Hacktivismo: en defensa por el Tipnis

El hacktivismo es la protesta del Hacker, la forma de expresión cuando la injusticia es irrefrenable, la forma de gritar al mundo la injusticia con un mensaje claro y conciso de su accionar en pro de los ideales.

En este momento varios sitios han sido atacados, defaceados y denegados sus servicios en señal de protesta contra el el gobierno por el tema de la carretera que pasa por el TIPNIS, de hecho el grupo Anonymous Bolivia (el verdadero, esperemos) ha anunciado:

"Queremos informarles que este 27 de septiembre llevaremos a cabo la Operación Bolivia en defensa del TIPNIS, y aclararles que es la única operación a realizarse en Bolivia. Es indignante que algunos grupos adversarios estén en contra de la marcha de más de un millar de indígenas, tan solo por estar vendidos al monopolio de la hoja de coca, del poder político y del dinero. En la marcha, denominada defensa del TIPNIS, caminan personas que viven en el lugar; para muchos es lo único que tienen. Ellos defienden la tierra de nuestros padres y abuelos para que todos podamos disfrutarla"


Desde hace dos dìas se ha reportado al sitio de El Diario como atacado, no por el grupo Anonymous sino por Tiger M@te – Bangladeshi Hacker.
En este momento el sitio del Defensor del Pueblo (defaceado en la mañana) es inaccesible (DoS - ¿o están reponiendo el sitio?):

Con el sitio de la presidencia pasó lo mismo en horas de la mañana, aparentemente el servicio ha sido restituido.

Adicionalmente se reportó en el sitio http://www.wikileaksbolivia.org la publicación de bases de datos de órganos de gobierno:

- Base de datos de Diprove: http://www.wikileaksbolivia.org/index.php/nacionales/1-ultimas-noticias/660-anonymous-acaba-de-liberar-la-base-de-datos-de-diprove-la-verdad-sobre-los-chutos

- En Pastebin: http://pastebin.com/XK4cxLyb se encuentra la base de datos del Instituto Geográfico Militar.

- También en Pastebin: http://pastebin.com/QN2K874p, el grupo Lulzsec Bolivia ha publicado usuarios y contraseñas de más de 2900 usuarios WiFi Entel.

Son los ataques que logré encontrar hasta ahora, momento en el cual ha renunciado parte del gabinete presidencial y están posesionando a nuevos ministros.

Saludos a todos

El bit que rebalsó el Buffer: EKOPARTY!!!

En este momento esta acabando la conferencia latinoamericana más cool en temas de hacking: Ekoparty, la cual se realiza en Argentina cada año, para aquellos interesados que no pudieron asistir, afortunadamente publican los videos de las charlas en su sitio, el link es el siguiente:

http://www.ekoparty.org/videos.php

Este año la gran novedad: Rompieron el cifrado de SSL/TSL v1 presentado por Thai Duong en su expo: BEAST: Surprising crypto attack against HTTPS, usualmente después de estas conferencias hay muuuucho por hacer para la gente de seguridad, asi que manos a la obra y a esperar los videos de esta versión.

Saludos!!!

Client Side Attacks

Esta es la presentación que realicé en el evento de hacking Tinkuyhack, a principios de mes

Client side attacks

En futuros post voy a detallar el contenido. Se trata de los ataques dirigidos hacia el eslabón más debil: el usuario. Existen varios vectores de ataque que utilizan tecnicas de explotación a las aplicaciones con ingeniería social, lo que recuerda ataques a grandes empresas como RSA, Google, Comodo y otras grandes empresas.

Saludos!!!

Facebook se arrodilla en Alemania

Facebook parece haber comprendido que la cultura de protección de datos en Alemania dista mucho de la de EEUU y ha accedido a endurecer aquí las condiciones en las que sus usuarios pueden compartir información con grupos más o menos restringidos. Tras varias reuniones con autoridades alemanas, la compañía ha decidido aplicar en Alemania una nueva subdivisión de 'amigos cercanos' y una nueva de 'conocidos', dando al usuario la oportunidad de escalonar el grado de relación con los demás y compartir ciertos datos solamente con direcciones predeterminadas.
La compañía ha fichado a la ex eurodiputada alemana Erika Mann como enlace con las autoridades europeas en Bruselas para, en el futuro, encauzar a través de ella los servicios que presta en este continente. Mann trabajará en estrecho contacto con Erin Egan, el abogado especializado en Internet que trabajará para Facebook desde Washington.
Facebook acepta así un código de conducta autoregulada de protección de datos en Alemania, uno de los países con leyes federales de protección de datos más estrictas del mundo. El mes pasado, el Estado de Schleswig-Holstein ordenó la eliminación del botón 'like' de Facebook, y amenazaba con fuertes multas, alegando que Facebook desarrolla perfiles de los usuarios y no usuarios por igual con los datos del botón 'like', lo que viola la ley alemana.
Las autoridades alemanas también habían instado a Facebook a desactivar la función de reconocimiento facial justificando la petición en que equivale a la recolección de datos no autorizada de las personas. Facebook ha decidido atender estas peticiones y establecer un código de conducta específico para este país después de que Richard Allan, director de Facebook de política pública europea se reuniese la semana pasada con el ministro del Interior alemán, Hans-Peter Friedrich en Berlín.
FUENTE :http://www.elmundo.es/elmundo/2011/09/14/navegante/1315987557.html
http://foro.elhacker.net/noticias/facebook_se_arrodilla_en_alemania-t338946.0.html#ixzz1XyyaFPlv

Cómo conseguir la IP de tus contactos de Windows Live Messenger

Buenas, en muchos sitios se dice cómo es posible obtener la IP de un contacto de Messenger enviándole un fichero y mirando con netstat las conexiones.

Aquí voy a mostrar cómo es posible hacerlo sin enviar ningún fichero. Y obtener no solo la IP pública sino también las IPs internas de sus adaptadores de red. Se hará de forma manual, usando netstat, después usando Wireshark y por último expondré un programa que he realizado que automáticamente muestra las IPs de los contactos según se van obteniendo.

Lo primero que debemos saber es cómo funciona Messenger por encima. La autenticación la realiza conectándose a los servidores de Microsoft vía SSL. Una vez autenticado todas las conversaciones pasan por los servidores de Microsoft sin ningún tipo de cifrado (así que cuidado con utilizar Messenger en redes inseguras).

Un tema aparte es como se envían entre los contactos ficheros, imágenes, avatares y emoticonos. Para ello Messenger utiliza un protocolo p2p. Así que cuando un contacto solicita por ejemplo nuestro avatar se inicia una negociación entre nosotros y el contacto para ver cómo es posible realizar la conexión. En este punto ambas partes se intercambian las IPs internas y externas, puertos, tipo de conexión, si usamos NAT, UPnP, etc…

En en este punto a donde podemos aprovecharnos para saber la IP del otro contacto.

Con netstat

La opción más fácil es utilizar netstat para monitorizar las conexiones y ver las nuevas conexiones que realiza el proceso del Messenger. Vamos a ello. Todo desde la consola.

El proceso encargado de las comunicaciones de Messenger es wlcomm.exe. Así que obtenemos su PID:

tasklist | find "wlcomm.exe"

Ahora con el PID podemos filtrar la salida de netstat para quedarnos solo con las conexiones que realiza dicho proceso(requiere permisos de administrador):

netstat -nabo | find "PID_ENCONTRADO"

Ahora en este punto iniciamos una conversación con el contacto del que nos interesa saber la IP y le enviamos un emoticono personalizado, para no levantar sospechas lo mejor es un emoticono transparente o blanco. Se iniciará la negociación entre los dos clientes y se iniciará la conexión. Volvemos a lanzar el comando anterior y veremos una nueva conexión de nuestro contacto.

Con Wireshark

Vamos a filtrar los paquetes obtenidos por Wireshark para quedarnos con aquellos donde se realiza la negociación entre dos contactos. De ahí cogeremos la IP externa y las internas.

Wireshark ofrece el filtro “msnms” para quedarnos con los paquetes del procolo de Messenger.

Mirando paquete a paquete en uno de ellos encontraremos algo así:

Fijaos en estas cadenas:

“srddA-lanretxE4vPI” Dando la vuelta a la cadena: IPv4External-Addrs


“srddA-lanretnI4vPI” –> IPv4External-Addrs

En esos campos se muestran las IPs y puertos donde se debe realizar la conexión. Claro que hay que darles la vuelta. Mirando el campo “From:” sabremos de que contacto es la IP.

Ir mirando los paquetes uno a uno buscando estos campos no parece muy divertido. Es mas cómodo hacer un filtro que busque en todo el paquete la cadena “srddA-lanretxE4vPI” o “stroPdnAsrddAlanretxE4vPI” (que es otra de las formas en las que aparece).

Este es el filtro que se queda con los paquetes que nos interesan:

frame[0:] contains 73:74:72:6f:50:64:6e:41:73:72:64:64:41:6c:61:6e:72:65:74:78:45:34:76:50:49:3a:20:36:34:37:33:3a:31:39:2e:35:30:31:2e:39:34:2e:35:38:0d:0a or frame[0:] contains 73:72:64:64:41:2d:6c:61:6e:72:65:74:78:45:34:76:50:49

Con mi programa “GetMSNIPs”

Usando Wireshark con el filtro se pueden obtener las IPs de una manera bastante cómoda. Pero me apetecía hacerlo un poco mas sencillo y ya de paso programar algo usando WinPcap.

El resultado es este programa que ahora expongo, le he llamado GetMSNIPs, me encantan los nombres originales. No pongo el código aquí que son 300 líneas.

GetMSNIPs: Source y binario.

Una captura de cómo funciona:

Modo de uso:

1. 
   

   Si no tiene instalado WinPcap, instálelo!.

   
   



2. 
   

   Arranque “GetMSNIPs” y seleccione la interfaz con la que se conecta a internet.

   
   



3. 
   

   Inicie Windows Live Messenger y cámbiese de avatar, utilice uno que no haya usado antes (así sus contactos no lo tendrán y se iniciará una conexión P2P para su envío).

   
   



4. 
   

   Espere un tiempo ó inicie conversaciones con sus contactos para forzar a que carguen su avatar y capturar así su IP.

   
   

Así que ya sabéis, si usáis Windows Live Messenger estas diciendo a tus contactos tu dirección IP. No es un gran problema, pero está bien saberlo.

Saludos!

Fuente: http://el-blog-de-thor.blogspot.com/2011/09/como-conseguir-la-ip-de-tus-contactos.html