miércoles, 31 de agosto de 2011

YPFB NO fue hackeado por Anonymous

Llego a esta conclusión luego de ver brevemente la noticia (me informé algo tarde), a continuación lo explico.

Luego de ver la imagen en varios periodicos digitales:

image

Estuve pensando en que vi esa imagen en alguna parte, para no hacer largo el relato, este fue el razonamiento.

Se trata de un defacement, Anonymous unicamente hace hacktivismo a fin de promover sus ideas, en cambio un hacker de sombrero negro lo hace por fama, ahora, todos los que hackean por fama (mal por ellos), publican sus resultados en zone-h.com, entonces busquemos algunos sitios hackeados recientemente.

image

Sorpresa!!!, el grupo se llama Bolivian-hacking (ninguna novedad), y ya ha defaceado varios sitios, entre ellos pocos sitios bolivianos: breick.com.bo, atb.com.bo, santaanabeni.gob.bo, siendo que la mayoria de los sitios defaceados son argentinos, incluso algunos sitios siguen defaceados!!!:

image

Ahora vieron la imagen de la cara con la bandera de Bolivia???, redirige a través de un acortador de URL a este sitio:

http://www.omuni-telecom.com/wp-content/uploads/2011/05/Cara_con_bandera_de_Bolivia1.jpg

Hagamos un listado del directorio:

image

Es un sitio con logos de Tigo, Viva, entre otros dedicado al tema de servicios de networking. No creo que el atacante sea tan $··”%&! como para ser el dueño de esa página (es lo menos probable), sin embargo acá tenemos una gran pista, los archivos de imagenes que mostramos en este sitio fueron generados en mayo del presente año. YPFB dice que es muy dificil dar con el autor, pero me pregunto…

¿No podemos comparar las IP’s de este sitio, con las fechas anunciadas por Zona-H y finalmente compararlas contra las IP’s de los servidores de YPFB?.

A la conclusión que llego es que la persona que está detrás de esto se escuda en Anonymous como red internacional para realizar sus actividades delictivas, y que con un poco de esfuerzo, es posible obtener algunos resultados.

Veamos como se desarrollan los hechos…

Nelson Boris Murillo Prieto

lunes, 29 de agosto de 2011

Top 5 errores de seguridad en el mundo IT

Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc ...

Es difícil aportar algo nuevo a esta clase de 'rankings', no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación

Error 1: Pensar que la mentalidad empresarial de la organización es la misma que hace cinco años


Hace cinco años el tipo de dispositivos que accedían a una red corporativa se limitaban a los equipos plataformados de la compañía, sean equipos de sobremesa o portátiles.

Actualmente eso no es así, cada vez más se imponen los 'smartphones' como elementos empresariales, y ahora asistimos a la moda de los tablets. En definitiva, un montón de nuevos equipos que ni de lejos han sido diseñados para ejercer sobre ellos el tipo de control que se puede tener sobre el típico equipo Windows dentro de un dominio.

Sumemos a este escenario la cantidad de aplicaciones 'Cloud' de uso ampliamente difundido, y tenemos un escenario bastante complejo de gestionar que requiere una estrategia mucho mas moderna.

Error 2: No saber establecer las relaciones correctas entre el equipo de seguridad y el resto de áreas IT

El ya clásico tira-y-afloja entre la división de seguridad y el resto de departamentos. Para cualquiera que haya trabajado en una empresa IT le sonarán altamente familiares las discusiones entre lo que quiere el grupo de desarrollo, los plazos del grupo de marketing, el coste que impone el grupo financiero y las objeciones del equipo de seguridad.

Tener muy clara y definida la 'cadena de decisión' es clave.

Error 3: No comprender que la virtualización requiere nuevas estrategias de seguridad

Es obvio que según se van integrando las tecnologías de virtualización el enfoque debe cambiar. Se ha puesto muy de moda el introducir servicios ya paquetizados en formato vmware -por ejemplo- que supuestamente son 'plug&play', pero en lo que pocas veces se piensa es en como se parchean estos equipos y como se gestiona su seguridad

Error 4: No estar preparados para una fuga de datos

Probablemente siempre se tiene claro que documentos son considerados sensibles dentro de una organización pero ¿y si aparecen fuera de la organización? Tener mecanismos para identificar accesos a documentos y disponer de una trazabilidad al respecto es clave

Error 5: Complacencia con los proveedores

Muy típico en España, una vez la organización establece su red clientelar de 'partners' pocas veces existe un espíritu crítico para revisar lo que nos están vendiendo. Hay que tener claro que la solución ofertada por un proveedor X no tiene porque ser la mas correcta aunque en anteriores ocasiones nos haya suministrado aplicaciones interesantes.

Hay que mantenerse alerta y al tanto de lo que hay en el mercado de una forma global, no solo a través de los ojos de nuestros partners.

Fuente: http://www.securitybydefault.com/

Gmail Security Center

Gmail, el servicio sobre el que pivotan otros tantos servicios de Google y que mucha gente emplea como 'cuenta principal' y tienen asociada a servicios como Twitter, Facebook o cosas mas serias como bancos, compañías telefónicas, servicios de hosting, etc.

Se podría decir que para mucha gente es su activo mas valioso en su 'ciber-vida', por lo que protegerlo debería de ser algo importante.

Hace algún tiempo liberamos una pequeña guía de seguridad para Gmail y hoy vamos a presentar una herramienta que permita monitorizar el uso de una cuenta en Gmail.

Como probablemente todo el mundo sepa, Gmail tiene de serie un histórico de uso que permite comprobar el uso reciente de la cuenta

El problema es que solo registra los 10 últimos accesos, por lo que, o tomas la sana costumbre de revisar esa información casi a diario, o probablemente perderás información. No existe forma de consultar un histórico de actividad mas allá de esos 10 últimos accesos.

Dándole un par de vueltas a esto se me ocurrió crear una herramienta que hiciese tres cosas:

  • Poder generar un histórico de accesos a la cuenta virtualmente 'infinito' para consultar los accesos según fuese necesario
  • Ampliar la información que ofrece Gmail, no solo con IP / País sino también ciudad e ISP
  • Tener la posibilidad de enviar alertas en función de la nueva actividad que se generase en esa cuenta (accesos)

Y la solución a esos problemas la he llamado 'Gmail Security Center' y está basada en este excelente ejemplo sobre como usar el módulo 'mechanize' en Python que he modificado para acceder a la información de actividad, añadido soporte para enviar 'tweets' para las alertas en tiempo real e incorporado el uso de Geolocalización .

# This Python file uses the following encoding: latin-1

import mechanize
import cookielib
import re
import sys
import getpass
import time
import GeoIP
import commands
import tweepy

#Twitter Auth

CONSUMER_KEY = ''
CONSUMER_SECRET = ''
ACCESS_KEY = ''
ACCESS_SECRET = ''

auth = tweepy.OAuthHandler(CONSUMER_KEY, CONSUMER_SECRET)
auth.set_access_token(ACCESS_KEY, ACCESS_SECRET)
api = tweepy.API(auth)

#Geoip

gi = GeoIP.open("GeoLiteCity.dat",GeoIP.GEOIP_STANDARD)

# Browser
br = mechanize.Browser()

# Cookie Jar
cj = cookielib.LWPCookieJar()
br.set_cookiejar(cj)

# Browser options
br.set_handle_equiv(True)
#br.set_handle_gzip(True)
br.set_handle_redirect(True)
br.set_handle_referer(True)
br.set_handle_robots(False)

# Follows refresh 0 but not hangs on refresh > 0
br.set_handle_refresh(mechanize._http.HTTPRefreshProcessor(), max_time=1)

# User-Agent (this is cheating, ok?)
br.addheaders = [('User-agent', 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1) Gecko/2008071615 Fedora/3.0.1-1.fc9 Firefox/3.0.1')]

# The site we will navigate into, handling it's session
br.open('http://gmail.com')

# Select the first (index zero) form
br.select_form(nr=0)

# User credentials

print "Gmail Security Center [ Security By Default http://www.securitybydefault.com ]"

login = raw_input("Login:")
password = getpass.getpass("Password: ")

br.form['Email'] = login
br.form['Passwd'] = password

# Login
br.submit()

req = br.click_link(text='Información detallada')
br.open(req)

ips = []

while 1==1:

html = br.response().read()

ipscitas = re.findall('(?:[\d]{1,3})\.(?:[\d]{1,3})\.(?:[\d]{1,3})\.(?:[\d]{1,3})', html)

if ipscitas:

for resultado in ipscitas:

if not ips.count(resultado):

ips.append(resultado)

command_str = 'whois %s | grep "desc"' % resultado

whoisret= commands.getoutput(command_str)

whoisret = whoisret[1:-1].split('\n')

m =re.search("(escr|descr): (.+)", whoisret[0])

isp= m.group(2)

gir = gi.record_by_name(resultado)


if gir != None:

print resultado, gir['country_name'], gir['city'], gir['region_name'], isp

twittersend = resultado + " " + str(gir['country_name']) + " " + str(gir['city']) + " " + str(gir['region_name']) + " " + isp

try:
api.send_direct_message(screen_name= '@YJesus', text = twittersend )

except :

pass

br.reload()

time.sleep(900)



Para poder usarlo, primero debéis tener instalado en el sistema el módulo 'mechanize', lo mas fácil para instalar ese y otros módulos ajenos al core de Python es usar el comando -como root- 'easy_install' disponible en el paquete python-setuptools (al menos en Fedora)



# easy_install mechanize



Una vez instalado ese módulo, hay que dar soporte GeoIP instalando la librería en C de Maxmind y su bind a python (información para hacerlo aquí) y descargar una base de datos actualizada



Finalmente, viene la parte mas engorrosa de todo el asunto y es que Twitter, cuando forzó a usar OAuth en todo aquello que tuviese que interactuar con el, hizo que enviar tweets desde una aplicación fuese un proceso bastante laborioso. Aquí hay un tutorial bastante bueno sobre como registrar una aplicación hecha en Python para poder usar Twitter



De lo que se trata es de poder rellenar los siguientes campos en el script:



CONSUMER_KEY = ''

CONSUMER_SECRET = ''


ACCESS_KEY = ''


ACCESS_SECRET = ''



Una vez hecho eso, el script monitorizará la actividad de la cuenta GMail y cuando vea nueva actividad enviará alertas parecidas a esta:









Que serán cómodamente recibidas y procesadas vía Twitter, adicionalmente se puede sacar un histórico volcando la salida del script a un fichero



Fuente: http://www.securitybydefault.com/

viernes, 26 de agosto de 2011

Security Jack All Trades

Alguna vez te preguntaste que se necesita para realizar trabajos de Ethical Hacking y Penetration Test?, primero esta el gusto por la tecnología, y hablamos de tecnología en general, puesto que vas a encontrar varios escenarios en los que requieras conocimientos mixtos de especialidades como:

- Bases de Datos

- Redes

- Programación

- Infraestructura

- Cumplimiento normativo (ASFI, Ley de Telecomunicaciones, ISO 27001/2, COBIT, PCI-DSS,)

- Metodología de Trabajo (OSSTMM, OWASP, ISSAFF, etc.)

Estos entre otras, entonces si nunca te gusto alguna de estas materias (sobretodo las técnicas, las otras te TIENEN que gustar) no vas a poder desenvolverte cómodamente.

Sin embargo existe un punto muy importante, que distingue a un hacker, de una persona que practica el hacking, esto es… el enfoque. Podemos comparar al pensamiento del Hacker con el pensamiento lateral, nos encontraremos con caminos intransitados y que parecen sin salida, pero que gracias a la creatividad podrán ser superados (después de noches de insomnio), el famoso “Think outside the Box”.

image

Para adiestrarnos un poco a continuación publico una serie de ejercicios denominado THE JACK OF ALL TRADES SECURITY TESTING TRAINING SUPPLEMENT, hecho por el famoso Pete Herzog para la ISECOM, lo voy a postear por secciones para que tengamos tiempo de pensar.

Este es un test que se trabaja bajo escenarios, cada escenario es familiar por lo que no necesitas conocimientos técnicos, cada escenario tiene cuatro preguntas, las respuestas deben ser breves (las pueden publicar acá), las respuestas de “ciencia ficción” no son válidas, si lo toman por su cuenta, cada una debería tomarles 10 minutos. Podemos discutir las respuestas (de hecho esa es la idea).

Cada ejercicio contempla escenarios con los que comúnmente nos encontramos en un trabajo de Ethical Hacking.

Escenario Uno – Electricista

Eres un electricista. Frente a ti hay un foco colgando del techo y detrás tuyo hay un interruptor en la pared. La luz esta encendida.

1. Enumere 10 maneras de apagar la luz.

2. Enumere 10 componentes del sistema de luz.

3. Enumere 10 maneras para indicar si la luz esta apagada.

4. Enumere 10 maneras de prevenir que alguien apague la luz.

 

Espero sus respuestas!!!

Nelson Boris Murillo Prieto

¡Mamá, quiero ser pentester!

 

El trabajo de un Penetration Tester (pentester a partir de ahora) es posiblemente uno de los más mitificados en el mundo de la seguridad.

En la última Defcon ha habido una ponencia llamada "Mamma Don't Let Your Babies Grow Up to be Pen Testers - (a.k.a. Everything Your Guidance Counselor Forgot to Tell You About Pen Testing)" que precisamente pretende desmitificar con un poco de humor muchos aspectos de éste trabajo y plantear cosas que muchas personas, antes de empezar a trabajar como pentester, seguramente no se hayan planteado.

Algunas cosas interesantes que se comentan son las siguientes.

- Expectativas

  • MS Windows mola (aunque ésto es bastante personal)
  • GUI > línea de comandos
  • Ganar millones

- Realidad
  • GNU/Linux mola (de nuevo, bastante personal)
  • Línea de comandos > GUI
  • No es una mina de dinero

La autorización del pentest es sagrada, de ninguna manera se pueden sobrepasar los límites. Y por supuesto, los usuarios puede que estén avisados de que se está haciendo una auditoría.

Puede darse la posibilidad de que haya una máquina vulnerable, en la que ejecutando un comando se pueda conseguir root, pero no tienes autorización para hacerlo. ¿A que ya no es tan atractivo?

Deadlines y expectativas del cliente para nada realistas (bueno, ésto no es exclusivo de los pentesters).

Cuando tienes éxito, significa que otro ha errado en su trabajo, ya sea el sysadmin, el administrador de seguridad, el desarrollador de alguna aplicación, ...

Después del pentest hay que documentar todo el trabajo, algo que puede gustarte, o no.

Las cosas cambian, o como ellos dicen, "Scanned today Hacked tomorrow". Es posible que el trabajo perdure lo que dura el pentest.

Aún con ésto, la conclusión que dan sobre éste trabajo es muy positiva, ¡y no es para menos!

Es probable que personas no relacionadas con el mundo de la seguridad informática o aún poco cercanas vean al pentester como a Trinity cuando en Matrix II lanza un Nmap para luego explotar un fallo de SSH que le permite dejar sin luz a toda la ciudad. Nada más lejos de la realidad.

Para los interesados, aquí está la presentación que utilizaron en la ponencia.

Fuente: http://www.securitybydefault.com/2011/08/mama-quiero-ser-pentester.html

miércoles, 17 de agosto de 2011

¿Cámara térmica para capturar PINs de cajeros? Es posible

 

Hace algunos meses publiqué un video sobre el robo de PINs en los cajeros para clonar tarjetas, unas de las recomendaciones que daba era tapar el teclado de alguna forma para evitar que una cámara oculta -si la hubiera- capturara el ingreso del código.
Pues bien, ahora parece que esto ya no será suficiente, 3 investigadores han demostrado que es posible determinar el PIN ingresado con una cámara térmica que analiza el calor residual dejado en las teclas.
camara-termina-atm
En las pruebas realizadas descubrieron que en teclados de goma, los rastros quedaban durante varios segundos e incluso era posible determinar la secuencia de los números, sin embargo en los teclados metálicos el calor se disipaba rápidamente haciendo imposible el análisis (descargar paper).
La técnica nunca ha sido detectada en acción, es tecnología demasiado cara y no vale la pena arriesgar tantos billetes cuando se pueden obtener resultados con mucho menos, pero dado las ganancias "del negocio" no sería extraño que algunos lo intentaran.
Consejos para evitar el clonado de tarjetas:
El delincuente necesita dos cosas para clonar la tarjeta, la información de la banda magnética y el PIN. Así que hay que chequear la firmeza de la ranura y que no hallan elementos extraños, lo mismo hay que hacer con el teclado y al momento de ingresar la clave, es bueno taparlo para que no sea visible desde ningún ángulo.
Algunos skimmers o dispositivos de clonado, cuentan con teclados falsos que a simple vista pueden pasar desapercibidos:
teclado-falso
Otros pueden tener todo un panel falso en su frente:
panel-falso
Hay muchas variantes de estos ataques, algunos son muy elaborados como los de las fotografías anteriores y otros más simples pero ingeniosos, como el uso de pegamento en las teclas.

Fuente: http://spamloco.net/

Phishing al Banco BISA

Entre ayer y esta mañana recibí varios correos indicando que debo actualizar mis datos para el Banco BISA, un claro intento de phishing que analizamos a continuación.

El correo llega con el siguiente mensaje:

Para empezar ya se puede ver que en las cabeceras del mensaje el mismo viene desde un servidor ajeno al banco:

ovh.co.uk

El link nos dirige a la pagina beverlyhillsfashion.co.uk

Ambos sitios del Reino Unido, ahora, dependiendo que navegador utilicemos, el mismo nos dirige a la pagina o nos muestra un anuncio parecido a este:

Ello nos da un respiro de alivio mostrandonos que algunos navegadores van un paso delante con sus filtros, sin embargo para el analisis continuemos con el cargado de la pagina, el sitio tiene una copia de la estructura de la pagina sin embargo no tiene las caraceteristicas de seguridad de la pagina como el certificado digital, con un tipico formulatio de tarjeta y pin, lo interesante es que en este caso luego de pedir dichos datos, solicita el ingreso de los datos de la tarjeta de coordenadas:

Un dato muy critico para el usuario si este cae en el engaño, puesto que con ello este grupo de delincuentes se podría hacer con la autenticación de doble factor -mejor me consigo un Token OTP ;), al finalizar tenemos este mensaje:

¿Que les parece si hacemos un analisis de la página?, para comenzar se trata de un servidor con direccionamiento a www.photo-trafic.com/janvier..., esta ultima pagina sirve para reenviar el enlace hacia distinatas paginas según la disponibilidad de estas, por ejemplo al principio apuntaba al dominio ovh.co.uk, luego a svvenlo.nl/home/help/css/bisa, y el día de hoy a chin-chin.nl/stats/bisa/bisa.htm.

Si nos vamos a la carpeta superior podemos hacer un listado de los archivos de directorio (hasta un hacker debe asegurar sus aplicaciones, jejeje), y tenemos el listado de archivos, suponiendo que los datos que almacena el phishing son guardados en algun lugar es interesante el archivo dxtr.txt:

Como apreciamos en la siguiente imagen el publico ya se las conoce:

Cualquiera puede ingresar a dichas contraseñas y seguro que si indagamos un poco más podriamos identificar la vulnerabilidad plantada y el webshell cargado, como suelesiceder en estos casos, y de esta manera plantarle un shell inverso al atacante y rastrear su identidad >:) , pero simplemente subiendo algunos niveles podemos ver otros datos de interes, por ejemplo, tambien subieron un phishing para el banco de Pichincha, o al Banco Internacional:

Algunos clientes lastimosamente cayeron:

Ademas este sitio tambien sirve para almacenas phishing de hotmail:

Ahora recordemos como recibimos el correo??, alguien subio un script para envio masivo de correos:

Como ven un servicio muy completo. Algunas conclusiones:

- Vimos en este articulo como funcionan las redes de criminales digitales, esta el grupo de hackers black hat, que encuentran y logran vulnerar los servidores que alojan el ataque, los cuales luego venden el acceso a criminales para que ellos hagan el phishing, el servicio incluye el alojamiento, direccionamiento y envio de spam.

- Los phishers son atacantes mediocres, puesto que sus técnicas son muy pobres, empezando por el URL muy obvio, las fallas de ortografía y la trazabilidad de sus acciones.

- La seguridad al usuario se vuelve un pretexto para el cambio de datos para los atacantes por lo que no esta nada mal, difundir este tipo de articulos para que los usuarios estén alertas.

Esperamos sus comentarios, desde Yanapti estaremos brindando información acerca de estos tipos de ataques comunmente utilizados.

Grax