jueves, octubre 31, 2013

Linux Exploiting: Un libro para crear exploits de GNU/Linux

No es la primera vez que publico en este blog algún artículo de Blackngel, como el Confusing Acunetix Kiddies & No Limit Crawlers o el de Prescinde de tu sistema operativo... si puedes. Sus textos son buenos, y sus contenidos interesantes y didácticos. Cuando me propuso escribir un libro sobre cómo hacer exploits para sistemas operativos Linux, no lo dudé y contesté ipso-facto que sí. Hoy, el libro ya está disponible a la venta, aunque será el lunes cuando se empiece a entregar a los compradores.

Figura 1: Linux Exploiting

El contenido de libro lo podéis ver en el índice del libro y está descrito por él mismo en la web de 0xWord para Linux Exploiting de la siguiente guisa:
"El exploiting es la base de todas las técnicas de ataque existentes que se utilizan a diario contra aplicaciones vulnerables. De hecho, si no fuera por esta ardua y paciente tarea que los hackers han ido desarrollando a lo largo de los años, frameworks completos y tan conocidos a día de hoy como lo pueden ser Metasploit, Core Impact o Canvas, no existirían ni podrían ser utilizados por pentesters y profesionales de la seguridad informática que habitan todo el globo terráqueo. 
El exploiting es el arte de convertir una vulnerabilidad o brecha de seguridad en una entrada real hacia un sistema ajeno. Cuando cientos de noticias en la red hablan sobre "una posible ejecución de código arbitrario", el exploiter es aquella persona capaz de desarrollar todos los detalles técnicos y complejos elementos que hacen realidad dicha afirmación. El objetivo es provocar, a través de un fallo de programación, que una aplicación haga cosas para las que inicialmente no estaba diseñada, pudiendo tomar así posterior control sobre un sistema. 
Desde la perspectiva de un hacker ético, este libro le brinda todas las habilidades necesarias para adentrarse en el mundo del exploiting y hacking de aplicaciones en el sistema operativo Linux. Conviértase en un ninja de la seguridad, aprenda el Kung Fu de los hackers. Que no le quepa duda, está a un paso de descubrir un maravilloso mundo repleto de estimulantes desafíos."
Para que os hagáis una idea del libro que ha quedado, como más de 300 páginas de contenidos, con ejemplos de CTFs, técnicas paso a paso con ejemplos en Español de cada tipo, y uso de herramientas tan populares como radare, os he seleccionado lo que se ve por ejemplo en un capítulo dedicado al exploiting avanzado.

Figura 2: Capítulo IX del libro de Linux Exploiting

En definitiva, David Puente Castro aka Blackngel, ha creado un libro más que recomendable si quieres profundizar en el arte de crear exploits para sistemas operativos Linux. Además es un complemento perfecto si ya te has leído Metasploit para pentesters, Hardening GNU/Linux o Pentesting con Kali.

Saludos Malignos!

miércoles, octubre 30, 2013

Ganó 1.000.000 $ con una inversión de 27 $ en Bitcoins

Esta mañana cuando he leído la noticia me ha dejado sorprendido, y no creo que por hacer un paper de investigación sobre criptografía se suela ganar tanto, pero a veces la fortuna te alegra la vida de la forma menos esperada, como a este estudiante de Noruega.

Figura 1: El estudiante noruego protagonista de esta historia

El curso de los acontecimientos es sencillo. Un estudiante de criptografía decide comprar hace 4 años unos Bitcoins - la moneda criptográfica de la que tanto se habla - para estudiar mejor el sistema de intercambio que utiliza - algo de lo que se mofó su novia -. Como buen estudiante su inversión no es ni mucho descabellada, así que invierte 27 dólares americanos que le alcanzaron para comprar nada más y nada menos que 5.000 Bitcoins en aquellos tiempos.

Figura 2: El paper académico que da soporte a los bitcoins

Hoy en día es fácil de entender que 5.000 Bitcoins pueden tener un valor mucho mayor, algo que él también comprendió, lo que le llevó a buscar la clave de acceso a su wallet para sorprenderse con una fortuna de más de 886.000 USD en bits criptográficos. Hoy ya su precio en el mercado, esos 5.000 Bitcoins, valen más de 1.000.000 USD, pero él ha decidido invertir parte de su fortuna digital en comprarse un apartamento en una de las mejores zonas de Oslo - y darle en los morros a su novia, suponemos -.

Figura 3: Últimas operaciones de cambio de Bitcoins

En las gráficas se puede ver como ya en muchos mercados se ha pagado el cambio de un Bitcoin a más de 200 USD, lo que es una autentica brutalidad comparada con su valor hace apenas 4 años. Sin embargo, para muchos inversores el gran problema con los Bitcoins sigue siendo su inestabilidad de cambio.

Esta moneda sigue viéndose muy ligada a la Deep Web - a pesar de que cada día más comercios de Internet y de la vida física la admiten como medio de pago legal - y cualquier incidente en ella, como el cierre de SilkRoad o la interceptación de Bitcoins por parte de los cuerpos de seguridad americanos, hace que su caída sea brutal en corto espacio de tiempo. Ni que decir tiene, que cuando lo que hay por medio es un robo de Bitcoins, la cosa aún es peor, porque genera mucho más pánico entre los inversores habituales en otros tipos de divisas.

Figura 4: Variaciones del valor de los Bitcoins en los últimos meses

Este miedo a la fluctuación que da pánico a tanta gente, contrasta por otro lado con la alta rentabilidad que se puede conseguir en poco tiempo, ya que casos como el de este estudiante son muy comunes con muchas personas que yo conozco, que con pequeñas inversiones en Bitcoins han conseguido un poco de dinero fácil solo dejándolos olvidados por un tiempo. ¿Tú tienes Bitcoins?

Saludos Malignos!

martes, octubre 29, 2013

Captura de claves en PLCs industriales CP1L-EM de Omron

Después de encontrarme - casi - sin buscarlo con la historia que os narré en "Tu industria en mis manos", como dice un gran amigo, no podía dejar de “pegar botonazos”, con lo que he continuado en la misma línea de pruebas. Como se desprende de aquel artículo, existen multitud de sistemas de automatización industrial expuestos en Internet con credenciales de acceso configuradas con sus valores por defecto, lo cual ya sabemos lo peligroso que puede llegar a ser.

Aunque esto suele ser debido a la mala praxis o a puro desconocimiento de los riesgos por parte del integrador, pero lo más grave es cuando los propios fabricantes no se preocupan por la seguridad de sus sistemas.

En esta ocasión nos vamos a centrar en los autómatas industriales de la firma Omron. He realizado un pequeño estudio utilizando las capacidades de zmap y masscan, además de un pequeño programa propio, para buscar este tipo de controladores expuestos en Internet. Tras los resultados iniciales se puede concluir que, de los sistemas encontrados, aproximadamente el 10% están protegidos mediante el uso de una clave mientras que el resto no tiene ningún tipo de protección para acceder.

Centrándosos ya solo en ese 10%, la pregunta que nos podemos realizar es: "¿Como de segura es la clave de protección de este tipo de dispositivos?" Para intentar responder a esta cuestión, he realizado una pequeña prueba de concepto, concretamente con un controlador de tipo “CP1L-EM”.

Figura 1: Controladores Omron gama CP1L

Para la prueba de concepto simplemente vamos a hacer un esquema típico de ataque en red de datos de man in the middle envenenando la tabla ARP con mensajes spoofeados. Con esto nos colocaremos entre el PLC (Programable Logic Controller) y el usuario que está conectado a él. Lo que se espera no es nada más que capturar el momento en el que el software de programación del PLC intercambie la clave de acceso con dicho PLC.

Figura 2: Haciendo un man in the middle con arpspoof en Kali Linux

Como se puede ver, se ha utilizado arpspoof de Kali Linux para hacer el ataque. Ahora solo hay que esperar el momento en el que el programador bloquee o desbloquee el acceso al PLC mediante su software de programación para capturar la negociación de acceso, para lo que se debe capturar todo el tráfico de red utilizando un programa como Wireshark.

Figura 3: Configuración de claves de acceso en el software de programación del PLC

Aplicando los filtros pertinentes por dirección IP podemos observar que la clave que se envía desde el software de programación hasta el dispositivo PLC se pasa en texto claro, sin usar ningún tipo de cifrado o algoritmo de seguridad.

Figura 4: La clave de acceso va en texto claro entre el dispositivo PLC y el software de programación
Como podemos observar, la clave se pasa en claro entre el software de programación y el autómata programable, con lo que la interceptación de ésta es tremendamente sencillo.

Afortunadamente, hace tiempo que se están dando pasos por parte de la UE para que se tome conciencia del riesgo que entraña el tener desprotegidos este tipo de sistemas, pero aún así parece que no aprendemos.  Ahora que “todo el mundo” se preocupa de si la NSA tiene a su PRISM espiando la cuenta de Facebook, muchas de las grandes empresas tienen los sistemas que controlan sus máquinas y procesos al alcance de cualquier desaprensivo con tiempo libre.

Saludos,

Juan Luis Valverde Padilla
jl.valverde@jvalverde.es

lunes, octubre 28, 2013

79.400 URLs de Gmail indexadas en Google no son un leak

Ya he escrito varias veces de este comportamiento tan curioso que tienen los buscadores a la hora de indexar contenido en la base de datos. Lo he hecho con Facebook y también lo hice con WhatsApp, así que no va a ser nada nuevo para nadie lo que os voy a contar, salvo que he aplicado la misma metodología a Gmail, buscando qué se queda indexado en Google que provenga de correos de Gmail.

Lo primero de todo, como no, es comprobar que el fichero robots.txt de Gmail está correctamente configurado - y por https y todo -. Si entráis en él, podréis ver un montón de cosas Disallow. Entre los directorios prohibidos está el directorio /u/ pero no el directorio /mail/u/ que es donde los usuarios visualizan todos sus mensajes de correo.

Figura 1: Robots.txt de Gmail no bloquea /mail/u/

Lo siguiente es evidente, buscar qué URLs de esa ruta han caído indexadas en Google, para lo que basta un simple site:mail.google.com/mail/u/ para ver qué sale. Eso sí, después de la búsqueda hay que dar a la opción de "Mostrar todos los resultados".

Figura 2: Hay aproximadamente 79.400 URLs indexadas

Entre las cosas que salen entre esos 79.400 resultados indexados, están las URLs de mensajes que venían con números de teléfono enlazados, y pueden localizarles en el título de las URLs. No sabemos de qué usuario es ese número, pero Google lo tiene indexado.

Figura 3: URLs con números de teléfono indexados en Google

En otro orden de cosas curiosas aparecen URLs para la descarga de ficheros adjuntos, que aunque no están cacheados, sí que queda la URL en la caché con el título del documento, tal y como puede verse en este ejemplo.

Figura 4: URL con fichero adjunto relativo a un  "Curso de receitas"

El número de URLs es enorme, así que puedes perder tiempo buscando entre lo que allí hay, para ver si encuentras algo más "curioso" en el nombre del adjunto o el título, ya que quedan indexados ambos.

Figura 5: URLs con adjuntos de todo tipo, hasta con noticias de IRAQ

Hablé sobre esto con la gente de seguridad de Google, para decirles que podría ser un detalle higiénico que en lugar de dejar estos leaks de información, aplicaran lo que Google dice que hay que aplicar para evitarlos, es decir, aplicar robots.txt, la meta tag de NoIndex o el header HTTP X-Robots-tag NoIndex, pero han dicho que prefieren no hacerlo.

Figura 6: Opciones para evitar indexación de URLs y Títulos recomendadas por Google

¿Y si por error cae indexado una URL con un fichero adjunto que tiene un título o un nombre demasiado significativo y quieres eliminarlo? Pues no puedes usar las Herramientas del Webmaster y deberías pedírselo directamente a ellos.

Figura 7: ¿Hoy indexo menos que ayer pero más que mañana?

Curioso, ¿no? Pues lo más curioso es que hoy he ido a buscar otra vez y se han perdido unas 50.000 URLs de la base de datos... como lágrimas en la lluvia. Curioso, ¿verdad?

Actualización: Ahora quedan menos URLs...


Figura 8: A las 22:55 de la noche salen solo 15.200 URLs indexadas

Acutalización 2: A día 6 de Noviembre solo quedan 14.700

Figura 9: ¿Morirán todas?

Saludos Malignos!

domingo, octubre 27, 2013

Ayuda a tu Cálico Electrónico contra la madre del Topo

Durante esta quinta temporada, no hemos sido capaces de conseguir los sponsors necesarios para mantener funcionando Cálico Electrónico con el modelo de financiación anterior. Ya para el primer capitulo de la quinta temporada financiamos internamente toda su producción, pero eso no es sostenible a largo plazo. Esto nos había llevado a pensar en hacer un capítulo una o dos veces al año, cuando surgieran los patrocinadores necesarios, sin saber cuándo podría ser esto.

Figura 1: Temporada 5 - Capítulo 1: La noche de los abrazos gratis

Pero como son muchos los que quieren que salga un nuevo capítulo de Cálico Electrónico cada cierto tiempo, hemos pensado en poner parte de su financiación en formato de crowdfunding. La idea no es financiar todo el capítulo, sino apoyar parte de su construcción, y poner el resto de la financiación de los capítulos internamente, con lo que se saca de la venta de merchandising en la tienda oficial Cálico o la publicidad - hoy en día es ínfimo -. 

Figura 2: Temporada 5 - Capítulo 2: Cálico Electrónico contra la madre del Topo

El proyecto del Capítulo 2 de la Temporada 5 se llama "Cálico Electrónico contra la madre del Topo" y de él puedes ver la portada, donde se puede adivinar que algo tendrá que ver el mundo de MineCraft en todo esto. Para apoyar el proyecto, hemos decidido gestionarlo cn Verkami, y allí hemos creado una serie de recompensas para los que colaboren desde lo más pequeño, hasta lo más grande, que puedes ver aquí.

Figura 3: Recompensas para los que apoyen el proyecto

De momento, en 1 día y medio, la respuesta de la gente ha sido muy positiva, y se lo agradecemos de manera especial. Lo que más ha gustado a la gente ha sido la posibilidad de contar con un dibujo personalizado de Cálico Electrónico y poder spoilear a la gente.

Figura 4: Conseguir un dibujo de Cálico Electrónico

Para las empresas u organizaciones hemos creado un sponsor especial para cinco de ellas, que por medio solo de 200 € les permitirá salir como supporters al inicio del capítulo, presentándolo. Para que os hagáis una idea, los 6 capítulos de la temporada cuarta de Cálico han sido vistos más de 2.000.000 de veces en el canal oficial de Youtube, más todas las visualizaciones que se han hecho en otros canales que los han compartido y en otros portales de vídeos donde también están.

Figura 5: Sponsors para empresas u organizaciones

Por último, si no puedes aportar, pero quieres apoyar al continuidad de Cálico Electrónico, te agradecemos que compartas las campaña en tus medios o que difundas todas las cosas nuevas que estamos haciendo, como las apps para Windows 8, Android, Windows Phone o iPhone, las tiras de cómic que publicamos todas las semanas en la web, el cómic publicado o la cantidad de capítulos que hemos recuperado del gordito.

Figura 6: Vídeo de presentación de la campaña de Crowdfunding

Como muestra de que merece la pena que Cálico Electrónico continúe vivo, he seleccionado este capítulo especial que se hizo como segunda parte de "Una Historia de Amor", llamado "Hasta los Clones", donde se hace un especial homenaje a una película de Harrison Ford en la que tiene que desactivar Replicantes.

Figura 7: Capítulo Especial - Hasta los Clones

Si eres fan de Cálico Electrónico no te preocupes, los derechos del personaje están a buen recaudo y no hay ningún riesgo de que se queden en el limbo legal o en quiebra, nosotros los cuidamos. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, en Tuenti, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico

Saludos Malignos!

sábado, octubre 26, 2013

Yes, we can! (O el poder sin parangón de la NSA espiando)

Supongo que para nadie es nueva la campaña de las primeras elecciones presidenciales del actual mandatario Barack Obama. La famosa frase dio la vuelta al mundo, y para todos es fácil recordar el "Yes, We Can!" como algo relativo a él. Es parte ya de la Historia Norte-Americana. En la Historia de Internet - y por tanto de nuestra sociedad - habrá que contar con la referencia temporal de las revelaciones de Edward Snowden como un antes y un después.

Figura 1: Vídeo de la entrevista en Hong-Kong de Edward Snowden

Las reglas del juego no parecen haber cambiado demasiado en fondo, pero si en la magnitud de la forma, pues el poder cuasi ilimitado parece haber excedido la imaginación de cuasi-todos los guionistas de Hollywood. En esa pequeña lista de excepción habría que dejar a David Marconi y su película "Enemy of the State" donde un grupo de agentes de la NSA persiguen a un abogado por haber descubierto algo malo de un político utilizando todos los mecanismos de espionaje del mundo.

Solo otro, un miembro "disidente" de la NSA le ayuda. Quién diría que esta película en la que se utiliza cualquier sistema informático o electrónico del año 1998 pudiera estar tan cercana a una realidad plausible en 2013.

Figura 2: Enemy of the State. Perseguido por los sistemas de la NSA

En la sociedad actual, tras conocerse todos los programas de espionaje que la NSA tiene desplegados por el mundo, que salieran casos como el de que había espiado el teléfono de Angela Merkel o de 35 dignatarios políticos más como cuenta The Guarding era solo cuestión de tiempo. Al fin y al cabo, ya contaban con entrega de datos en PRISM, la captura del tráfico de los cables de Internet con la operación Tempora, un sistema de almacenamiento para Data Mining como X-KeyScore desplegado por todo el mundo o un sistema de catalogación de metadatos sociales como Sinapsis. El resto sería solo saber cuáles son las cuentas de correo electrónico, los nombres de usuario o los números de teléfono de los dignatarios.

Figura 3: Petición a los agentes de consecución de los datos de contacto

Sería cuestión de saber a qué números de teléfono se ha llamado desde el número de teléfono de Angela Merkel buscando en los registros de PRISM, o buscar las llamadas en los protocolos de comunicación SS7 que enlazan el tráfico entre la red de telefonía normal y la transmisión por Internet de las señales de VoIP, que hubieran caído en el canasto de las chufas de Tempora. Si luego hubiera algo de cifrado integrado, habría que perder un poco de tiempo en crackearlo.  

En la Ekoparty de 2009, si no recuerdo mal, Philippe Langlois ya contaba todas estas cosas en una presentación que podéis ver online en otros conferencias también. Por ejemplo, contó todo esto en este vídeo de la Source Barcelona de 2010. Pueden hacerlo. Tienen la capacidad de hacerlo. Y lo hacen.

Figura 4: Interconexión IP & SS7

Las respuestas desde USA son que todos los demás también lo hacen, tal y como recogen en el New York Times, pero que ellos tienen una capacidad incomparable con el resto del mundo. Algo que todos ya hemos descubierto gracias a la publicación de todos los documentos de Edward Snowden, pero que antes solo podía sospecharse como un guión de una película de ciencia ficción como la citada al principio de este artículo.

Figura 5: Lisa Mónaco informando al presidente Barack Obama

Lisa Monaco, secretaria del presidente Barack Obama para asuntos de Homeland Security escribía en USA Today el jueves una columna de opinión para tranquilizar a los aliados y amigos, en la que decía cosas tan interesantes como:
 "We want to ensure we are collecting information because we need it and not just because we can."
Yes, we can!, le faltó añadir a la frase del final, algo que ya sabemos, pero veremos si se pueden asegurar de eso en el futuro. Eso sí, todo esto lo sabemos después de las revelaciones, porque antes los malos eran los chinos, que según los informes de ciberseguridad enviados al gobierno, el Informe Mandiant sobre APT 1 y las declaraciones tras todos los incidentes de ciberguerra entre países, eran los apuntados como culpables. Los chinos malos, malos, malos, decían ellos.

Figura 6: Los Chinos eran los malos... y poderosos

Lo que más me apena es que los propios miembros de la NSA, que ya habrán terminado de sobra la investigación para saber de dónde fueron copiados todos los documentos que se han ido publicando, han anunciado que esperan aún miles de revelaciones más. Revelaciones que servirán para que los dirigentes de todo el mundo vayan a hablar con el presidente, reclamen la presencia del embajador de EEUU en el país y le digan algo como un lastimoso "¡jooo!", pues ellos tienen los secretos, ellos tienen el poder.

Saludos Malignos!

viernes, octubre 25, 2013

Estudio global de la ONU sobre el mundo del cibercrimen

Leyendo los RSS ayer me di cuenta - gracias a Segu-Info - de que se me había pasado un interesante informe hecho por la ONU sobre la evolución del cibercrimen que había sido hecho en Febrero de 2013. El objetivo de este informe es poder entender mejor el estado actual y las tendencias del cibercrimen para lo que se ha consultado a los estados en un intento de tener una mejor foto global. El informe está disponible online en formato PDF en: Comprehensive Study on Cybercrime.

Figura 1: Estudio sobre el Cibercrimen realizado por la ONU

En un vistazo rápido del mismo para seleccionar qué partes debía leer con más calma, he visto algunas cosas curiosas, reflejadas en él. La primera que captó mi atención es la comparación del cibercrimen con los homicidios, donde se puede ver qué hay más incremento en los incidentes del primero que del segundo tipo y creciendo en los últimos años.

Figura 2: Comparativa de noticias de homicidos y cibercrimen desde el año 2005 al 2012

Esta comparativa en las noticias, tiene su reflejo en esta otra gráfica, donde se puede ver cómo el acceso a las cuentas personales o el robo de identidad se han convertido en los principales delitos. En la cola de la distribución quedan los delitos más tradicionales como el robo de vehículos, los asaltos y los robos físicos.

Figura 3: Comparativa de impacto de delitos de cibercrimen y crimen tradicional

En esa gráfica se han dividido los países en dos columnas, los que tienen más del 80% de los delitos cometidos por bandas de cibercrimen y los que no, para que se pueda diferenciar el impacto de los tipos de crímenes en cada uno de ellos.

Por otro lado, el informe toca casi todos los grandes incidentes de ciberespionaje y ciberguerra. Cita la operación Aurora, Stuxnet, las grandes botnets creadas para el fraude online con software como Zeus o Butterfly, y va aportando una visión global del impacto de todos estos delitos en el mundo. También tocan casos como el Black Market o Silk Road - antes de ser cerrado - en las redes TOR y la distribución de drogas a través de Internet utilizando mecanismos industrializados de go to market

Entre los datos, uno curioso es la edad de los cibercriminales en función de los informes de captura de cada uno de ellos, donde se puede ver que - incluso entre distintas fuentes de datos - que la edad más común suele estar entre los 18 y los 30 años mayoritariamente.

Figura 4: Edad de los cibercriminales

En la última gráfica que he extraído me ha llamado la atención la distribución de los delitos del mundo del cibercrimen dividido por continentes. Entre paréntesis está el número de países de los que se ha contado con datos para hacer esta gráfica. Fraude, pornografía infantil y el acceso no autorizado a datos siguen siendo los reyes en la mayoría de los continentes.

Figura 5: Datos de los delitos por continentes según fuerzas de seguridad

El informe ofrece muchos datos interesantes, y una gran cantidad de referencias, así que es recomendable la lectura en detalle de todos los puntos para saber mejor qué está pasando al otro lado de la línea.

Saludos Malignos!

jueves, octubre 24, 2013

Remote Heartbreak Attack: El ex vice-presidente se protege

En el año 2008 en un paper titulado "Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses" se especulaba sobre los riesgos de dotar a los marcapasos o los desfibriladores cardiacos implantados de características de conexión inalámbricas, ante la posibilidad de que un atacante interceptase y manipulase el protocolo para detener el sistema, obtener los datos, o lo que sería peor, enviar ordenes que pudieran ser mortales para el anfitrión del dispositivo.

Figura 1: Paper que describe en 2008 los ataques a Pacemakers & ICD

En la popular serie Homeland, en el capítulo 10 de la segunda temporada titulado "Broken Hearts" el ataque terrorista al vice-presidente de los Estados Unidos se hacía mediante un marcapasos que era manipulado remotamente mediante una conexión inalámbrica.

Figura 2: Temporada 2 de Homeland

El desaparecido Barnaby Jack, trabajando en iOActive, escribió en Febrero de este año un post en el blog en el que comentaba el paper citado y el capítulo de Homeland, viendo cuán de plausible era ese ataque a día de hoy en los dispositivos actuales. En el artículo se dicen cosas como:
"At IOActive, I've been spending the majority of my time researching RF-based implants. We have created software for research purposes that will wirelessly scan for new model ICDs and pacemakers without the need for a serial or model number. The software then allows one to rewrite the firmware on the devices, modify settings and parameters, and in the case of ICDs, deliver high-voltage shocks remotely."
Todo el trabajo que había hecho Barnaby Jack en esta industria iba a ser publicado en la pasada BlackHat USA, pero apareció muerto y fue un shock para todos. La charla no se dio y no se le sustituyo en la agenda, creándose un homenaje en la sala que le correspondía durante su slot de tiempo.

Figura 3: Barnaby Jack con el software y las herramientas para hacer ataques a ICDs

No había información sobre las causas de su muerte, pero se había dicho que en el plazo de un mes se darían más datos. Pero no fue así. A día de hoy en el artículo de la Wikipedia dedicado a Barnaby Jack puede leerse referente a su muerte lo siguiente:
"The coroner's office refuses to release information about the cause of death, which is one more reason to assume Barnaby Jack was murdered."
Esta semana, la noticia ha sido que el ex vice-presidente Dick Cheney que tenía uno de estos ICDs ha decidido quitarle todas las opciones de conexión remota por seguridad, ya que parecía una mala idea que alguien como él pudiera ser atacado remotamente.

Figura 4: El ex vice-presidente Dick Cheney ha tomado medidas con su ICD

La realidad acaba superando a la ficción, y lo que a veces puede parecer la trama de una película o serie de acción, puede acabar siendo una más de las variables cotidianas de nuestras vidas. Sea como fuera, ver este tipo de cosas tienen que hacer que mucha gente se preocupe sobre a dónde vamos a llegar al final si alguien puede matar a otra persona solo por un fallo de seguridad en la conexión WiFi de un dispositivo médico o un vehículo.

Saludos Malignos!

miércoles, octubre 23, 2013

Un bug de IIS Short Name en el Windows de Microsoft

En la última RootedCON, cuando impartí el RootedLab de FOCA para hacer una auditoría de seguridad web, les dije que igual que nosotros habíamos estado testeando nuestra herramienta con Apple, probablemente encontraran muchas cosas en muchos lugares de grandes empresas. Y así fue.

Uno de ellos fue en la web de Microsoft, y quedamos en que se lo reportaríamos por si querían arreglarlo. El fallo es un bug de IIS Short name en el dominio windows.microsoft.com que permite que se listen los ficheros de las carpetas en formato 8:3 haciendo un ataque a ciegas, aún cuando el administrador del sitio haya configurado el servidor para que no se muestren los listados de directorios. 

Figura 1: Valores True y False en ataques al bug de IIS Short name

El bug se conoce desde hace ya año y medio, y sin embargo aún habiéndoselo reportado Microsoft ha decidido no corregir este pequeño issue en su sitio web - algo que difiere con lo que hizo Apple en su servidor cuando se lo notificamos -, con lo que se puede usar el plugin de IIS Short Name Fuzzer de la FOCA PRO para sacar el listado de los archivos que hay en ese servidor.

Figura 2: Respuesta del MSRC ante el reporte de este bug

Las respuestas positivas y negativas a la hora de implementar un algoritmo de extracción blind son bastante sencillas. En ese servidor, cuando existe un nombre de archivo que en formato 8:3 coincide, entonces el servidor contesta con un mensaje de error que deja la página en blanco.

Figura 3: Respuesta True, existe un fichero o carpeta que comienza por aspnet*

Cuando, por el contrario, no existe ningún fichero que concuerde con esa cadena 8:3, entonces el servidor IIS arroja una respuesta de Error 500 en la página web.

Figura 4: Respuesta False, NO existe un fichero o carpeta que comience por aXpnet*

Con esto, es fácil implementar la lógica para extraer todos los ficheros de esa carpeta, que a día de hoy no son demasiados, pero como prueba de concepto de que el bug anula una de las características de seguridad de IIS y debería ser arreglado, es más que suficiente.

Figura 5: Listado hecho con FOCA

Y esa es toda la historia. Un bug de IIS Short Name 8:3 que tienen los servidores de Microsoft que queda sin parchear, y el mismo bug en un dominio de Apple que es parcheado. Curioso cuanto menos.

Saludos Malignos!

martes, octubre 22, 2013

Una historia de un DVR low cost que no era ni hackeable

En la última visita de Chema a la Argentina para la Ekoparty 2013, después de correr varios días con temas laborales sobre mi nuevo rol en Eleven Paths y todos los fabulosos proyectos en andanza, nos tomamos un merecido descanso con un buen Malbec para conversar de aquellas anécdotas más variadas que a uno le ocurren. Hubo una en particular que me pidió que se la escriba para el blog porque no podía creer lo que había vivido, y heme aquí, contando esa historia…

Hace un tiempo me encontraba buscando un DVR y un par de cámaras exteriores para poder instalar en el patio de mi casa y así poder observar qué sucede mientras no estoy, o cuando estoy durmiendo. Después de mucho buscar en diferentes tiendas en mi país, y de hablar con amigos que habían instalado sistemas en sus casas, vi que necesitaba gastar alrededor de 2000 dólares norteamericanos. Resignado, decidí diseñarme un sistema reutilizando cosas, sin embargo, las cámaras nocturnas no las tenía e igualmente debía conseguirlas. El valor de cada cámara era de aproximadamente 100 dólares.

En plan de ahorro, me puse a buscar en esos famosos sitios chinos donde el amigo Lorenzo Martínez suele comprar aunque a veces compra en otros conocidos pero no le va tan bien, y me encontré con una agradable sorpresa, vendían en oferta un DVR + 4 cámaras, más cables, más precintos, más no se cuántas cosas más, todo por solo 100 dólares. Rápidamente y sin dudarlo presioné el botón “Agregar al carrito” y ahí se me sumaron otros 120 dólares más por el envió, pero no me importó. Era feliz, me seguía costando menos que los 2000 iniciales.

Figura 1: El envoltorio del DVR y las cámaras

Una vez finalizado el proceso de compra me llegó a los 20 días una notificación de la aduana argentina, diciéndome que debía pasar por la oficina de correo a retirar el paquete. Una vez allí debí pagar otros 60 dólares, pero tampoco me importó…era feliz.

Con el paquete en casa, el primer fin de semana me la pasé haciendo diagramas de por dónde colocar los cables, hacer los agujeros, esconder las evidencias y demás tareas de un instalador paranoico. Con mucha desconfianza por la anécdota de Lorenzo, encendí el equipo y accedí al menú, para mi primera sorpresa (que al fin y al cabo era obvio si lo pensaba) estaba totalmente en Chino. A no desesperar pensé, "¿cuanto puedo tardar con un traductor on-line?". Los traductores on-line siempre pueden ayudar, por eso 1 hora después pude cambiar el idioma a Ingles y dejarlo fijo. Ya eran las 2 A.M. del lunes, todo el fin de semana se me había ido por completo, pero no me importó… era feliz.

Descubrí que ese DVR que había comprado pensando que no serviría para nada, era casi mágico, permitía todo tipo de administración del sistema operativo y de la gestión de sus funciones de grabación hasta el punto de ser incluso mucho mejor de los que me habían ofrecido por más de 8 veces el precio que había pagado.

Todo estaba a la perfección, ya concentrado en las configuraciones básicas me dediqué a hacer todo lo que debemos realizar en un equipo nuevo en nuestra red: El hardering. Cerré todos los puertos salvo el de HTTPS, deshabilitando las opciones por defecto sobre FTP y SSH. Conecté los Logs de alerta a mi equipo de monitoreo de red para saber si se apagaba enviándome un SMS a mi teléfono.

Configuré variables para que trabajase con mi alarma, para que si algo pasaba, sonara la sirena de la casa y se disparasen las llamadas telefónicas correspondientes, y para todo esto, a las 4 A.M., hice lo último que tenía que hacer, configuré una clave robusta en el equipo y me fui a dormir. Solo unas horas, porque debía levantarme a las 7 A.M., pero no me importaba… era feliz.

Al otro día mientras tomaba mi café de desayuno, la intriga me carcomía y quería ver que había sido filmado mientras dormía esas 3 horitas, quizás algún OVNI o un ser de otro planeta, a un vecino robándome las plantas, tomé mi teléfono, accedí a la dirección IP interna, puse mi usuario y mi clave, y… ¡sorpresa! Clave incorrecta. Volví a intentar, una y otra vez, y siempre la misma respuesta. Ante la pregunta obvia de quienes me rodeaban, dije:
“Tranquilos, ya se cómo cambiar el idioma y configurar las cosas. A la noche cuando vuelvo de la oficina, lo reseteo y vuelvo a empezar”
…me importo poco…seguía siendo feliz. Al regresar, me encontré con una nueva sorpresa, mi equipo de DVR, no tenía un botón de Reset como casi todos los DVR. Pero no me preocupé, desarmé el equipo y miré el circuito, pensando:
“debe tener un pulsador para resetear en algún lado”
…pero no había ninguno. Tanto tiempo de mi vida dedicado a la informática me trajo respuestas rápidas: La pila. Pero claro, siempre funciona. Saqué la pila esperando que el equipo pierda la configuración, y lo volví a encender. Nada cambió. Lo encendí luego sin la pila directamente. Nada cambió. Le quité la pila por 24 horas y luego lo encendí. Nada tampoco. 48 horass. Nada otra vez, y los días seguían pasando.

Esta vez, sí me importo, ya no era feliz.

Decidí ir por lo mas sano, buscar el modelo rebuscando por todo Internet y ver cómo se reseteaba, tomé el manual y descubrí algo interesante. El manual era genérico. No indicaba marca ni modelo, y además estaba en ¡¡¡¡Chino!!!! Volví al equipo, en el chasis tampoco indicaba marca ni modelo, la bronca se comenzaba a apoderar de mi. Busque en internet todo tutorial posible y todos decían lo mismo:

- Presione el botón de Reset
¡¡¡¡¡¡¡¡¡NO TENGO BOTON DE RESET!!!!!!!!!!!
- Quite la pila y el equipo volverá a su configuración inicial
¡¡¡¡NO!!!!, ¡¡¡¡¡¡¡¡¡¡EN MI EQUIPO NO PASA!!!!!!!!!!
Ya habían pasado 2 largas semanas desde que tenía el equipo y solo había podido acceder una sola vez. Me quedaban pocas opciones:
1) Fuerza bruta y incluyendo evasión del captcha (¡¡¡sí, el maldito tiene hasta un captcha!!!), pero mi clave era compleja, no suelo usar claves sencillas.

2) Encontrar en el circuito cúal era la resistencia asociada para hacer un bypass (de más está decir que todos los chips integrados están borrados, por lo que no podía saber qué integrado es cada uno en el circuito y conocer su función).
Me dispuse a trabajar en ambos a la vez, mientras estaba en casa, estudiaría el circuito, mientras no estaba dejaría un equipo castigando al DVR hasta sacar la contraseña. Pero algo pasó. Me llegó un correo, no era de la alarma, ni del sistema de monitoreo, era de la tarjeta de crédito donde me avisaban que por mi compra al exterior con tarjeta de crédito, tenía un 20% más de recargo por la legislación de mi país …

Llegando al final de la tercera semana, con la barba tal cual Tom Hanks en la película Náufrago (título original en inglés: Cast Away), metido totalmente en el circuito con mis lupas para ayudarme con la ya cansada vista, siento un golpe al fondo de mi casa y me asomé a ver. Por suerte no encontré nada porque de haberlo hecho no contaba con un amigo como Marcos de la historia Hacker Épico. Sin embargo cuando volví, algo maravilloso ocurrió: se me vino a la mente una posible contraseña.

Armé el equipo lo más rápido que pude, lo conecté, tome mi celular, accedí a la dirección IP y probé. ¡¡¡¡ERA LA CLAVE!!!!!!

Casi 4 semanas de trabajo, en un DVR Chino que NO le recomendaría a una empresa, pero que para una casa sobra, aguantando las cargadas de todos mis conocidos y familiares con frases del estilo:
“Mucho hacking mucho hacking pero no podes entrar a un simple DVR!”
“Tengo problemas con una formula de Excel, eso tampoco lo podes resolver?”
Moraleja: Realizar una buena tarea de hardering a los sistemas de tu casa es fundamental para evitar intrusiones, pero recuerda poner claves complejas a horas en donde tu mente no este agotada, o utiliza un almacén de contraseñas seguras!

Saludos

Autor: Claudio Caracciolo
Chief Security Ambassador at Eleven Paths.

lunes, octubre 21, 2013

Bug en Google Chrome permite robar datos con Autofilling

Nuestro compañero de ingeniería en Faast - el servicio de pentesting persistente - en Eleven Paths Ricardo, llevaba un tiempo dándole vueltas a las opciones de Auto-relleno de formularios de Google Chrome, hasta que ha dado con un fallo de seguridad que permite explotar y robar los datos de los clientes sin que estos se den cuenta, tal y como hemos publicado en el blog de Eleven Paths.

Para poder entender la idea, primero hay que presentar el concepto de Auto-relleno de formularios que Google Chrome añadió hace un tiempo. Asociados a la cuenta de Google, se pueden tener una serie de campos rellenos con los datos que habitualmente se solicitan en los formularios de Internet. Estos campos pueden ser los datos personales, tales como nombre, apellidos, número de teléfono, pero también la tarjeta de crédito.

Figura 1: Opciones de campos que se pueden guardar para formularios de autorelleno

Para que estos datos puedan ser solicitados en "autorelleno" por un formulario de una página web, los inputs del form deben venir con la propiedad de "autofill", tal y como se puede ver en la siguiente imagen.

Figura 2: Formulario con solicitud de campos en autorelleno

Por seguridad, Google Chrome protege el envío de datos a los servidores con diferentes técnicas. La primera de ellas es que los datos más sensibles, tales como el número de la tarjeta de crédito, solo se permiten enviar vía conexiones HTTP-s, por lo que para hacer este ataque será necesario que el servidor esté operando con un certificado y vía SSL.

Las siguientes protecciones son más interesantes, ya que si el creador de un formulario con autorelleno creara los campos hidden o invisibles, entonces el usuario no se estaría dando cuenta de todos los datos que está enviando, lo que deja a las claras que l@s chic@s de Google han estado dándole vueltas a diferentes formas en que pudiera ser atacada esta propiedad.

Sin embargo, a nuestro compañero se le ocurrió que sería mucho más sencillo poner todos los datos en del formulario bien visibles aparéntemente, tal y como se puede ver en esta imagen.

Figura 3: Creación de un formulario con autorelleno con 19 campos

Y luego meter ese formulario en una capa DIV de menor tamaño que sólo permitiera ver los campos que le interesara al atacante, quitando la barra de scroll de la ecuación, con lo que aparentemente no se estaría accediendo a ningún dato más que lo que se ve.

Figura 4: La capa evita que el usuario vea todos los valores

Pero el atacante podría acceder a todos los que hubiera querido, y el usuario no habría sido consciente de ello, tal y como se aprecia en los datos que llegan al servidor controlado por el atacante.

Figura 5: Datos completos obtenidos por el atacante

Es un bug muy fácil de explotar y con un alto impacto en la privacidad de los usuarios, por lo que esperemos que pronto sea resuelto en una nueva versión de Google Chrome.

Saludos Malignos!