IGP, EGP & BGP: Desconectar un país de Internet

Siempre que alguien me pide consejo para aprender TCP/IP le recomiendo un libro al que tengo un cariño especial, y que os juro que me enseño casi todo lo que sé a día de hoy de comunicaciones. El libro está escrito por Douglas Eart Comer - reconocido autor en la materia - y en Español se llama Redes Globales de Información con Internet y TCP/IP. Con este libro fue con el que realmente aprendí como funcionaban los protocolos IGP (Interior Gateway Protocol), los EGP (Exterior Gateway Protocol) y los BGP (Border Gateway Protocol).

Figura 1: Libro de Douglas E. Comer sobre TCP/IP

Tal vez a todos los que estáis comenzando con el enrutamiento de TCP/IP estaréis disfrutando de los IGP, donde destacan los algoritmos de vector-distancia - como RIP (Routing IP) o IGRP - o los de estado de enlace - tipo OSPF (Open Shortest Path First) o IS to IS -. Esos protocolos son fundamentales para el mantenimiento de un sistema autónomo, pero cuando hay que comunicar una red totalmente autónoma con otra en Internet, es necesario tirar de los EGP y los BGP.

Los protocolos EGP sirven para que mediante un sistema de "saludo" y "te escucho", dos sistemas autónomos sepan que están aún conectados. Esta conexión se utiliza para pasarse las rutas de uno a otro, donde se utilizan los famosos algoritmos de la patata caliente y la patata fría para saber por qué punto de todas las conexiones entre ellos hay que pasarse la información.

Lógicamente, la información que tiene que pasarle un sistema autónomo a otro es la lista de redes accesible por cada punto de conexión, para que al sistema autónomo que envía el paquete le sea totalmente transparente la infraestructura interna del sistema autónomo que recibe el paquete. Para ello, se utiliza un sistema de publicación de redes de un sistema autónomo a otro usando el protocolo BGP.

Si un sistema autónomo no responde a los EGP y no publica las rutas por BGP, por mucho que esté enrutando el tráfico internamente con los IGP, habrá desaparecido de Internet. Y esto es lo que puede haber hecho Siria ahora mismo con sus sistemas autónomos.

Figura 2: Los sistemas autónomos de Siria han dejado de existir

Todo el mundo está reportando que no hay conexión, así que pueden haber optado por deshabilitar la publicación de rutas, o por apagar directamente los routers que le interconectan con Internet. Sea como fuera, en cualquiera de los dos casos, otra vez un "gobierno" acaba de quitar a sus ciudadanos uno de los mayores bienes de nuestra época: Internet.  Eso no debería consentirse, y habría que hacer algo para que esto no pueda hacerse tan a la ligera.

Saludos Malignos!

Para aprender cosas en Diciembre y estar formado en 2013

... Y casi sin quererlo llegamos ya al último mes de este duro año 2012 que ya casi termina. Y como es habitual mes a mes, os voy a dejar la lista de las acciones formativas que tenemos previstas para este mes de Diciembre, que en Informática64 seguimos con el trabajo diario, que no se diga. Para ello, tenemos planificados cursos en nuestras oficinas y cursos online. Este es el calendario:

03/12 al 05/12 [Móstoles] Curso de Despliegue de Windows 8
10/12 al 14/12 [Móstoles] Curso de Administración de Windows Server 2012
17/12 al 20/12 [Móstoles] Curso de desarrollo de aplicaciones Android
17/12 al 20/12 [Online] Curso de Análisis Forense de dispositivos móviles

Si quieres formarte en FOCA puedes matricularte en cualquier momento al Training Online de FOCA contactando con registro@informatica64.com que se realiza en cualquier momento que tú quieras y llevarte la FOCA PRO para tus auditorías. Ademas, ya puedes reservar tu plaza para la 9º Edición de nuestra Formación Técnica en Auditoría y Seguridad Informática (FTSAI), que como sabéis dura 150 horas y se realiza los viernes en nuestras instalaciones.

Por último, si no puedes venirte a ninguna de las formaciones, te recuerdo que tenemos unos Packs de libros especiales para estas navidades que te permitirán llevártelos a mejor precio - incluso la biblioteca completa - y aprender mucho, mucho, mucho estas navidades. ¡Qué no se diga que no te preparas para lo que venga en 2013!

Saludos Malignos!

10 formas de robarle la agenda de contactos a Pipi

Pipi Estrada, el periodista que le robaron la agenda de teléfonos de famosos que acabó publicada en Internet tiene un iPhone. Es además un - probablemente - iPhone 4 o 4S - por lo que se puede ver en esta imagen que publica él mismo en Twitter -, no creo que tenga una versión anterior del terminal, pero es lo que está levantando tanta expectación sobre cómo le han podido robar la agenda de contactos de su terminal... y la verdad es que no es tan excepcional o extraño como pueda parecer.

Lo primero que se nos viene a la mente es la posibilidad de que le hayan hackeado su terminal y un *hacker* se haya colado dentro para sacar los contactos, algo que podría hacerse de diferentes formas. Sin embargo, yo tengo mis propias teorías. Aquí os dejo 10 formas de robarle la agenda a Pipi Estrada de su iPhone 4/4S.

1) Con un APT: Averiguamos su UDID del iPhone y su dirección de correo personal y generamos un provisoning profile. Le enviamos un troyano por correo electrónico, acepta las dos alertas de seguridad y se come un troyano tipo FinSpy que nos reporta todos los contactos. 

2) Con un APT de una Fake CA y un mitm: Averiguamos su correo y le enviamos una fake CA para luego hacer un mitm con un rogue AP cercano. Después le mandamos a un portal cautivo y le pedimos su contraseña de Apple iTunes. Con ella accedemos a su backup en iCloud y descargamos los contactos. 

3) Con un JailOwnMe: Pipi no tiene actualizado el software de su iPhone y es vulnerable a los exploit de comex. Le mandamos un tweet con un link a un PDF y cuando lo abra tenemos una shell con JailOwnMe que nos permite acceder a sus contactos. 

4) Con un Address Bar Spoofing: Pipi no tiene iOS 5.1.1 o iOS 6 y le enviamos un link al twitter cuando está twitteando para que entre en un phishing hecho con address bar spoofing y le robamos la password de iCloud. Desde allí descargamos su agenda. 

5) Si Pipi tiene sincronizado su Gmail con su iPhone: Un Phishing burdo por correo electrónico o Twitter, Pipi pone su password y se accede a los contactos de Gmail para descargar su agenda en un csv. 

6) Backup involuntario: Si Pipi enchufa su terminal a un equipo para que se cargue la batería, en un descuido hacemos un backup con el iTunes y listo. 

7) Un Forense en 10 minutos: Tenemos acceso físico al terminal, lo pinchamos a un Oxygen Forensics y en 10 minutos volcamos todo el terminal a nuestro equipo. 

8) A través de un hijacking de Facebook: Pipi tiene iOS 6, ha sincronizado su iPhone con Facebook pero se conecta desde redes WiFi inseguras y le capturan una cookie de sesión de Facebook. Le hacen un hijacking a su cuenta y se descargan todos los contactos. 

9) Preguntando a Siri: Tiene un iPhone 4S con Siri activado, alguien tiene acceso al terminal y se dedica a preguntarle a Siri todos los teléfonos de la agenda que le interesan. 

10) JavaScript Botnet: Su iPhone se conecta a una Rogue WiFi que se llama Public o Free. Pipi se había conectado anteriormente a una red llamada así y como iPhone no comprueba el BSSID se come una JavaScript Botnet con la que le hacen un Phishing. 

... Y tantos y tantos esquemas de ataque como se os ocurran que me he dejado el shoulder surfer, un pairing de BlueTooh, llamar a algún iGenius a que nos de la password de Pipi o un troyano en su computadora personal. Lo cierto es que pensar que un iPhone o, o cualquier smartphone, es invulnerable es una autentica temeridad. Ten cuidado con lo que guardas en tu iPhone, no vaya a ser que acabe en Pastebin.

Saludos Malignos!

TechNet Forever

Aprendí en Microsoft Technet. Primero con Germán Díaz - quién siempre será la persona que me dio la oportunidad y mis primeros consejos para hablar en público y a quién jamás podré agradecérselo lo suficiente - , luego con Olvido Nicolás - una de las pocas personas capaz de sacarme de rueda trabajando -, después con el abuelo Parada. Más tarde llegó David Cervigón para hacer la mezcla más explosiva que podía esperar y Alberto Amescua que lo heredamos del programa MVP, hasta llegar al Golfo Paolo, Alfonso Rodriguez y Fernando el Mona-Guillot.

Decía David, que cuando uno entra en Microsoft Technet como IT Pro Evangelist, lo primero que heredaba era a Chema Alonso, y lo cierto es que he estado más de una década dando conferencias con el programa Microsoft Technet, pasando por todos los sistemas operativos desde Windows XP, y contando en mis inicios las funciones de Office XP, Exchange 2003 o SharePoint Portal Server 2001. Ha llovido mucho desde los conciertos de Spectra: The Band.

Figura 1: Cervi entregando los trastos de IT Pro evangelist al golfo Paolo y Fernando Guillot

Sin embargo, todos los que hemos pasado por Technet pertenecemos a un club que denominamos TechNet Forever, y periódicamente, cual masonería, nos reunimos para disfrutar de lo que más hemos disfrutado estos años: Comer, beber y charlar durante horas. Es genial.

Estas semanas atrás nos juntamos para lo que mejor se nos da "hacer eventos" y fue algo nostalgico estar otra vez juntos en el escenario. Cuando llegué al Techday y pregunté eso de "¿Hay Internet?", Cervi se descojonó recordando la de veces que había tenido que escuchar eso de mi a lo largo de los muchos años que hemos estado juntos en la carretera con la Gira TechNet de Seguridad, que ahora continúo yo haciendo cada año en el Up To Secure. Y yo casi lloro por el déjà vu. Podía ver lo que "habría" pasado la noche anterior e iba a pasar en el caso de que en lugar de 2012 fuera 2008 o 2007.

Con este espíritu hice las charlas del Evento de Lanzamiento de Windows Server 2012, donde solo tenía 20 minutos para hablar (esta primera de aquí). 

Y del TechDay, donde di una charla con un poco de humor, mala uva y alguna que otra curiosidad, y donde, a pesar de que Niko se empeñó en dejar mal a Windows Vista, yo me atreví a poner el capítulo de los hax0rs de Cálico Electrónico. Todas las charlas del evento de lanzamiento y del Techday las puedes ver en el microsite de Microsoft en GlobbTV.

Habernos hecho en Technet nos ha dado muchos amigos, amigos que siguen viniendo a vernos años después y que forman una comunidad muy especial para todos nosotros. Todos ellos forman parte de nuestro particular TechNet Forever. Cuando nos juntamos las anécdotas del abuelo cagándola una tras otra vez con la prensa, yo siendo parado por la Guardia Civl con un hacha o entrando al CNI para casi no salir o hacerlo con las piernas rotas, o las mil y una aventuras con los asistentes, son anécdotas recurrentes que nos hacen volver a quedar, como en el Día de la Marmota para disfrutar lo mejor de TechNet: La experiencia de la tecnología en comunidad.

Saludos Malignos!

Mejor Blog de Seguridad Informática

Muchos ya os habéis enterado, y un gran montón me habéis dado la enhorabuena, de que este año El lado del mal ha recibido el galardón al Mejor Blog de Seguridad Informática en los Premios Bitácoras 2012 que se entregaron este viernes pasado en Madrid.

La ceremonia empieza a partir de las 08:43:40

El premio tiene dos fases, una primera donde vota el público y selecciona tres blogs y una segunda donde el jurado elige de esos tres el que considera mejor de ellos. Lo que más me sorprendió es que en la primera fase, en la de la votación popular, Un informático en el lado del mal quedó en primera posición, lo que quiere decir que fue el más votado por el público, y os lo quiero agradecer a todos con este post.

Como no pude asistir a la ceremonia de entrega de premios por motivos de trabajo, grabé un vídeo en el que venía a decir básicamente esto, que os agradezco mucho que hayáis tenido la deferencia y el detalle de votar este blog. Nunca creé mi blog pensando en que algún día tuviera tantos lectores o que recibiría premios, ni tan siquiera lo hice con el objetivo de ser un medio de comunicación, ganar dinero con él o seguir una línea editorial. Por ser así, ni tan siquiera creo que El lado del mal sea un blog de seguridad informática puro.

Desde siempre ha sido un blog personal que ha contado lo que vivo, lo que pienso, lo que hago y lo que me gusta. Publico mis dibujos de No Lusers, mis textos inventados en los que sueño con paraísos, mis anécdotas personales en eventos o pérdidas de portátiles en el tren, artículos de opinión que nada tienen que ver con la tecnología, cosas que hacemos en Informática 64, Cálico Electrónico, en las universidades donde doy clase o ahora con el proyecto Talentum de Telefónica. Este blog se escribe tal y como yo vivo, y así sale. Unas veces mejor, otras peor.

Creo que el premio al Mejor Blog de Seguridad Informática es más una muestra de cariño del público y el jurado que una realidad. Entre mis RSS tengo blogs escritos en lenguas Españolas centrados en seguridad informática que creo que son mucho mejores que mi blog, algunos de ellos muy recientes, otros con mucha más solera, y algunos que ya han ganado este premio antes.

Sin embargo, os quiero cambiar vuestras muestras de cariño por esta muestra de agradecimiento, que siempre es bonito que la gente se acuerde de uno y le digan cosas buenas, así que, que no quede por mi parte: Gracias.

Saludos Malignos!

Hacker Épico. ¿Para cuándo la película?

Me lo bebí. No pudo ser de otra forma. Como ya os conté, el viernes recibí la mercancía y comencé con la lectura del libro el mismo sábado por la tarde-noche y en menos de 24 horas había devorado el libro de Alejandro Ramos (@aramosf) y Rodri (@rodripol). Sí, sé que es una putada el que os cuente esto porque aún no lo podéis leer ninguno de vosotros, pero lo cierto es que la historia engancha. Eso sí, no es un libro sobre como hacer pentesting, sino un pentester resolviendo una novela de acción a golpe de hacking. Genial.

La historia te atrapa desde el principio - a mí me han recordado las historias de novela negra de Andreu Martín -, y mantiene la tensión capítulo tras capítulo, con lo que consigue tenerte pegado a los acontecimientos notándose en cada página esos años y años de afición de Rodri a la novela negra pura y dura.

Como es un libro donde el protagonista es un hacker, las explicaciones técnicas son impecables - no como cuando Lisbeth hacía nosequé -  , y enseñan cómo utilizar todos los conocimientos para resolver puntos de la novela con total realismo usando Shodan, Metasploit, Virus Total, Forense de Windows, Forense de dispositivos móviles, Backtrack, etc... Tan trabajada está la parte técnica, que todas las demos son en real, y para poder resolver la trama Alejandro Ramos ha tenido que descubrir varios 0days que van publicados en el libro para dar mucha más veracidad a la historia. - Es la primera vez que encuentro la publicación de un 0day en una aventura de acción. Me encantó - 

Ha sido larga la espera, pero ha merecido la pena, y he disfrutado este libro mucho, mucho, mucho y haré todo lo que pueda para que podáis tenerlo antes de navidades en vuestras manos, porque os garantizo que lo pasaréis en grande si os gusta el hacking y la novela negra. Me pasaría varios posts contando los detalles cruzados, las referencias a la vida real, y los chistes cabrones de humor negro que contiene, pero me mataríais si os jodiera cualquier parte del libro por spoiler, por lo que prefiero callarme.

De hecho, el libro acaba... pero te deja con ganas de más, así que ya les he pedido que me escriban la trilogía }:)) Alex y Rodri... ¿Cuando tengo el siguiente libro y para cuándo la película? 

Saludos Malignos!

Update: Tienes mucha más información en la web que se ha hecho del libro Hacker Épico

Tiras de prensa Deili Electrónico: 21 a 24

Como sabéis, desde hace tiempo se está publicando las Tiras de Prensa de Cálico en la web de Deili Electrónico. Todas estas tiras de prensa podrás tenerlas al final editadas gracias a Ediciones Babylon - la misma que publica Mala Estrella -, con quién estamos encantados de colaborar con Cálico Electrónico y tendremos más planes para el futuro. En esta editorial hay dibujantes como Rafater, que nos ha hecho este Pin-Up de La ladrona que decidme si no es para que Cálico Electrónico se vuelva loco por ella.

Figura 1: PinUp de La Ladrona hecha por Rafater

Las tiras de estas cuatro últimas semanas las podéis ver aquí recopiladas.

Las tiras anteriores las podéis ver en los siguientes posts:

- Tiras Deili Electrónico [01 - 04]
- Tiras Deili Electrónico [05 - 08]
- Tiras Deili Electrónico [09 - 12]
- Tiras Deili Electrónico [13 - 16]
- Tiras Deili Electrónico [17 - 20]

Si queréis conocer a Niko, el creador de Cálico Electrónico vais a poder hacerlo esta semana en Madrid en ExpoComic, donde además podréis comprar algo de merchandising del héroe gordito más popular del mundo en la Tienda Oficial de Cálico Electrónico, como el pendrive del gordito, las chapitas molonas o las tazas de desayuno.

Figura 2: Las shapitas de Cálico Electrónico

Puedes seguir la publicación de tiras de Deili Electrónico en el Blog de ESET_ES, la página Facebook de Cálico Electrónico, la cuenta Twitter de Cálico Electrónico, la cuenta Tuenti de Cálico Electrónico, o en el canal Google+ de Cálico Electrónico. Además, como ya sabéis estamos remasterizando todos los capítulos de las series clásicas y ya podéis ver los 7 primeros de Mundo Cálico, donde tendrás los 50 que componen la serie en breve.

Saludos Malignos!

La mercancía está en mis manos

Fue en la mañana del viernes 23 de Noviembre de 2012. Así lo recordaré en mi memoria en años venideros. Cuando las neuronas que conservan los detalles de ese día empiecen a caer como soldados en el campo de batalla, intentaré recordar la fecha y el momento en el que Rodri y Alejandro Ramos "Dab", se pasaron por las oficinas de Informática64.

- "¿Qué te trae por estos lares, Dab? ¿Vienes a robarme la Evil FOCA acaso?"
- "Anda, déjate de tonterías, que te traigo una sorpresa", me espetó.
- "¿Sorpresa? ¿Buena o mala? Que contigo nunca se sabe", respondí.
- "Buena, hombre, buena. Que te traigo el libro terminado de una vez", dijo.
- "¿Cóno? ¿Estás de coña? ¡No me lo puedo creer!"
- Pues créetelo, pelanas, aquí lo tienes en este pendrive.

En ese me momento me alcanzó un pendrive, un pendrive de Hello Kitty, que me tuvo entre aturdido, sorprendido y confuso. ¿Será el libro realmente? ¿Tendrá un 0day a lo Stuxnet para petarme la máquina en cuanto lo pinche? ¿Será el doc un meterpreter camuflado de Metasploit? ¿Habrá acabado finalmente el libro de verdad?

Figura 1: Momento de la entrega del famoso Pendrive de Hello Kitty

- "¿Un pendrive de Hello Kitty?", interrogué.

- "Lo entenderás cuando leas el libro. Ahora déjate de broma e ingresa en mi cuenta los Bitcoins que acordamos, y no me vengas con que ha subido mucho con respecto al Dollar después de tres años, quiero el ingreso ahora mismo", solicitó exigente.

- "OK, pero antes déjame comprobar que la mercancía es buena, no me gustaría tener problemas con un pendrive de Hello Kitty que TÚ me entregues. Te podrías imaginar la perdida de reputación si es alguna jugarreta de las tuyas, que ya me robaste una foca, y mi dominio .es. Ya sabes, no es que dude de ti, es que nos conocemos desde hace años....", concluí.

Después de eso, el equipo del SOCtano analizó el pendrive. Lo introdujimos en un equipo Honney, y extrajimos los ficheros. Sacamos el docx con el texto, lo subimos a Virus Total, abrimos el XML y copiamos el texto del libro en formato plano. Abrimos un nuevo documento en Hexadecimal y enchufamos las letras del libro una a una para dejar un fichero en texto plano seguro, al que después hicimos un SHA256. Conectamos el equipo a una red aislada, y subimos el fichero por TFTP a un servidor remoto. Una vez allí, lo descargamos desde otro equipo que volvió a verificar la firma del fichero TXT y lo habría con un editor de texto en plano. De repente, el operador que iba a maquetar el libro dijo:

- "Está limpio, jefe."

Tras recibir el ACK de mis compañeros, subí del SOCtano a hablar con Alejandro y Rodri sobre el libro.

- "Muy bien, parece que todo está en regla. Pero el pago no lo haremos en BitCoins, sino directamente en dólares americanos. He gastado mi última remesa de BitCoins en comprar un 0day y ando pelado. ¿Te parece bien?", esgrimí intentando dejar claro que aún yo estaba al mando.

- "Sucia rata, sabía que alguna tenías en la manga. Pero quiero el pago ahora mismo", respondió entre malhumorado y contenido.

- "OK, así sea, pero que haya una prueba para la posteridad, y os quiero ver sonriendo para los chicos de la prensa. No vayan a pensar que no estabais contentos de haber cumplido con el contrato que teníais firmado conmigo. Os quiero posando con el cheque en las manos".

Figura 2: Rodri, KingPin y Dab

Después de eso, Rodri y Alex se fueron, y ahora en las entrañas del SOCtano la mercancía está siendo procesada. Dentro de poco, la mercancía estará en la calle, y yo seguiré siendo el KingPin de este barrio... así es la ley de la calle.

Saludos Malignos!

UPDATE: tienes más información en la web que se ha hecho para Hacker Épico

Dile cositas bonitas al oído a los chicos de Apple

Desde hace unas semanas tengo un iPhone 5 que ha pasado a engrosar mi colección de smartphones y tablets que uso para aprender cositas. Una de las primeras cosas que quisimos probar en iPhone 5, además de cómo trabaja Oxigen Forensics con iOS 6, fueron las funciones nuevas que vienen con iOS6 y no están disponibles en los iPhone 4 e iPhone 4S, así que había que jugar mucho con Siri.

Siri es el asistente personal de iOS que te ayuda, entre otras cosas, a que otros usen tu dispositivo aunque lo tengas bloqueado, también ha obligado a Apple a parchear iOS 6 porque permitía acceder a las contraseñas de Passbook aún con el dispositivo bloqueado, o a tener que reprogramar la propia "inteligencia" de Siri porque les salió respondón y cuando preguntaban qué smartphone era el mejor contestaba que un Nokia Lumia con Windows Phone.

Figura 1: Enviando correos electrónicos con Siri en un iPhone bloqueado

Además de esos "detalles" insignificantes en seguridad, Siri tuvo que ser bloqueado en muchas redes de empresas, porque tiene la peculiaridad de que el reconocimiento de voz no se hace en el terminal sino en los servidores de Apple. Es decir, cuando tu hablas a Siri lo que estás haciendo es generar un fichero de audio que es enviado a los servidores de Apple que devuelven su interpretación en modo texto.

A muchas personas de empresas preocupadas por la seguridad - de esas que son capaces de poner los smartphones en cajas faraday en las reuniones - eso de que Siri se active solo cuando va el terminal en el bolsillo no les gusta nada, y por supuesto, que se almacenen todos los mensajes de voz, a las empresas que venden sistemas de seguridad biométrica basados en voz no les parece nada inteligente que se vayan dejando grabaciones de voz en servidores ajenos.

El caso es que en el teclado de iOS6 también está escondido Siri, y yo pensaba que no era así. Entre las teclas aparece un botón con un micrófono que reconoce tu voz para escribir el mensaje sin teclearlo, y la verdad es que funciona muy bien. El problema es que, aunque no lo creas, es Siri, y todo lo que estés escribiendo en un mensaje de correo está siendo grabado en los servidores de Apple. Para probadlo, activa el modo avión de tu iOS6 y verás como el micrófono desaparece.

Figura 2: Siri escondido en el teclado desconectado porque no hay Internet

Es decir, si Apple ya se llevó los SMS con el iMessage, y tiene asociado tu Apple ID con tu UDID del terminal - ese que se puede utilizar para hacer un ataque dirigido con un troyano para iOS - y vas tú y ahora le lees los correos electrónicos confidenciales que vas a escribir, olvídate de PGP, S/MIME o lo que quieras.

Como se puede ver en las imágenes, el teclado con Siri sale en todas las aplicaciones, como las notas, el despertador, las búsquedas en Internet, e incluso las que hagas en tu teléfono, así que utiliza sólo este sistema para decirle cosas al oído y no para escribir correos confidenciales o para pedir "servicios especiales" en países donde estén prohibidos }:O

Figura 3: Escribiendo una nota con voz para dejar un mensaje bonito en Apple

Para eso, que Apple siga teniendo que reconstruir los mensajes de Carrier IQ, el "troyano" ese que se instala en los smartphones para reconstruir lo que haces en paso a paso en cada equipo y hacer un debugging "como debe hacerse". Por cierto, un amigo me dijo hace poco que si en el anuncio de Apple pone que tu dedo pulgar va de aquí a aquí, porque el teclado en horizontal no aprovecha toda la pantalla en iPhone 5... y tiene toda la razón como podéis ver en la Figura 3.

Saludos Malignos!

Web alternativa del senado Low-Cost

En tiempos de crisis, el coste de los 500.000 € que había costado la web del Senado, y que encima se comía un TXT Injection hizo pupa en la sociedad. En esta ocasión, además, llovía sobre mojado porque ya en el año 2007 pasó algo similar con la web del Congreso y volvió a pasar en el año 2010 con la famosa web de la Presidencia Europea de España y el HTML Injection de Mr. Bean.

Figura 1: HTML Injection en la web de la presidencia europea de España

Tanto fue así, que en la radio le dedicamos un buen rato a hablar de este tema, porque a la gente le tenía muy molesto por Twitter. Uno de los oyentes se ha molestado en dedicar unos días a hacer una copia de la web del Senado utilizando 0 Euros, solo su trabajo, para tener una replica.

Figura 2: Web del Senado hecha con 0 euros

Ha documentado todo el trabajo qué ha realizado en la web, y la ha subido a varios sitios online, para que puedas verla.  Dicen que en el punto medio está la virtud, y no sé si gastarse 500.000 € en una web como la del Senado era lo más apropiado en estos momentos. Vosotros diréis.

Saludos Malignos!

6.317 bugs de LDAP Injection (y alguno más)

Ayer, en el Curso Online de Auditoría y Seguridad Web, me tocó impartir la sesión destinada a (Blind) LDAP Injection y (Blind) XPath injection. En esa sesión utilicé las mismas diapositivas que tanto me costó cerrar para mi primera charla de Black Hat en la que hablamos de eso mismo (Blind) LDAP Injection Attacks in Web Applications.

LDAP Injection & Blind LDAP Injection de Chema Alonso

En una de las últimas diapositivas [en la número 48 exactamente] aparece la referencia a una sección de código de un proyecto que, en los tiempos en los que estuve preparando todo el trabajo sobre los ataques LDAP Injection, usé como ejemplo en muchas charlas, pero que nunca publiqué en ningún sitio.

El fallo es un bug de LDAP Injection en LABE (LDAP Address Book Editor), un proyecto que añade una libreta de direcciones web a tu árbol LDAP, es decir, te permite tener contactos en tu Active Directory como si fuera una web con un listín de teléfonos y basta con echar un vistazo al código para ver que en las consultas de búsqueda no se está filtrando ninguno de los valores que vienen por POST para realizar consultas.

Figura 1: LABE (Ldap Address Book Editor)

En su momento descargamos este software, lo instalamos e hicimos pruebas de LDAP Injection sobre Active Directory, pero es que se puede ver a la legua que es inyectable, sin necesidad de dejarse los ojos analizando.

Figura 2: El bug de LDAP Injection en el código fuente

Hoy he ido a revisar si habían solucionado el bug y he visto que no, así que, cuando me he fijado en  que ya había más de 6.000 descargas he pensado que ya era hora de avisarles para que lo arreglaran y les he puesto un mensaje de aviso para que lo solucionen.

Figura 3: Descargas de LABE a lo largo del tiempo

Lo curioso es que desde que se publicó el paper de LDAP Injection y Blind LDAP Injection he dicho en todas las charlas que basta con ir a los repositorios de código y buscar filtros LDAP - casi como si fueras un analizador de código estático usando Google que a mi me encanta el hacking con buscadores - y darse cuenta para ver que hay una gran cantidad de proyectos con bugs LDAP Injection activos.

Figura 4: Proyectos en Google Code con ldap_filters

Mientras que escribo este post, y aprovechando un poco de desvelo nocturno, he buscado algunos bugs más de LDAP Injection y hay aún para dar y tomar. Ya os publicaré más adelante alguno más, explicado en detalle. Pero si te aburres puedes ponerte a ello ya mismo.

Saludos Malignos!

Mundo Cálico

Organizar todo el material clásico de Cálico Electrónico tiene un trabajo grande, pero poco a poco vamos recuperando y remasterizando todo lo que está creado del mayor superjiro de todos los tiempos, y ya hemos acabado con una de las series clásicas: Mundo Cálico.

La serie está compuesta por 50 capsulas de alrededor de 2 minutos de duración, y vamos a sacar una cada día hasta que estén todas recuperadas.

Hay que puntualizar, una cada día, exceptuando los días que salgan los Capítulos 5 y 6 de la Cuarta Temporada - cada día queda menos -, y los días que salga la tira de Comic de Deili Electrónico, ya sabéis, los martes en el blog de ESET ES y el miércoles en la web de Deili Electrónico donde podéis ver todas las publicadas (¡opá! ¡si hoy es miércoles!)

Aquí os he dejado las tres primeras, pero están todas en la web de Mundo Cálico, donde podrás tenerlos organizados uno tras otro. Si quieres enterarte ya sabes, puedes seguir el Twitter de Cálico Electrónico, la página Facebook de Cálico Electrónico, la cuenta Tuenti de Cálico Electrónico, el canal Google + de Cálico Electrónico o suscribirte al Canal Youtube de Cálico Electrónico.... y luego no digas eso de ¿ha salido un vídeo nuevo?

Saludos Malignos!

El Single Sign-on y las apps de los smartphones: miedo++

A través de jmalvpal llegué a un artículo de Wired titulado "Kill the Password: Why a String of Characters Can’t Protect Us Anymore", escrito por Mat Honan, el periodista que este verano sufrió un hackeo completo de su vida personal al robarle su cuenta de correo usada como piedra de clave a través de un ataque de ingeniería social primero a su cuenta de Apple iCloud. Para conseguir esta cuenta sólo tuvo que convencer al iGenius de que él era Mat Honan, y lo hizo utilizando como verificación los últimos dígitos de su tarjeta de crédito, algo que en la cuenta de Amazon era público según respondió Apple. Un fallo coordinado entre Apple y Amazon que acabó con sus cuentas.

Yo soy muy paranóico con los sitios donde introducir mis contraseñas por este tipo de cosas que veo casi a diario, pero últimamente me siento especialmente sensible con las apps en las que te autenticas con cuentas de Twitter, Facebook o lo que es peor, para leer - por ejemplo - los feeds de los RSS a los que estoy suscrito, para lo que tengo que poner mi contraseña de Google Reader.

Figura 1: En el App Store hay 153 apps para iPhone que quieren tu password de Google Reader

El tener que poner esa password me da mucho coraje, ya que no es la password de Google Reader, es la password de mi cuenta Google, que da acceso a muchas más cosas, y resulta que a la persona que haya desarrollado esa app le estoy dando la confianza total de tener mi password de mi cuenta Google, y no me mola ni un poquito.

Está muy bien esto del Single Sign-on, pero en cualquier sistema debería poder seleccionarse una contraseña para un único servicio. Es decir, tener mi cuenta y mi password que diera acceso a todo - como ahora - pero tener también la posibilidad de crear un contraseña derivadas que permitiera acceso sólo a servicios específicos de lo que yo quisiera para ponerla en las apps de los smartphones.

Por ahora, he usado Google TakeOut para exportar la lista de subscripciones RSS que tengo y me he creado una cuenta solo para Google Reader donde he importado esta lista. Esta es la cuenta que uso en desde hace unos días en mi lector de Google Reader que llevo en el smartphone, pero exige hacer una nueva cuenta para cada servicio aislado de apps que utilizo en mis smartphones.

Figura 2: Exportando tu cuenta de Google Reader con Google Takeout

Actualización: Google tiene un servicio que permite gestionar contraseñas específicas para apps que desconocía (gracias por la info!) , así que yo voy a usarlo desde ya para evitar estos problemas y aquí tienes un vídeo de cómo funciona.

Figura 3: Passwords específicas para apps en Google

De esta forma podría limitar el riesgo de que una mala app que robara mis datos como Strom8, o Find & Call que el volumen de aplicaciones maliciosas en las tiendas no para de crecer y viendo que a Apple se le cuelan aplicaciones NFC para iPhone 5 cuando en iPhone 5 no hay NFC y que a Google Play se le cuentan apps como iWorks para Android no hay quien se fie con comodidad de sus verificaciones. Luego tu UDID acaba en un Pastebin y te hacen un troyano como FinSpy a medida para tu iPhone... y la lías.

Por supuesto, si pierdes el terminal y alguien lo apaga y lo enciende en una cámara Faraday para que no se pueda conectar a Internet de ninguna manera antes de que elimines los datos robados, un análisis forense del teléfono sacará hasta las tripas de lo que tengas allí que nosotros lo hemos probado con iOS6 y da miedo lo fácil que es y lo que sale, por mucho que haya quien diga que el cifrado es irrompible.

Saludos Malignos!

20 Entradas para Segurinfo en Madrid

Ya os publiqué la semana pasada los eventos de la segunda quincena de Noviembre, donde además de en la Radio los martes, voy a estar en el Microsoft TechDay en Madrid, el Congreso de Internet del Mediterraneo 3.0 y Segurinfo, y de este último os quería hablar hoy.

Ya se ha publicado la agenda del evento y la verdad es que los temans y los ponentes prometen, con un montón de oportunidades para debatir sobre fraude online, economía sumergida, ciberterrorismo, ciberguerra, infraestructuras críticas, seguridad nacional, etc... con muchos paneles para que el evento sea de lo más participativo con el público. 

Figura 1: Vista parcial de la agenda de Segurinfo 2012 España

Tendrá lugar el miércoles 21 de Noviembre en el Palacio de Congresos de Madrid, enfrente del majestuoso Santiago Bernabéu en el Paseo de la Castellana, y a los ponentes nos han dado un enlace para invitar a personas.

Yo tengo 20 plazas, así que si quieres venir gratis, regístrate rápido en este enlace y asiste. Solo tengo esas 20 plazas, así que no te apuntes si no vas a venir, que dejarás a otra persona sin poder asistir, y puedo ver quién ha sido el que ha fallado, así que si te apuntas, ven... o sufre al Maligno.

Saludos Malignos!

No Lusers 160 - Las chicas geek no existen

A pesar del título de la tira No Lusers de hoy sé que las chicas geek - y frikis y todo - sí que existen. Lo único que sucede es que como ya os he contado muchas veces cuando me entra una titi por correo electrónico o cuando me llegan peticiones de amistad en Facebook de mujeres lindas, siempre suele ser una estafa... ¿Por qué será? }:P

Saludos Malignos!

Un ejemplo para un amigo: El par de puntos más próximo

En este año he tenido la suerte de conocer a un grupo de personas fantásticas y con una de ellas, con pinta de "despistado" y con un corazón que no le cabe debajo de la corbata, tengo siempre debates sobre informáticos y programadores en las startups tecnológicas. En una de las últimas hablamos de la importancia de conocer o no determinados lenguajes de programación a la hora de elegirlos. 

El problema de base

Yo soy de los que cree que se debe saber C, POO en C++ o Java, algorítmica, estructuras de datos y ... un poco de ensamblador. El resto es accesorio, y basta con ponerse manos a la obra con el lenguaje y el compilador. Para explicar esto a mi amigo, voy a aprovecharme de este post y describir cómo solucionar un problema aparentemente sencillo:

En una nube de puntos descubrir qué par de ellos están más cerca entre si.

Esto de buscar el par de puntos más cerca en un espacio n-dimensional puede aplicarse a solucionar cualquier problema que tenga que ver con la búsqueda de similitudes, que puede ir desde descubrimiento de perfiles similares a la detección de copias o falsificaciones. Lo que representes en los ejes de las dimensiones es cosa tuya.

La solución de un mal programador

Para resolver este problema en un espacio de dos dimensiones con una nube de puntos desordenados sería bastante evidente el calcular todas las distancias entre todos los puntos y comparar luego todas las distancias entre sí para saber cuál es la menor.

Esta aproximación resuelve el problema, pero es una solución ineficiente que no debe ser implementada en ningún producto que vaya a escalar, ya que para n elementos, el tiempo de resolución tiende a 2 veces n elevado a 2. Es decir, para 100 elementos se necesitan unas 20.000 iteraciones - a grosso modo -. Es decir, n*n distancias + n*n comparaciones entre ellas para saber cuál es la más pequeña.

Una "cagada" de solución que se cargará cualquier proyecto tecnológico que tenga éxito y muchos elementos a comparar.

La solución de un arquitecto de software

Resolver este problema es algo que ya hace años que está pensado y estudiado, y la solución es mucho más elegante. Se basa en la aplicación de un algoritmo de recta de barrido. Vamos por partes.

Si tenemos los puntos ordenados por su coordenada X e inicializamos la distancia menor M a la distancia entre los dos puntos con menores coordenadas X no será necesario calcular la distancias entre un punto y aquellos que sus coordenadas X estén a una distancia mayor que la distancia M. Esto permite reducir el número de comparaciones a realizar, quedando reducido el problema de las distancias a k*n, donde k es el número medio de comparaciones que hay que hacer en cada punto. 

El árbol binario de búsqueda

Sin embargo, aplicar esto requiere de varios pasos previos. El primero de ellos es ordenar los puntos según se dan de alta, por lo que es necesario utilizar una estructura de datos que permita que la inserción de puntos en orden sea lo más eficiente, lo que nos lleva directamente a un árbol binario de búsqueda que deja que la inserción en orden sea un proceso logaritmo(n), pero... 

El árbol AVL

...esto puede llegar a ser ineficiente, si todos los puntos que se incorporan son introducidos siguiendo una progresión creciente o decreciente constante. Si se diera esa situación el árbol binario de búsqueda degeneraría en una lista y el tiempo medio del proceso de inserción ordenada dejaría de ser logarítmico para acabar a ser lineal, es decir, que para n elementos tomaría n/2 pasos. Para solucionar este problema, hace años que los arquitectos de software desarrollaron los árboles AVL, árboles que se recolocan en el momento en que un nodo del árbol binario tiene un desequilibrio entre las alturas de las ramas.

Figura 1: árbol binario desequilibrado convertido en un árbol AVL

Es decir, si la rama de números menores tiene una altura H1 y la rama de números mayores tiene una altura H2 que cumple que H1>H2+1, entonces se recolocan los nodos para que la diferencia entre las dos ramas solo sea como máximo de 1. Esto garantiza que el árbol jamás degenera en una lista y siempre se consigue tener la lista de elementos ordenados en un tiempo eficiente pero...

EL árbol hilvanado o enhebrado por la lista

Para resolver eficientemente el problema hay que resolver el problema de los puntos en dos fases. La primera de ellas es recorrer los puntos uno tras otro por el eje de coordenadas X de izquierda a derecha. Después, por cada punto se debe buscar la lista de puntos más a la derecha en la coordenada X cuya distancia en X sea menor que la distancia menor M hasta el momento. Esto implica recorrer los puntos en orden de X y un árbol binario de búsqueda es muy eficiente para búsqueda de elementos e inserción, pero no para encontrar el siguiente o el anterior, ya que implica un proceso logarítmico y no un paso constante.

Figura 2: Ejemplo de un árbol hilvanado

Para solucionarlo, el proceso de inserción debe hacerse añadiendo también en cada nodo un par de punteros al anterior, y el siguiente, haciendo que el árbol AVL esté hilvanado por una lista doblemente enlazada - apuntando al anterior y al siguiente - lo que es una de las formas más eficientes de recorrer un árbol. Esto permite que el algoritmo tenga una complejidad de n*(log(n)).  Pero....

El árbol B+

... ¿qué pasaría si el número de puntos ocuparan mucho en memoria porque fueran estructuras pesadas o porque el número de ellos fuera tan grande que hubiera que pensar en almacenamiento en disco? Pues que habría que pensar en una estructura en disco que optimizase el número de lecturas que hubiera que realizar. Para ello se debe hacer un estudio del tamaño de sectores que es capaz de leer de una vez un cabezal de disco y meter más de un elemento junto, utilizando los árboles B+. En ellos hay varios elementos juntos formando una lista en cada nodo, y entre ellos forman una árbol.

Figura 3: Ejemplo de un árbol B+

Además, para que no haya que equilibrarlos como en los árboles binarios de búsqueda, los árboles B+ nacen de las hojas hacia arriba y evitan modificaciones masivas en las recolocaciones cuando el árbol estuviera desequilibrado.

Y aún más soluciones para el mismo problema

Como siempre, ésta no es la única solución posible para este problema, y haciendo uso de los Diagramas de Voronoi también es factible implementar una solución óptima [os dejo un manual sobre Geometría Computacional de Francisco Rivero para los más curiosos] para este problema, lo que permite ajustar aún más la solución dependiendo de los requisitos de implementación lo y casos concretos.

Figura 4: Diagrama de Voronoi

Así que, cuando hago las entrevistas a los programadores que van a recibir las becas Talentum Startups Long Track, les acabo preguntando cosas de estas sobre cómo es el funcionamiento de los algoritmos A*, los árboles AVL, o cómo funciona un Merge-Sort. Manías mías...

Saludos Malignos!

10 cosas que puedes revisar en tu Apache (2 de 2)

Continuando con las 10 cosas que puedes revisar en tu servidor web Apache, hoy os dejo otras 5 cosas más. No son éstas las únicas que se pueden mirar - por supuesto - pero son algunas que son fáciles de comprobar. Si quieres fortificar más Apache, puedes leerte las recomendaciones de fortificación que tienes también en la web del proyecto.

6) Consolas de administración y paneles de administración JBOSS

Hace poco salía a la luz los miles de servidores Apache con server-status abierto sin ninguna contraseña en el servidor - entre los que salían sitios como CISCO -, pero casi más peligroso es tener paneles de administración JBOSS en /web-console o /jnx-console sin password o con credenciales por defecto.

Figura 6: Panel de administración JBOSS

En cualquiera de los dos casos se está pidiendo a gritos un ataque que pueda terminar con la seguridad del sistema.

7) Servicios Proxy configurados en el servidor Apache

El servidor Apache puede funcionar como un servidor Proxy para dar conexión a una red interna que quiere salir a Internet o como un servidor Reverse Proxy que dé acceso a servidores de la Intranet desde Internet. En ambos casos, una mala configuración puede llevar a serios riesgos de seguridad. Para descubrir el servicio de Proxy en un servidor Apache primeramente se busca el módulo mod_proxy o mod_proxy_ajp - módulo de Apache para jserv que necesita usar mod_proxy - que puede aparecer directamente en el banner del servicio HTTP o en los mensajes de error. Se pueden encontrar haciendo hacking con buscadores en Shodan.

Figura 7: Servidores Apache con mod_proxy descubiertos por Shodan

Otra forma de descubrirse ese servicio es mediante el uso del método CONNECT por HTTP, que permite utilizar un servidor Proxy para realizar una conexión a otro servidor web, pero también se pude utilizar un servicio Proxy en modo transparente en donde se pide la URL completa en el método HTTP, por ejemplo GET http://servidor2.com/index.htm y utilizando en el encabezado HOST el nombre del servidor Proxy. FOCA realiza estas pruebas buscando servidores Proxy en las direcciones IP del dominio en los puertos 80, 443, 8080, 8081 y 3128 (Squid Proxy).

Figura 8: Búsqueda de servidores Proxy en FOCA

Si alguien puede conectarse a tu servidor Apache y usarlo como servidor Proxy podría realizar actos maliciosos desde tu dirección IP y lograr que te bloquearan el equipo. Además, podría navegar por la Intranet y hasta por localhost a través del servidor Proxy o conectarse a cualquier servidor de la Intranet incluso si está bien configurado, pero no está actualizado.

8) El soporte PHP de tu servidor

Si tienes instalado PHP en tu servidor Apache, lo primero y más inmediato que debes comprobar es que no sea vulnerable al bug que permite ejecutar comandos en Apache si PHP está en modo CGI. Para solucionarlo lo mejor es que tengas actualizado PHP a la última versión, antes de plantearte cualquier otra alternativa.

Figura 9: Ejecución de código en Apache a través del bug CVE-2012-1823

Después, puedes comprobar que no tienes un info.php en tu servidor, que no tienes Blind SQL Injection de libro en parámetros numéricos y que no tienes ningún bug de type conversion en las aplicaciones PHP.

9) Ataques D.O.S.

Si tienes una botnet atacando a tu servidor Apache la mejor forma de defenderse es tener el portal alojado en un proveedor en la nube que evite este tipo de ataques, pero si desde una única máquina se puede tirar abajo tu Apache, entonces sí hay problemas que pueden ser subsanados. Si revisas la tabla de CVEs de Apache HTTP Server, podrás ver que el número de bugs que permiten hacer una Denegación de Servicio es alto.

Figura 10: CVEs de Apache HTTP Server

No de todos hay herramientas públicas, pero algunas sí se hicieron muy populares, como la del ataque de Slowris que publicó RSnake y que tiene una aplicación para lanzarlo contra tu servidor y comprobar si es vulnerable o no.

Figura 11: OWASP HTTP Post Attack Tool

Otra herramienta que puedes probar para ver la resistencia contra ataques D.O.S. de tu servidor Apache es OWASP HTTP Post Tool. Si una sola máquina es capaz de tumbar tu servidor entonces debes revisar las actualizaciones de tu Apache, las propiedades de tu conexión y las configuraciones de seguridad que puedes aplicar para minimizarlo.

10) ¿Qué más hay allí? Los listeners

La última de las cosas que os voy a recomendar mirar es algo que hace FOCA automáticamente por cada nombre de dominio, y es revisar los listeners HTTP y HTTPs de tu dominio. Para ello conéctate a http://www.tudominio.com y https://www.tudominio.com. Luego consulta la dirección IP de tudominio.com y conéctate a http://tuIP y https://tuIP, a ver si sale todo lo que tu esperabas y no aparezca una página por defecto o un portal de administración de un router con una password por defecto.

Figura 12: Modificador IP en Bing

Si quieres analizar un poco más lo que hay allí, puedes usar el modificador IP de Bing para ver con qué otros sitios webs compartes dirección a ver si pudieras ser atacada por alguno de ellos, aunque eso exigiría que estuvieran en la misma máquina.

Saludos Malignos!

************************************************************************************************
- 10 cosas que puedes revisar en tu Apache (1 de 2)
- 10 cosas que puedes revisar en tu Apache (2 de 2)
************************************************************************************************