sesión en LinkedIN para iOS se mata la información de sesión, y si se vuelve a abrir la aplicación se solicitará usuario y contraseña para acceder al perfil.

Figura 3: Cierre de sesión en LinkedIN para iOS

Paso 4: Cambiar la password del perfil

Esto se realiza a través de la aplicación web, para no tocar nada la aplicación Linkedin para iOS. En este punto, con la sesión cerrada y cambiada la password, lo que no debería permitir que se logara nadie con las cookies antiguas.

Paso 5: Reutilizar los ficheros de sesión

Volvemos a copiar los ficheros que habíamos guardado antes, donde se configura la sesión en LinkedIN para iOS. De nuevo usando iFunBox.

Figura 4: subida de archivos con iFunBox a un dispositivo con Jailbreak

Paso 6: Abrir LinkedIN para iOS y se iniciará la sesión automáticamente.

Es decir, que por mucho que haya cambiado las passwords, y matado la sesión, si en algún backup del dispositivo realizado en algún equipo se han quedado estos ficheros guardados, y alguien tiene acceso a ellos, podría acceder a todo tu perfil.

Saludos Malignos!

€uro Copa, Banqueros Indignados y Justicia Social

Decían los periódicos de nuestra vecina Alemania que este domingo - por hoy - el presidente de mi querida España iba a pedir el rescate a Europa. Supongo, y en esto especulo, que lo dirían porque o bien tienen muchas que decir en este asunto, o bien conocen la historia en la forma de proceder de nuestros mandatarios, ya que la ocasión la pintan calva. Al final, fue ayer por la tarde a la hora de las cañas y tapas de las terrazas, antes de salir de cena.

Ya el anterior presidente de mi querida España, aprovechando los Cuartos de Final, y la Semi Final del pasado Mundial de Fútbol, - en el que me parece recordar entre nieblinas que nuestra querida Selección Española no lo hizo del todo mal - aprobó un par de buenos Decretos Ley, que nos empezaron a marcar el camino de lo que nos esperaba por delante. Era un buen momento, ya que la gente iba a hablar de los goles de Villa, las paradas de Iker y los gambeteos de Iniesta, y nadie se iba a acordar de eso de subir la edad de jubilación, los años de cotización a la Seguridad Social, etcétera.

Por eso, ayer por la noche, era el momento idóneo. Se estaba disputando la Final de la liga de Baloncesto entre el Real Madrid y el Barcelona, la ronda de clasificación para el Gran Premio de F1 de Canadá, en el que mi "primo" Fermano Alonso hizo un gran tercer puesto, Rafa Nadal disputa hoy la final de Roland Garros en la que puede hacer aún más historia  - yo espero personalmente que la gane para poder mear a los franceses ... en el control antidoping de después -, y por supuesto, la Selección Española de Fútbol comienza su camino en la Eurocopa contra la gran Italia. Así que era la ocasión del gobierno para meternos en algún buen lío vital.

Lo triste desde el punto de vista de un ciudadano de a pie como yo, es que todo esto se ha fraguado en poco tiempo. En nada y menos, los Banqueros Indignados salieron a la portada de los periódicos para decirnos que se habían fundido el dinero, que se largaban dejando cada uno abandonado su puesto, pero que se iban a llevar sus 10, 40 o 100 millones de Euros de indemnización, que una cosa era que no había dinero, y otra que no hubiera dinero para ellos. Y claro, como son pieza fundamental del modelo de estado, reclamaban ayudas públicas para ser re-capitalizados.... o lo que es lo mismo... dinero.

Claro, esto es una diferencia totalmente contraria a las miles de personas que salen a la calle a indignarse. Porque no es lo mismo que un banquero se indigne educadamente, con su tez morena y cuidada de pasar horas en el Spa, y lo haga por carta y hablando cara a cara a un juez, un ministro o el propio Rey, que encadenarse en la puerta de la vivienda de una familia que va a ser deshauciada de su casa por no pagar los 15.000 € que debe de su hiperteca porque se ha quedado en paro, y chillar con el corazón en los pulmones en un desesperado intento de lograr que desde ese pueblo de mi querida España la voz llegue a algún juez, algún ministro o algún Rey - de hecho o de facto -. No es lo mismo, no hay color.

Al final, como decía un amigo por Twitter, parece que se ha querido convertir a mi querida España en el alumno brutote de clase, que suspende en Matemáticas, suspende en Ética, suspende en Legislación, no estudia Ciencias, y sólo es bueno en Gimnasia. Por favor, que alguien rescate a mi querida España pero de los que permiten estas cosas.

Saludos Malignos!