TrueCrypt y la posible advertencia con Esteganografía

June 22, 2014, 9:31 pm

≫ Next: No pongas tus tokens oAuth en tus apps para Andorid

≪ Previous: Todas las herramientas de Black USA 2014 Arsenal

La esteganografía es la ciencia de utilizar canales encubiertos para enviar mensajes, y a lo largo de la historia hemos visto muchos ejemplos en periodos de guerra, en los que o bien miembros del mismo bando se envían mensajes usando técnicas como los micropuntos o los mensajes ocultos en textos. De todo ello se hablan los autores en el libro de Esteganografía y Estegoanálisis, donde de pueden encontrar muchos ejemplos de los que tal vez os hable en el futuro. Ahora, con el mensaje que puede leerse en la web de TrueCrypt las especulaciones han comenzado a extenderse, al parecer cierto para muchos que hay un mensaje oculto en el texto de despedida del proyecto. Según está publicado allí, puede verse el siguiente mensaje.

Figura 1: Mensaje de la web de TrueCrypt

En él texto "Using TrueCrypt is not secure as it may contain unfixed security issues" es donde parece que puede estar oculto el mensaje. Si se elige la primera letra de cada palabra, el resultado es la cadena siguiente: "utinsaimcusi". Si se ponen espacios en los sitios adecuados puede leerse la siguiente frase: "uti nsa im cu si", que traducida al latín da el resultado que se puede ver en la imagen siguiente.

Figura 2: Cadena traducida del latín al inglés

Como se puede ver, traduciendo la cadena como si fuera un texto en latín, el mensaje que se lee es "If I with to use the NSA", lo que muchos han interpretado como que no lo uses, a menos que quieras usar un software de la NSA, algo que se ha interpretado como que TrueCrypt está más que controlado por la agencia.

Lo cierto es que del control de la NSA sobre TrueCrypt hay muchas especulaciones hace tiempo, y tras el misterioso anuncio sobre el abandono del proyecto, se han exacerbado. Es cierto que la auditoría de código que le están haciendo dice no haber encontrado aún ninguna puerta trasera, pero lo cierto es que podría ser que existiera una muy bien escondida, que tras los fallos descubiertos en muchos de los principales sistemas de cifrado es más que factible.

De hecho, con el supuesto mensaje esteganográfico en la despedida de TrueCrypt, si se toma como un lenguaje como el Croata, Sérbio o Bósnio, lo que se obtiene es otro resultado distinto, pero en la misma línea.

Figura 3: Mensaje traducido del Croata. Falta una tilde en la c para ser completo.

A partir de este momento, cada uno deberá decidir si lo cree o si no lo cree. Si se cambia a otro software de cifrado o no. Lo cierto es que desde que salieron todas las prácticas de espionaje creo Internet está sufriendo y muchos somos los que no nos sentimos cómodos con esta orgía de espionaje. Incluso en los USA, lo que ha llevado a que ahora se le vaya a recortar un poco su poder. Con este No Lusers que hice en una tarde tonta quería reflejar esa sensación que tengo, y lo hice en papel y rotulador por algo.

Figura 4: No Lusers 174 - Demasiado acompañado en Internet

El problema además es que no solo es la NSA la que está haciendo estas cosas, y muchos otros individuos, organizaciones y/o grupos - por llamarlos de alguna forma - están haciendo cosas similares, así que al menos protege todo lo que puedas tu paso por la red, no se lo pongas fácil. Ten en cuenta que si este mensaje con esteganografía es cierto estamos en guerra de verdad.

Saludos Malignos!

↧

No pongas tus tokens oAuth en tus apps para Andorid

June 23, 2014, 3:39 pm

≫ Next: SQL Injection: Aplicar Mínima Superficie de Exposición en las Cadenas de Conexión a BBDD

≪ Previous: TrueCrypt y la posible advertencia con Esteganografía

Cuando los investigadores de la Universidad de Columbia publicaron su trabajo referente a PlayDrone, una de las cosas que más revuelo causó fue su aviso sobre la cantidad de apps que están guardando sus tokens OAuth y sus API Keys de Amazon directamente en las apps.

Figura 1: Número de tokens por tipo descubiertos en apps de Google Play

En el artículo de The Register, los mismos autores del trabajo decían que Google estaba trabajando en añadir una alerta que avise a un desarrollador cuando una de sus apps lleve hardcodeado uno de estos tokens, para que sea consciente del riesgo que corre.

Para encontrar esos tokens, no es necesario ni irse a Google Play a buscar las apps y decompilarlas, ya que simplemente haciendo un poco de hacking con buscadores en los repositorios de código habituales es más que suficiente para localizar códigos fuentes con el OAuth_Token y el OAuth_Token_Secret a la vista de cualquiera. Algo similar a cuando se buscan bugs en repositorios de código open source.

Figura 2: Tokens OAuth publicados en repositorios de código

Al final, cuando se da un OAuth_Token y un OAuth_Token_Secret a una app se le está concediendo una especie de contraseña que da acceso a una cuenta con una lista de permisos. Esos permisos pueden ser acceder a información personal, hacer una publicación, hacer un follow a otra persona de una red social, dar un like, acceder a la lista de contactos, leer y escribir mensajes privados, etcétera.

Cuando se pone un token OAuth en una app que va a ser instalada en miles de dispositivos, se está dando un acceso común a una misma cuenta a todos los dispositivos que hayan descargado y ejecutado esa app, lo que no parece tener mucho sentido. Si uno de esos comienza a hacer un mal uso del token, la única forma de detenerlo será generar un nuevo token y desplegar una nueva versión de la app, algo que va contra cualquier sentido común.

Figura 3: Esquema de gestión centralizada server-side del token de acceso a cuenta

Si se quiere que desde una app que está instalada en muchos dispositivos se pueda hacer cosas en una cuenta por medio de un token OAuth, lo suyo es crear un servicio que controle el uso del token y que monitorice qué es lo que quiere hacer cada usuario con la cuenta. Así, si uno de los usuarios comienza a hacer un uso malicioso o simplemente no autorizado, se puede restringir su acceso.

Si pones los tokens en las apps, o se los envías, o cualquier otra cosa que acabe con que muchas apps instaladas en clientes acaben teniendo el mismo token, ya sabes a todos los riesgos que te expones. Si vas a hacer una app para subir a Google Play, antes aprende buenas prácticas de desarrollo seguro de apps para Android.

Saludos Malignos!

↧

SQL Injection: Aplicar Mínima Superficie de Exposición en las Cadenas de Conexión a BBDD

June 25, 2014, 12:37 am

≫ Next: El Security Center del Mundial publica la clave de su WiFi

≪ Previous: No pongas tus tokens oAuth en tus apps para Andorid

Cuando me toca explicar la fortificación de aplicaciones web hay que hablar obligatoriamente del impacto que tienen los bus de SQL Injection y de cómo poder limitarlos aplicando las reglas de Mínimo Punto de Exposición y Minima Superficie de Exposición. Una de las areas donde se pude tener un buen resultado, es en la utilización del propio sistema de seguridad del motor de bases de datos que se esté utilizando, aprovechando un esquema múltiple de conexiones a bases de datos y permisos restringidos a cada uno de ellas.

Bases de datos sin compartición de usuarios

Cuando se va a conectar una aplicación web a una base de datos, es necesario contar con al menos un usuario de la base de datos que tenga permisos en el SGBD. Con ese usuario, al menos, se hará la cadena de conexión para gestionar los datos que se almacenen en la base de datos que que allí se cree. Uno de los errores más comunes que se encuentran es que ese usuario al final se puede usar en varias bases de datos creadas dentro del mismo SGBD - algo muy común en entornos Microsoft SQL Server - o que tenga acceso a esquemas creados para otras aplicaciones - algo muy común en entornos Oracle Dabatabase -.

Figura 1: Mala gestión de conexiones a bases de datos en un SGBD

Esto lleva a que al final, si alguien es capaz de localizar un bug de SQL Injection en una aplicación web conectada a una base de datos, con el mismo usuario que la aplicación usa para conectarse a esa base de datos es capaz de conectarse a otras bases de datos y sacar datos de ella.

Figura 2: Bases de datos con usuarios aislados

Para evitar eso, cada base de datos de aplicación debe poder ser accedida única y exclusivamente por el/los usuarios que vayan a ser utilizados en la conexión de esa aplicación. Si alguien intenta acceder a esa base de datos desde otra cadena de conexión, deberá recibir un mensaje de error.

Figura 3: Error de conexión al intentar cambiar de base de datos con un bug de SQL Injection

Dentro de una aplicación web, conexiones distintas para cada rol

Supongamos que tenemos una aplicación web expuesta en Internet en la que los usuarios que allí se creen tienen tres roles. Vamos a suponer que estos tres roles son: Rol Administrador que puede leer, escribir todas las tablas que dan soporte a la aplicación, el Rol Editor, que pueden escribir y borrar registros en tres tablas, y el Rol Lector que solo puede leer datos de dos tablas.

A estos roles, hay que sumar que la propia aplicación web, en algún momento puede tener que realizar algunas acciones no dependientes de las acciones de los usuarios, por ejemplo la autenticación de las credenciales, las operaciones de mantenimiento, etcétera. Para ello, hablaremos del Rol de Aplicación.

Lo suyo es que, para dejar un entorno fortificado se creen dentro de la base de datos cuatro usuarios que representen a los cuatro roles con los que se va a conectar la aplicación web. Cada uno de esos usuarios de la base de datos tendrá asignados los privilegios sobre el sistema necesarios para el cumplimiento de su rol dentro de la aplicación web, así como los permisos sobre los objetos estrictos y nada más.

Figura 4: Tabla de roles y permisos

A partir de ese momento, la aplicación web no gestionará una única cadena de conexión, sino que gestionará 4 cadenas de conexión distintas para cada una de las acciones que quiera realizar. Por ejemplo, para hacer un proceso de login con un usuario, la aplicación web primero creará una conexión con el usuario del Aplicación, autenticará las credenciales que le introduzcan contra su tabla_usuarios, y una vez que se sepa el rol que deberá tener ese usuario dentro de la aplicación web, se cerrará la conexión con el Rol_Aplicación y se abrirá una nueva conexión con el usuario de la base de datos con el rol adecuado.

Figura 5: Esquema de cadenas de conexión múltiples desde la misma aplicación web a la misma base de datos

Esto lo que hace es que, si un usuario con el Rol_Lector encuentra un bug de SQL Injection dentro de la aplicación, el impacto que puede tener estará limitado. Por el contrario, lo habitual es que las aplicaciones web solo gestionen un único usuario de conexión con todos los permisos sobre todos los objetos de la base de datos, lo que lleva a que cualquier usuario de la aplicación web que encuentra un bug de SQL Injection acabe teniendo acceso a todos los objetos de la base de datos, ya que el usuario que está utilizando la aplicación web en la conexión a la base de datos los tiene.

Saludos Malignos!

↧

El Security Center del Mundial publica la clave de su WiFi

June 25, 2014, 9:01 pm

≫ Next: Hay que acabar con las passwords complejas en servicios online

≪ Previous: SQL Injection: Aplicar Mínima Superficie de Exposición en las Cadenas de Conexión a BBDD

Lo de hacerse fotos y que en el fondo se vaya algo que no debería haberse visto es muy común. Hace poco se lío cuando Tim Cook - el chairman de Apple - se fue a visitar la fábrica en USA donde se montan los MacBook Pro, y en el fondo se veía que usaban Windows para hacerlos - eso sí, con mucho estilo corriendo en un iMac como los puntos de Internet que hay por ahí. -.

Figura 1: Lo que se ve es un Windows corriendo en un iMac

Yo mismo, cuando me pasan las capturas para poner en los artículos que publico por este blog que no son míos, reviso que no se escape nada que no deba verse. Reviso los títulos de las ventanas, los valores hexadecimales o los códigos en Base64 que puedan ser decodificados, etcétera, y aún así se me escapa alguno de vez en cuando.

Que esto le pase a Sara Carbonero con las passwords de la WiFi que iban a utilizar en el mundial de fútbol el equipo de reporteros, es gracioso y hasta enternecedor. Al fin y al cabo, en el mundo de la tecnología se puede permitir ser un poco más Penny que en el mundo del periodismo, donde ejerce su profesión de verdad.

Figura 2: Las redes WiFi y las passwords. Me encanta la de "iniestademivida"

Lo que ya es curioso es que al Centro de Seguridad encargado de velar por la seguridad del MundialdeFútbol de Brasil, se le escape una foto con la contraseña bien gordo en el fondo. Vamos, supongo que ya la habrán cambiado, pero ellos seguro que deberían conocer los riegos de seguridad de que alguien con malas intenciones se pueda colar en tu red WiFi.

Figura 3: Posando con las banderitas, el SSID, la clave WiFi y algún correo por ahí

Esto, también le pasó tiempo atrás al Centro de Control de Seguridad la SuperBowl, que también publicó la clave WiFi que utilizaban, y que por supuesto fue hiper-retwitteado por todo el planeta.

Figura 4: Otro centro de control de seguridad que publicó la password de su WiFi

Si quieres tener problemas de seguridad con tu red WiFi, no hace falta hacer el ridículo poniendo una clave que luego se vea en una imagen en la que encima vas a posar, pon una red abierta que todo el mundo se configure y espera que lleguen los malos.

Figura 5: Las redes WiFi del Senado

Pero al final, tampoco hay que preocuparse tanto. Total, ¿qué podría alguien querer hacer con la red WiFi de cualquiera de estos sitios? Si eres de los que sí que te importa, os dejé un artículo sobre cómo securizar una red WiFi para que no te entren.

Saludos Malignos!

↧

Hay que acabar con las passwords complejas en servicios online

June 26, 2014, 11:25 pm

≫ Next: 375.000 WordPress en riesgo por un exploit de Command Injection para el plugin TimThumb

≪ Previous: El Security Center del Mundial publica la clave de su WiFi

Como muchos de vosotros, he intentado poner contraseñas más o menos complejas a todas mis cosas. Desde volumenes cifrados, arranque de BIOS, documentos, arranque de sistemas operativos o servicios online. Passwords que a veces me cabrean porque me cuesta tres intentos ponerlas bien. Pero sigo con mis passwords complejas, al igual que siempre he recomendado a todo el mundo que ponga claves complejas en su vida digital e incluso he dejado artículos por aquí para la generación de claves robustas - que son necesarias para muchas cosas.

Figura 1: my_p@sSw0RD!

Esta bien, pero ni mucho menos sirve para sentirse seguro. De hecho, el pensamiento que ronda mi cabeza desde unos meses acá es que en los servicios online, las contraseñas complejas no deberían existir. Deberían ser todas contraseñas sencillas para que el usuario estuviera feliz y contento. Algo como el movimiento de Facebook de permitir 3 passwords distintas para hacer la vida del usuario más sencilla. Y dejadme que os explique por qué pienso así.

¿Para que sirve una password compleja en un servicio online?

Vamos a suponer un servicio online en el que heme de registrar para hacer algo. Supongamos que es un e-commerce, una nueva red social o simplemente un juego online, donde usamos una contraseña que protege nuestra cuenta ante posibles ladrones de identidad que se lleven el servicio y los datos que contiene por delante.

En todos esos esquemas, si el servidor ha hecho los deberes la contraseña compleja no nos defiende de nada (o casi nada) que no haga una contraseña sencilla como una cadena de letras y números de 8 caracteres. Estos son los deberes que el servidor podría hacer:

Deber número 1 - Permitir que se añada un segundo factor de autenticación

Si el servicio online permite poner un segundo factor de autenticación para proteger la cuenta, como Google Authenticator, un envío de SMS o el uso de Latch. Si alguien consigue la password (sencilla o compleja) no podrá usarla nunca.

Deber número 2 - Controlar el número de intentos de contraseña fallidos a una cuenta:

El servidor debe evitar que se realicen intentos al infinito de contraseñas a una cuenta - aquí un ejemplo para fortificar WordPress frente ataques de fuerza bruta -. Evitando la fuerza bruta online - con desactivaciones parciales, añadir una segunda verificación a la cuenta, bloqueo de direcciones IP temporales, etcétera, el ataque a una password de 8 caracteres o a una password compleja - aunque no sea igual de difícil en la teoría, será igual de difícil en la práctica, ya que sortear todas las barreras será un problema exactamente igual para ambas contraseñas. El resto solo "is a matter of time".

Deber número 3 - Controlar el número de intentos a nombres de usuario con misma contraseña

Al igual que se debe tener en cuenta que se debe controlar cuando se hace un ataque de fuerza bruta - o diccionario - a una contraseña, hay que tener en cuenta que el ataque se puede hacer al nombre de usuario fijando una contraseña. Este ataque os lo expliqué en el artículo de "tus passwords son suprayectivas". En ese caso, igual que se fija una contraseña sencilla, se puede fijar una contraseña que cumpla la política de complejidad y sea común siguiendo la política de de complejidad del sitio web. Es fácil.

Deber número 4 - Almacenar de forma segura las passwords

Utilizando un algoritmo de cifrado de contraseñas seguro, con su salt o con algoritmos criptográficos que hagan complejo - al menos durante un tiempo prudencial su crackeo -. ¿Por qué esto? Pues porque para que alguien se haga con las passwords debe hackear el servicio online completamente - algo que debe evitar el sitio con auditoría continúa. Al final esto puede fallar, como hemos visto, hasta en sitios como eBay.

En segundo lugar, si me obliga el sitio online a poner una password compleja que me está jodiendo la vida y luego resulta que la almacena en BASE64 o en texto claro o en MD5 sin salt, merece un castigo ejemplar. Al final, con que el tiempo que aguante el algoritmo sea el suficiente para que el servio me avise de que le han hackeado y me de tiempo a cambiarla, me valdrá.

Deber número 5 - Cifrado seguro end-to-end

Poniendo un conexión con Certificate Pinning desde las apps y de HTTPs con validación extendida, sin mezclar contenido HTTP y HTTPs y añadiendo los flags Secure a todas las cookies con una gestión segura de las. Así, tendré las medidas necesarias para saber que estoy en una conexión cifrada de forma segura o no.

¿Y el resto de ataques?

El resto de los problemas que voy a tener con mi identidad recaen en mi lado. Si la password la publico en un post-it o en una captura de una foto es mi problema. Si me como un troyano en mi equipo o usa la password en un equipo que no es mío controlado es cosa mía. Si me como un ataque de red con un man in the middle en IPv4 o IPv6 porque no he visto las alertas de seguridad es mi problema. Y en todos estos casos, el problema será igual para contraseñas sencillas y contraseñas complejas.

En todos ellos, al final, si el sitio me permite poner un segundo factor de autenticación si alguien me roba la password recibiré la alerta de que algo va mal. Al menos en soluciones como Latch - donde te llegará la alerta - o vía SMS donde te llegará un código que te indicará que alguien ha iniciado sesión, que en soluciones como Google Authenticator no se recibe ninguna alerta de seguridad cuando alguien ha usado la password correctamente.

Es más, si mi cuenta tiene un 2FA, creo que el servicio online debería premiarme y dejarme poner contraseñas sencillas y dejar las contraseñas complejas solo para aquellos usuarios que no hayan puesto el 2FA. Una PIN de 4 números y un Latch es mucho más seguro para tu cuenta online que una password compleja y hace mucho más fácil la vida del usuario.

Saludos Malignos!

↧

375.000 WordPress en riesgo por un exploit de Command Injection para el plugin TimThumb

June 27, 2014, 3:01 pm

≫ Next: Cálico Electrónico 5x05: "Las Tortugas Pijas" y más stuff

≪ Previous: Hay que acabar con las passwords complejas en servicios online

Se ha publicado un 0day para un plugin muy popular de WordPress que permite la inyección de comandos en el sistema operativo. El plugin, TimThumb, permite hacer redimensión de imágenes en el popular framework, y a día de hoy, buscando el fichero PHP del plugin, pueden verse 375.000 referencias en Internet.

Figura 1: Número de sitios con el plugin TimThumb instalado

La ejecución de la inyección de comandos es muy sencilla, y ya se está explotando de forma activa, así que si tienes un WordPress con este plugin debes actualizarlo inmediatamente para no tener problemas. La explotación es bastante sencilla.

Figura 2: El exploit de Command Injection del plugin vulnerable

Por ejemplo, para poder borrar un fichero del servidor, por ejemplo un .htaccess si hubieran los permisos adecuados se puede hacer de la siguiente forma:

http://WordpressVulnerable.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://WordpressVulnerable.com/$(rm$IFS/dir/.htaccess)

Y para crear un archivo, sería de la siguiente forma:

http://WordpressVulnerable.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://WordpressVulnerable.com/$(touch$IFS/dir/file.php)

Con esta vulnerabilidad, descrita en este advisory, se pueden crear Web Shells en los servidores no actualizados, y por supuesto el mundo del fraude online o los amigos del Black SEO lo utilizarán inmediatamente, así que actualiza cuanto antes tu sitio y toma todas las medidas que puedas para fortificar tu WordPress.

Saludos Malignos!

↧

Cálico Electrónico 5x05: "Las Tortugas Pijas" y más stuff

June 28, 2014, 10:01 pm

≫ Next: RootedCON 2014: Charlas en vídeo publicadas

≪ Previous: 375.000 WordPress en riesgo por un exploit de Command Injection para el plugin TimThumb

El próximo día 5 de Julio saldrá publicado el nuevo capítulo de Cálico Electrónico. En esta ocasión el Capítulo 5 de la Temporada 5, titulado "Las Tortugas Pijas", en el que han colaborado grandes como Escardi, Baxa, El Tito Bertín, Dani Lagi o Narehop. Todos ellos son los simpáticos animalicos de color verde que podéis ver ya en el avance del capítulo.

Figura 1: Avance del Capítulo "Las Tortugas Pijas

El capítulo será pre-estrenado el día 4 de Julio en la HobbyCON, donde La tienda Oficial Cálico Electrónico y el creador Nikotxan estarán ese fin de semana, así que si estás por allí, puedes verlo antes que los demás.

Mientras tanto, durante este periodo hemos recuperado más material. La primera ha sido la tira 109 de Deili Electrónico, que es una colaboración para el cómic de Andrea Down "Helado de Huevos Fritos". Un cómic en el que la protagonista ve el mundo de esa forma tan especial que lo ve la gente con síndrome de Down.

Figura 2: Tira de Cálico Electrónico 109 para el cómic "Andrea Down"

Además, hemos ido recuperando algunos vídeos perdidos de Cálico Electrónico. En este caso algunas promos de sorteos curiosas, como esta en el que el Chacho Migué le enseña al Minitun lo que es una navajilla para un gitano.

Figura 3: El chacho Miguel le enseña a MiniTun lo que es una navajilla

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, recuerda que tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que podrás descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

↧

RootedCON 2014: Charlas en vídeo publicadas

June 29, 2014, 9:33 pm

≫ Next: BiciMad, BonoPark, un pene erecto y denuncias por doquier

≪ Previous: Cálico Electrónico 5x05: "Las Tortugas Pijas" y más stuff

Desde RootedCON están haciendo un trabajo de recuperación de todas las charlas que tuvieron lugar este año. El montaje es verdaderamente bueno y puedes disfrutarlas una tras otra aprendiendo un montón de cosas. Estas son las charlas, entre las que está la mía y la de muchos compañeros y amigos.

Figura 1: Pablo González y Juan Antonio Calles - Cyberwar: Looking for... Touchdown!
Figura 2: Fran y Charlie hablan de Sinfonier

Figura 3: Alfonso Muñoz habla de Esteganografía y en texto natural

Figura 4: José Luis Verdeguer (autor del libro hacking VoiP) y Víctor Seva - Secure Communications
Figura 5: Jorge Ramió (Autor del libro de Criptografía RSA) habla de los 36 años de RSA
Figura 6: Chema Alonso - Playing & Hacking with Digital Latches

Figura 7: Andrés Tarasco - Ataques dirigidos con APTs WiFi

Figura 8: Miguel Tarasco - Análisis WiFi de forma nativa en Windows

Figura 9: Jorge Bermudez - Los hackers son de Marte los jueces son de Venus

Figura 10: Antonio Ramos - Agilidad: La via a la seguridad

Figura 11: Alberto Cita - Skype sin Levita: Un análisis de seguridad

Figura 12: César Lorenzana y Javier Rodriguez - Por qué los llaman APT's

Figura 13: Bypassing wifi pay-walls with Android

Figura 14: Raúl Siles - iOS: Regreso al futuro

Figura 15: José Luis Quintero & Felix Estrada - De Juegos de Guerra a La Jungla de Cristal 4

Figura 16: Raj Shah - The Kill Chain: A day in the life of an APT
Aún no están publicadas todas las charlas que formaron parte de RootedCON 2014, pero según las vayan publicano iré actualizando este post para que las tengáis todas. No obstante, si queréis ver las de 2013 y las que se vayan publicando, podéis suscribiros al Canal Youtube de RootedCON Madrid que tienen abierto.Saludos Malignos!

↧

BiciMad, BonoPark, un pene erecto y denuncias por doquier

June 30, 2014, 9:22 pm

≫ Next: ¿Cuántas URLs se pueden extraer con Google Hacking?

≪ Previous: RootedCON 2014: Charlas en vídeo publicadas

En la capital del mundo para los que de allí somos, la bella y linda ciudad que está centrada en la antaño región de Carpetani, se lanzó con notable éxito de afluencia el servicio BiciMad, una plataforma para poder alquilar vehículos no motorizados de dos ruedas y dos pedales, para con un manillar jugarse la vida lidiando entre autobús de la EMT, el motorista que toma la rotonda de Cibeles en "casco rojo" y coche buscando parking para no pagar zona verde, que va a precio de "sirlion del güeno".

En una semana de puesta en marcha ya tenía 4.000 usuarios registrados en el sistema y se habían pedido más de 6.000 servicios de alquiler. Todo iba de dulce y la alcaldesa pudo hacerse una foto de esas que gustan a los políticos.

Figura 1: La alcaldesa de Madrid en la presentación de BiciMad

Pero...como la gente no aprende, una vez más BiciMad, o mejor dicho, BonoPark, la empresa adjudicataria se había olvidado de hacer los deberes en temas de seguridad, y la cagó, cual Kobe Bryant, haciendo un triple desde el medio del campo:

1) Mal dimensionamiento del servicio: Al poco del lanzamiento entre faustos y algarabías, el servicio se cayó. No es que hubieran sufrido un ataque cibernético de DoS o DDoS, nada más lejos de la realidad. Simplemente el uso normal de los clientes en primera instancia llevó a la lona el servicio

¿Cómo es posible que el servicio sufriera una denegación de servicio solo por la demanda de usuarios? Si esto ha sido así solo por el uso, hay que suponer que no tienen AntiDDoS ni nada similar, así que en el momento en que alguien le apunte una botnet o haga un ataque de amplificación, esto se va al suelo otra vez.

Figura 2: Un kiosco de BiciMad sin servicio

2) Sin auditoría de seguridad web: Clama al cielo ver que en la auditoría que le hicieron inicialmente, con cariño y sin necesidad de que la solicitaran, se pudiera ver que se habían dejado hasta las claves de los certificados publicadas.

Figura 3: Directory Listing en la web de BiciMad y ficheros de claves .pem

Con sus directory listing, con sus APIs sin proteger y con el volcado de todos los datos de la base de datos. Eso sí, como ellos dicen, nunca han sido hackeados.

3) Los kioscos interactivos, también si auditar: Ni sé ni cuantas veces he insistido en que cuando pones un Punto Interactivo, o un kiosco en los que los usuarios tienen acceso físico, la cosa puede acabar en drama. Ya he publicado múltiples ejemplos de estos fallos, pero en esta ocasión en BiciMad, la cosa llegó a las manos, o mejor dicho, a los penes, y acabó sufriendo el defacement de un pene que ha dado la vuelta al mundo.

Figura 4: El vídeo del pene de marras en el Totem de BiciMad

Este ataque parece un homenaje al hacker que hizo algo parecido en la autopista de Moscú, poniendo un vídeo porno en un video-wall causando kilómetros y kilómetros de atascos, que sólo podrían haberse resuelto si los ciudadanos de Moscú pudieran disponer de un servicio de alquiler de bicicletas tipo BiciMoscú... oh, wait!

Dicho esto, ya los políticos aprovechan el caos que se está montando para cargar con el sistema de licitación, donde parece que la solvencia técnica ha sido lo menos valorado, y una vez más, la solvencia económica - o lo que es lo mismo, el que menos cobraba - se ha llevado el proyecto, dejando una pésima imagen de todo el proceso.

Figura 5: Bonopark denunciará a los atacantes de BiciMad

Eso sí, ahora han avisado que la empresa va a empezar a denunciar a todo el que hackee el sistema, según parece, por presiones del propio ayuntamiento. Espero que si se han llevado datos de los clientes, lo denuncien y los que tengan que velar por los datos robados de los ciudadanos tomen cartas en el asunto, que parece mentira que en el siglo XXI aún haya empresas que saquen cosas a Internet o la calle sin haber pasado una triste auditoría de seguridad externa.

Saludos Malignos!

↧

¿Cuántas URLs se pueden extraer con Google Hacking?

July 1, 2014, 9:11 pm

≫ Next: ¿Mandó el ministro Federico Trillo a los militares un mensaje con esteganografía sobre el Yakovlev-42?

≪ Previous: BiciMad, BonoPark, un pene erecto y denuncias por doquier

Cuando se hace Hacking con Buscadores siempre se espera que los dorks funcionen sobre el 100 % de las URLs de un determinado dominio. Debido a esto, normalmente se utiliza Google como motor de hacking con buscadores por su potencia de indexación, ya que si lo comparamos con, por ejemplo Bing, el número de URLs de un dominio descubiertas suele ser mayor.

Por ejemplo, si miramos las URLs que tiene indexadas Bing del dominio Army.mil, podemos ver que no llega a las 700.000.

Figura 1: URLs del dominio army.mil indexadas por Bing

Por el contrario, si probamos la misma consulta con Google, como se puede, se obtienen más de 2.700.000 URLs indexadas y recolectadas por Google, lo que es casi 4 veces más URLs descubiertas e indexadas en el buscador.

Figura 2: URLs descubiertas por Google del dominio Army.mil

Sin embargo, no hay que dejarse llevar por los triunfalismos a la hora de hacer Google Hacking. De esas 2.700.000 URLs que Google ha indexado, no todas van a estar disponibles en su índice para consultas, ya que el buscador mete muchas en lo que se llama el Índice Suplementario.

Ese índice secundario es donde se ponen las URLs que el buscador ha descubierto, pero que, por ser un contenido repetido o de escaso valor, el motor decide apartar de la base de datos que pone disponible para las consultas al resto de los usuarios. Así que, de estas 2.700.000 URLs, solo una porción están disponibles en el buscador, y el resto están en lo que originalmente se llamó "la Deep Web", o lo que es lo mismo, lejos de los usuarios por haber sido apartadas del camino normal de los usuarios.

Para saber el número de URLs que realmente están disponibles para las búsquedas, hay que utilizar una consulta terminada con el operador &, de tal manera que solo saldrán aquellas que van a estar en el índice primario. En este caso concreto, mirando las URLs del mismo dominio vemos que hay un poco más de 1.000.000, lo que sigue siendo un poco más de las que tienes disponibles en Bing.

Figura 3: URLs del dominio army.mil en el índice primario de Google

Además, este 1.000.000 no tiene porque contener completamente todas las URLs que ha descubierto Bing, y lo habitual es que sean conjuntos que intersecan pero no incluidos uno en el otro completamente. Esto se pudo ver en el ejemplo de la búsqueda de documentos en WhiteHouse.org que usamos en la presentación de FOCA 2.5 y es uno de los motivos por los que debes hacer Bing Hacking.

Figura 4: URLs de documentos descubiertos en WhiteHouse.org con distintos buscadores

En las búsquedas normales en Google - sin utilizar el parámetro & - por defecto los resultados están filtrados por otra serie de factores, ya que Google va a quitar aquellas páginas que considera que tienen un contenido poco apropiado, para lo que es absolutamente necesario hacer las búsquedas con el filtro SafeSearch desactivado. Esto se hace con el parámetro safe=off.

Y, en segundo lugar, hay que seleccionar que se muestren todas las URLs, independientemente de si Google ha considerado que para esa búsqueda concreta no aporta valor y son resultados duplicados. Esto se hace con el parámetro filter=0. Por defecto Google elimina cuando hay más de 2 URLs en el mismo directorio (Duplicate Directory Filter) y cuando hay más de dos resultados con el mismo título y descripción aunque sean distintas URLs (Duplicate Snippet Filter)

Figura 5: Información de Google sobre filtrado de URLs en los resultados

Como se puede ver, haciendo una búsqueda de todos los resultados disponibles - repetidos o no - y desactivando el filtrado de SafeSearch, y buscando solo en el índice primario con & como mucho se obtiene el total de resultados en el índice primario de Google, lo que será el máximo número de URLs a que podemos aspirar.

Claro está, si quieres conseguir ese millón de URLs disponibles en ese dominio tendrás que ingeniártelas para solventar el límite de 1.000 resultados por consulta que suponen los huge domain, tal y como hicimos en FOCA.

Saludos Malignos!

↧

¿Mandó el ministro Federico Trillo a los militares un mensaje con esteganografía sobre el Yakovlev-42?

July 2, 2014, 9:01 pm

≫ Next: Si te interesa Tor o Linux eres Person of Interest en la NSA

≪ Previous: ¿Cuántas URLs se pueden extraer con Google Hacking?

Cuando hace diez días hablaba del posible mensaje oculto en el cierre de TrueCrypt enviado usando las técnicas de esteganografía, fue inevitablemente que viniera a mi mente la imagen de un caso similar que se cita en el libro de Esteganografía y Estegonálisis: El supuesto mensaje oculto por el ahora ex-ministro Federico Trillo.

Corría el mes de Mayo del año 2003 cuando un vuelo militar, en un avión Yakovlev 42 se estrelló en Turquía. En dicho avión los pasajeros eran militares españoles, que perdieron la vida junto a la tripulación, de origen ucraniano y bielorruso. Toda la información de la tragedia está detallada, junto con la desastrosa investigación y reconocimiento de los cuerpos de los fallecidos en este artículo de la Wikipedia: Accidente del Yak-42 en Turquía.

Figura 1: El avión Yakovkev-42 siniestrado

Como era de esperar, la campaña de depuración de responsabilidades alcanzó al por entonces Ministro de Defensa del gobierno del Presidente José María Aznar, por aquel entonces Federico Trillo. Por supuesto, él alegó que no era suya la responsabilidad, y que pertenecía por completo al Estado Mayor de la Defensa (EMAD), pero que aún así había presentado su dimisión al Presidente del Gobierno que la había rechazado.

En plena vorágine mediática, el por entonces Ministro, escribió un artículo en la Revista Española de Defensa (Red), que puede verse a continuación, donde si se mira con atención aparece un mensaje oculto - no demasiado - con esteganografía.

Figura 2: El artículo del Ministro Federico Trillo

Solo hay que tomar la primera palabra de cada párrafo para poder formar una frase, que dice lo siguiente: "El Responsable Definitivo Es El EMAD", es decir, lo que había venido declarando con anterioridad, que el Estado Mayor de la Defensa había sido el responsable último del fatídico accidente del Yak-42 que se llevó la vida de 75 personas.

Un ejemplo sencillo, en el que la esteganografía ha sido utilizada para dejar un mensaje claro a todo el mundo que por supuesto pasó inadvertido a los ojos de los revisores y/o editores de la revista.

Saludos Malignos!

↧

Si te interesa Tor o Linux eres Person of Interest en la NSA

July 4, 2014, 12:17 am

≫ Next: 09/07 - Madrid: Foro gratuito sobre Pruebas Electrónicas

≪ Previous: ¿Mandó el ministro Federico Trillo a los militares un mensaje con esteganografía sobre el Yakovlev-42?

Dentro de los proyectos de la NSA para poder investigar lo que estaba pasando en Internet que pudieron ser conocidos tras las filtración de documentos de Edward Snowden apareció X-Keyscore, un sistema distribuido para el análisis de los datos capturados por medio de los programas PRISM o Tempora, orientados a la recolección de información.

Figura 1: Distribución de los servidores de X-Keyscore por el mundo

X-Keyscore es un sistema de análisis de información distribuido, con servidores en multiples puntos del mundo al cuál los investigadores se conectan para localizar a los posibles sospechosos. Como vimos, entre las cosas que podía preguntar un analista para encontrar esas anomalías, estaba el uso de criptografía o el uso de determinados idiomas en ubicaciones no habituales para esa lengua.

Dentro de todos los documentos que se han podido ir conociendo después, en algunos ficheros de reglas de configuración de X-Keyscore, tal y como se puede ver a continuación, los agentes de la NSA estaban registrando las direcciones IP de la gente que estaba conectándose a sitios que ofrecen a los usuarios alguna información sobre criptografía, tales como el sitio web de Tails (The Amnesic Incognito Live System), una distribución de Linux basada en Debian y centrada en el anonimato.

Figura 2: Tails, Live Debian Linux enfocada en privacidad y anonimato

Esa distribución es un sistema operativo live que se puede correr desde un USB, una smartcard o un DVD y que realiza absolutamente todas las conexiones a través de la red TOR, con la idea de conectarse a TOR sin usar Internet en el mismo equipo.

Figura 3: Reglas de X-Keyscore para detectar conexiones a Tails y Linux Journal

A pesar de que la NSA tiene ya muchos proyectos de investigación de TOR, que van desde el uso de servidores infiltrados hasta el estudio estadístico de las conexiones y los saltos de routers, parece que una buena idea es registrar las direcciones IP de los usuarios que se conectan a los servidores web y tenerlos "fichados" desde el principio.

Figura 4: Reglas de X-Keyscore para gente que se conecta a servidores de Tor en la web

La cosa va más allá aún, ya que en el fichero de reglas se puede ver que simplemente con conectarse a la web de Linux Journal te convierte en sospechoso y una "person of interest" para ser investigado dentro de la plataforma X-Keyscore. Es decir, el mero hecho de estar interesado en criptografía, anonimato o Linux te convertía en investigable para la NSA.

Saludos Malignos!

↧

09/07 - Madrid: Foro gratuito sobre Pruebas Electrónicas

July 4, 2014, 9:30 pm

≫ Next: Cálico Electrónico Temporada 5: "Las Tortugas Pijas"

≪ Previous: Si te interesa Tor o Linux eres Person of Interest en la NSA

El próximo día 9 de Julio tendrá lugar en Madrid un evento gratuito dedicado a tratar con expertos en la materia algo que a los analistas forenses, directores de IT, responsables de seguridad y abogados interesa: La prueba digital.

Saber más sobre cómo se deben generar, custodiar, analizar o utilizar en un informe judicial las pruebas digitales es algo que debemos tener muy presente, por eso creo que tal vez os puede interesar ir a este evento en el que han juntado a más de 20 ponentes para debatir en tres mesas de trabajo diferentes aspectos.

Figura 1: Agenda del evento Prueba Electrónica

Para registrarse a este evento gratuito puedes hacerlo solicitando tu plaza en la siguiente dirección web: Foro Prueba Electrónica Madrid. No sé si habrá retransmisión online o si pondrán los vídeos, pero me informaré de ello e intentaré dejaros el material ya que creo que los ponentes que tiene este foro aportan una gran experiencia en el sector y podría ser de gran utilidad escuchar lo que ellos tienen que decir respecto a las Evidencias Electrónicas.

Saludos Malignos!

↧

Cálico Electrónico Temporada 5: "Las Tortugas Pijas"

July 5, 2014, 11:07 pm

≫ Next: Shoulder Surfing con Google Glass para robar el passcode

≪ Previous: 09/07 - Madrid: Foro gratuito sobre Pruebas Electrónicas

Ayer por la noche se estrenó el Capítulo 5 de la Temporada 5 de Cálico Electrónico, producido íntegramente por 0xWord y con el título de "Las Tortugas Pijas", en el que han participado algunos amigos de la red. A ver si os gusta.

Cálico Electrónico Temporada 5 Capítulo 5: Las Tortugas Pijas

Con este ya son once los capítulos que se han hecho desde que invitamos al gordito a ser parte del equipo, y esperamos que lo disfrutéis como los demás. Aquí os dejo todo lo que va de la Temporada 5 de Cálico Electrónico hasta el momento, para que no se te pase ninguno. El resto de las temporadas y los extras están disponibles en Cálico Electrónico: La Serie.

Cálico Electrónico Temporada 5 Capítulo 4: El Conde Mor y El Chola

Cálico Electrónico Temporada 5 Capítulo 3: De DaddyChulos

Cálico Electrónico Temporada 5 Capítulo 2: Contra la Madre del Topo

Cálico Electrónico Temporada 5 Capítulo 1: La Noche de los Abrazos Gratis

Recuerda que todos los vídeos de todas las series están disponibles en el Canal de Cálico Electrónico en Youtube oficial y para que te puedas enterar de todo esto con facilidad, tienes una aplicación de Cálico Electrónico para Windows Phone, otra app de Cálico para Android, una aplicación para Windows 8, y una versión para iOS (iPhone & iPad) que puedes descargar desde iTunes. Si te quieres enterar de todas las novedades ya sabes que también puedes seguir la actividad del gordito en su cuenta oficial Twitter, en su página fan de Facebook, a través de Google+ o suscribirte al Canal Oficial Youtube Cálico Electrónico.

Saludos Malignos!

↧

Shoulder Surfing con Google Glass para robar el passcode

July 6, 2014, 8:49 pm

≫ Next: Teoría y práctica para la realización de un pentesting

≪ Previous: Cálico Electrónico Temporada 5: "Las Tortugas Pijas"

Esta semana pasada me topé con un artículo publicado en la revista Wired en el que hablaba de cómo los riesgos de privacidad que pueden venir asociados con Google Glass son tan grandes como que son la herramienta perfecta para el shoulder surfing. Una cámara apuntada hacia todo lo que una persona está haciendo, por ejemplo poner el passcode o el PIN de acceso a un iPhone o un terminal Android, y averiguarlo.

Figura 1: Foto del laboratorio de CiberSeguridad de la Universidad de Massachusetts describiendo el ataque

La idea es que no es necesario nada más que ver el movimiento de los dedos al pulsar los caracteres que forman parte del passcode y sacar el valor con una simple app instalada en las Google Glass. Este concepto no es nada más que un porting a las gafas de Google de ideas y software similar al que ya existía para terminales iOS (iPhone/iPad) con jailbreak llamada ShoulderPad.

Figura 2: Vídeo demo del reconocimiento de pulsaciones de teclado en iPad con ShoulderPad

Esta herramienta, ShoulderPad, debe grabar las pulsaciones del teclado para reconocer qué teclas se están introduciendo procesando el vídeo frame a frame, pero como se explica en el libro de hacking iOS: iPhone & iPad hace tiempo se publicó el trabajo de iSpy, que era capaz de reconstruir las pulsaciones del teclado desde reflejos deformados en los que las luces de la pantalla se estuvieran reflejando.

Figura 3: Vídeo demo de iSpy en el que se reconstruye el teclado desde reflejos

Ahora, usar Google Glass le da un punto de modernidad y discreción, además de que al fijarse en los movimientos de los dedos en lugar del teclado, lo hace más fácil para el atacante y más difícil de detectar para la víctima, que si se normaliza el uso de Google Glass puede que no sospeche nada

Al final el problema es siempre el mismo que te puedan grabar introduciendo el passcode al terminal con cualquier cámara, ya que van a poder reconstruir siempre tu PIN de acceso. Edward Snowden contaba en The Guardian que no podía el passcode de ningún dispositivo si no estaba oculto bajo una capucha todo el terminal, al estilo de las "bromas" que tantas veces se han hecho al respecto. Su preocupación era que cualquier cámara de seguridad o cualquier dispositivo de vigilancia pudiera llegar a localizar sus pulsaciones y sacar sus claves.

Figura 4: Filtro de privacidad "artesano"

En el trabajo publicado por Xinwen Fu dicen que con una cámara, su software les permite reconstruir el passcode con distancias de casi medio centenar de metros, solo grabando los movimientos de los dedos al pulsar las teclas.

Figura 5: El sistema descubre el passcode si se graba con una cámara desde decenas de metros

Como forma de solucionar este ataque, lo que propone es que el teclado que se usa para introducir el passcode nunca muestre los números en las mismas posiciones, al estilo de lo que han hecho desde hace tiempo muchas entidades bancarias con el teclado virtual en las aplicaciones. Ese cambio acabaría con muchos de los problemas de cámaras, que necesitarían reconocer el número mostrado en la pantalla, además de reconocer la posición de la pulsación.

Figura 6: Demostración de cómo graba las pulsaciones para poder reconocer el passcode

Lo cierto es que a todas las técnicas conocidas para saltarse el passcode de un terminal, hay que añadir que a día de hoy una grabación en vídeo con ShoulderPad, con iSpy o con las Google Glass cuando se esté introduciendo ese valor, sería más que suficiente, por lo que cuanto más complejo sea tu passcode, mejor que mejor. Por otro lado, el uso de biometría, tal y como sucede con Apple Touch ID, permite evitar este problema pero trae otros riesgos. Nada hay perfecto.

Saludos Malignos!

↧

Teoría y práctica para la realización de un pentesting

July 7, 2014, 9:55 pm

≫ Next: Ayer en Israel

≪ Previous: Shoulder Surfing con Google Glass para robar el passcode

Esta semana ya estará disponible el nuevo libro de 0xWord, que lleva por título "Ethical Hacking: Teoría y Práctica para la realización de un pentesting", escrito por nuestro compañero Pablo González (@pablogonzalezpe), y en el que plasma la experiencia en la realización de test de intrusión.

Figura 1: Ethical Hacking - Teoría y Práctica para la realización de un pentesting

Es el libro número 30 de la Colección de libros de Seguridad Informática y Técnicas Hacking de 0xWord y dentro de poco estará también en el Pack de Colección Completa, o en alguno de los packs dedicados a pentesting:

- Pack Pentester
- Pack Pentester Web
- Pack Pentester de Sistemas

El libro está disponible ya para pre-reserva en esta URL, y esta misma semana esperamos que llegue ya de la fábrica para que puedas disponer de él cuanto antes. El índice de los contenidos de este libro está en formato PDF en la siguiente URL: Índice de Contenidos de Ethical Hacking: Teoría y Práctica para la realización de un pentesting.

Saludos Malignos!

↧

Ayer en Israel

July 8, 2014, 10:19 pm

≫ Next: Mitigación de ataques Pass-the-Hash y Pass-the-Ticket

≪ Previous: Teoría y práctica para la realización de un pentesting

Como muchos probablemente ya sabéis, esta semana estoy visitando el estado de Israel por motivos laborales con un equipo de compañeros de Telefónica. Estoy con base en Tel Aviv, pero ayer fue el día que habíamos planificado para visitar la ciudad de Jerusalem así que cuando estalló todo, me pilló desplazado allí.

El día comenzó tranquilo en Tel Aviv, pero la intranquilidad comenzó por la mañana cuando, como cada martes, entré en el programa de radio de Javi Nieves en la Cope para hablar de tecnología y seguridad. Al terminar mi sección, Javi se despidió diciéndome: "Ya nos contarás a tu vuelta, que las cosas no están bien por allí". Yo no sabía a qué se refería, y cuando colgué la llamada pregunté a la gente con la que estábamos reunido. Tampoco sabían nada.

Figura 1: Vistas de la playa desde el hotel en Tel Aviv.

Después de esa reunión, comimos en Tel Aviv y tuvimos otra reunión antes de desplazarnos en coche hacia Jerusalem, donde teníamos una sesión de trabajo de 2 horas. Al mismo tiempo, sin saber nada, por lo visto en algunas ciudades de Israel - entre ellas Jerusalem - habían decidido abrir los refugios anti-aereos para los ciudadanos, pero nosotros no nos enteramos de nada.

Figura 2: El muro de las lamentaciones de Jerusalem

Cuando acabó la reunión, a eso de las 18:30 horas de la tarde, comenzamos un paseo a pie por la ciudad antigua de Jerusalem, que nos llevó a los cuatro barrios de la ciudad y donde también visitamos el Muro las Lamentaciones, el Santo Sepulcro, la tumba del Rey David y los muros del antigua ciudad vieja. Durante ese paseo, llamaba poderosamente la atención de que hubiera poca gente por la ciudad, pero estábamos contentos porque eso nos ayudo a disfrutar de una visita muy tranquila.

Durante toda la visita nos insistieron mucho sobre las grandes diferencias culturales e ideológicas de la ciudad. Teníamos de acompañante a una persona que era la octava generación de su familia viviendo en Jerusalem para contarnos todo. Durante la visita, hice una foto a una de las tiendas que dejaba claras todas estas diferencias.

Figura 3: Tienda de camisetas en la ciudad antigua de Jerusalem

Al terminar la visita, a eso de las 20.00 horas nos fuimos a cenar al Restaurante Notre Dame que, se encuentra fuera de la ciudad vieja en una zona con buenas vistas, para cenar en una terraza en la que se disfrutaba de una noche genial.

Figura 4: El Restaurante Notre Dame está en la azotea de este edificio

Al poco sonó un petardo, y nos informaron que se debía a que terminaba la jornada del Ramadán para los musulmanes, y se anunciaba de esa forma. Después, al cabo de una hora - poco más o menos - comenzó a sonar una sirena por toda la ciudad de forma continua. Yo miré extrañado a nuestros compañeros de cena, que nos dijeron que era la sirena de aviso de ataque aéreo y que debíamos irnos a zona segura al interior del edificio.

Figura 5: Vista de la ciudad de Jerusalem desde el Restaurante Notre Dame

Era la primera vez en mi vida que escuchaba una sirena anti-aerea y lo primero que se me ocurrió fue usar el tiempo real de Twitter para saber qué estaba pasando ahora mismo en Jerusalem, así que configuré el nombre de la ciudad en las búsquedas y lo primero que vi fueron fotos de gente corriendo e información de explosiones en la ciudad.

Entonces no lo sabía, pero en el resto de las ciudades estaba pasando lo mismo. De hecho, este vídeo está rodado al lado del Ministerio de Defensa de Israel, que está situado a poca distancia del hotel donde estamos alojados en Tel Aviv y por donde había estado montando en bici por la mañana.

Figura 6: Sirenas de ataque aereo en Tel Aviv

Teníamos que volver a Tel Aviv, pero el coche estaba a unos 15 minutos, así que decidimos dividirnos y dos nos fuimos a por el coche y el resto esperó a refugio en el edificio. Yo me fui con mi compañero de Telefónica de Israel, ya que él me estaba dando conexión y me permitía estar informado continuamente. No me apetecía nada quedarme desconectado y solo enterarme de lo que sucedía por las sirenas de los coches de policía, así que me fui con él. No sabíamos qué había pasado, pero sí que había alboroto de sirenas y coches.

Cuando conseguimos juntarnos todos otra vez, comenzamos el viaje de retorno de Jerusalem a Tel Aviv en coche. Es poco más de 1 hora, y lo hicimos siguiendo las noticias por Internet, recibiendo las llamadas de compañeros de Israel que nos mantenían al día. Nos enteramos por teléfono de que habían utilizado la Orden número 8, que aquí en Israel significa que muchos debían volver al ejercito. En total, las noticias hablan de 40.000 personas.

Iba intranquilo en el coche, pero la carretera estaba totalmente tranquila. Lo que más nos preocupaba eran las noticias de incidentes en muchas de las ciudades del país, y sobre todo un vídeo grabado en el barrio de uno de nuestros compañeros en el que se puede ver cómo unos misiles habían sido lanzados sobre Tel Aviv.

Figura 7: Vídeo grabado en Alfei Menashe del ataque sobre Tel Aviv
A pesar de todo, llegamos a la ciudad y estaba tranquila. Había poca gente en la calle, pero no pasaba nada.

Figura 8: Noche en Tel Aviv. El edificio del fondo es el Ministerio de Defensa

Desde el coche hice una foto al Ministerio de Defensa de Israel cuando llegamos a la ciudad, donde se había podido ver el sonido de las sirenas antes en el primer vídeo. En el hotel, al llegar, nos encontramos una carta informándonos de lo sucedido, y como podéis ver hablaban más de Gaza que de otros sitios. Esta carta me la llevo para mi colección de recuerdos de viajes y aventuras por este mundo.

Figura 9: Carta informativa del hotel sobre lo sucedido

Internet en el Hotel iba bastante mal, pero al menos pudimos estar conectados dentro de nuestras habitaciones. En caso de que hubiera pasado algo en el hotel habían puesto carteles informando de dónde debíamos dirigirnos en caso de ataque aéreo.

Figura 11: Carteles que nos indicaban el camino del refugio

Por supuesto, no salimos del hotel, y nos quedamos en la habitación intentado descansar. La verdad es que nada más pasó en la ciudad. Todo estuvo tranquilo y lo peor eran las noticias que se podían leer en Internet. Pero nosotros estuvimos tranquilos.

Figura 11: Playa de Tel Aviv esta mañana. Todo en calma

Esta mañana la ciudad se ha levantado muy tranquila, han quitado los carteles, y esperamos no tener problemas para salir del país esta noche, que mañana tengo trabajo en Madrid.

Actualización: Esta mañana han vuelto a sonar las sirenas de ataque aéreo en Tel Aviv aquí el vídeo con sonido para que lo oigáis.

Figura 12: Sonido de sirenas otra vez en Tel Aviv por la mañana

Saludos Malignos!

↧

Mitigación de ataques Pass-the-Hash y Pass-the-Ticket

July 9, 2014, 11:33 pm

≫ Next: Hacker Épico disponible en Amazon para Kindle en inglés

≪ Previous: Ayer en Israel

Cuando una empresa tiene una red con Active Directory es necesario preocuparse por la seguridad de éste, ya que afecta a la seguridad de toda la organización. Dentro de las medidas de seguridad que se pueden poner se encuentran las que entran dentro de la fase de fortificación de la plataforma, más las que añaden los equipos de seguridad con el objetivo de proteger los activos, detectar los ataques y mitigar su impacto.

Fortificar un servidor Windows Server con Active Directory consiste en seleccionar cuáles deben ser los roles y características que debe tener un servidor y aplicar todas las medidas que cumplan los principios de Mínimo Punto de Exposición (MPE), Mínimo Privilegio Posible (MPP) y Defensa en Profundidad (DeP). Es decir, una vez definido qué y cómo debe trabajar Active Directory, se pone en producción fortificado.

No obstante, no siempre la fortificación del sistema cierra todos los posibles ataques, ya sea por necesidades de la empresa o por limitaciones de la tecnología. En ese punto hay que pensar qué medidas de terceros se pueden poner para añadir una capa extra de fortificación al sistema y qué mecanismos de monitorización se deben implementar para detectar cualquier posible ataque a esas debilidades y poder mitigar el impacto de un ataque.

Un ejemplo con la gestión de credenciales

Para atacar el problema del robo de contraseñas de los usuarios se puede implementar un sistema de contraseñas complejas, de login basado en SmartCards o directamente deshabilitar las cuentas que tengan mala actividad dentro de la organización, pero ni aún así esto puede ser la solución definitiva en muchos casos, como vamos a ver. Por supuesto, nuestra propuesta para fortificar y dificultar el robo de credenciales es configurar Latch para Windows en Active Directory como una de esas medidas que permite fortificar el sistema de autorización del uso de identidades y así evitar que las contraseñas puedan ser robadas y utilizadas por un atacante.

Figura 1: Plugins de Latch para Windows Personal y Enterprise Edition

No obstante, a pesar de que se puedan poner muchas medidas de fortificación, aún existen multitud de ataques que pueden hacerse sin conocerse la contraseña de un usuario del sistema. Estos ataques pueden ser utilizados por un pentester contratado o por un atacante que esté en medio de un ataque dirigido contra la empresa. Estas técnicas de explotación de sistemas pueden realizarse como forma de pivotar de una máquina a otra cuando se ha conseguido comprometer previamente una máquina de la organización y pueden terminar convirtiéndose en un robo de la identidad para acceder a un montón de recursos dentro de la organización.

Ataques Pass-the-Hash

Si se tiene una máquina comprometida y se consigue utilizar una técnica similar a Mimikatz se podrían llegar a conseguir las contraseñas almacenadas localmente dentro del sistema operativo Windows controlado desde la organización, pero si no, con atacar a la base de datos de credenciales locales, con una herramienta como WCE (Windows Credentials Editor) sería posible acceder a los hashes NTLM de los usuarios almacenados localmente dentro de la máquina y utilizar una técnica como Pass-the-Hash para conseguir la autenticación en un recurso de la red directamente inyectando el hash NTLM extraído localmente del equipo en el proceso de autenticación LSASS, sin necesidad de utilizar la contraseña.

A partir de ese momento, en todo punto de control en el que se pueda o haya que realizar una autenticación NTLM a través del servicio de Network Logon, se realizará todo el proceso de cifrado del desafío de 16 bytes que provee el servidor de autenticación con el hash NTLM, sin importar para nada cuál fuera la contraseña. Es decir, no servirá para los procesos de inicio de sesión interactivos, pero sí para los inicios de sesión en red.

Desde el punto de vista del atacante, conseguir un hash para circular por la red será casi como conseguir la password, ya que el hash será válido mientras el usuario no cambie la contraseña. Es por eso que las buenas prácticas de fortificación de sistemas Microsoft Windows hablan siempre de forzar al usuario a cambiarla periódicamente, limitando temporalmente el impacto que pueda haber tenido el robo de una contraseña o el robo de un hash NTLM.

Figura 2: Hernan Ochoa - WCE Internals [RootedCON 2011]

Esto, en las SmartCards o en los sistemas biométricos, por desgracia, no es así. Por un lado, cuando se decide utilizar un sistema de SmartCards o un sistema basado en biometría, hemos conseguido reducir la posibilidad de que alguien copie la contraseña al sustituirla por algo que debe poseerse, ya sea un patrón biométrico o una SmartCard. Sin embargo, se ha inyectado un problema grave en el uso de las técnicas de Pass-the-Hash, ya que al final se usará un hash NTLM por debajo para el proceso de autenticación que nunca va a cambiar, al ser generado en el momento de enrollment en la cuenta de usuario de la SmartCard o la biometría. Es decir, si un usuario consigue robar el hash NTLM de una SmartCard, por ejemplo, podrá estar usándolo para autenticarse por NTLM siempre, ya que el hash no cambia nunca.

En Windows 8.1, estas técnicas han cobrado un poco más de importancia con la aparición del Restricted Admin Mode en las conexiones RDP(Remote Desktop Protocol). Hasta el momento, la autenticación en un servidor para conseguir el inicio de sesión interactivo se hacía pasando un proceso que exigía poner la contraseña, o usar el inicio de sesión basado en credenciales cifradas RDP del que hemos hablado en los ataques Citrix/RDP, pero ahora en Windows 8.1 se puede usar el Restricted Admin Mode y pedir que la autenticación se haga vía Network Logon, lo que abre un nuevo servicio al ataque Pass-the-Hash.

Figura 3: PoC de Ataque Pass-the-Hash en una conexión RDP

Como os podéis imaginar, esta es una técnica muy utilizada dentro de la explotación de redes Microsoft, y por supuesto está documentada dentro del libro de Ethical Hacking o en cualquier otro manual de realización de pentesting que se centre en el ataque a redes Microsoft Windows desde que hace años, en concreto en 2008, el investigador argentino Hernán Ochoa (@hernano) la documentara en detalle. En su presentación de RootedCON 2011, podéis ver los detalles del trabajo que hizo.

Ataques Pass-the-Ticket

Por supuesto, en un entorno con Active Directory, la autenticación NTLM no se usa en el acceso a la mayoría de los recursos de red de la organización, ya que el protocolo por defecto de Microsoft para realizar su autenticación bajo una arquitectura SSO(Single Sign-On) es Kerberos. El esquema es sencillo, tras realizar un proceso de desafío contra el servicio de autenticación Authentication Service dentro del KDC(Key Distribution Center) de la organización Kerberos, el usuario recibe un token que le permitirá solicitar autenticación en cada uno de los servicios que quiera acceder. Es el TGT (Ticket Granting Ticket) o "el ticket que concede tickets de acceso" y viene a ser un token que se utilizará como hash para firmar los futuros desafíos desde el servidor, al igual que el token NTLM se utiliza para confirmar que se tiene la password de la cuenta.

Al final, el token TGT viene a ser como un hash NTLM pero que solo tiene validez durante un periodo de tiempo de sesión así que si es robado sólo se puede usar durante ese espacio temporal. A partir de ese momento, cuando un usuario quiere acceder a cualquier recurso, con su TGT pasa un proceso de validación en el KDC solicitando el acceso a ese recurso, y si la cuenta representada por ese TGT está permitida, entonces se le entrega un TGS (Ticket Granting Service) o "el ticket que concede el servicio" y que se entregará al acceso del recurso.

Figura 4: Extracción de tickets kerberos TGT y TGS

Por supuesto, las técnicas de Pass-the-Ticket funcionan de igual manera que las técnicas de Pass-the-Hash, pero utilizando el TGT en lugar del hash NTLM. Estos TGT están limitados temporalmente, pero el tiempo puede ser razonablemente largo, ya que su renovación por defecto es cada 10 horas y alguien podría incluso extenderla hasta 7 días de vida, por lo que el atacante tendría la posibilidad de emitirse muchos TGS. Conseguir los TGT se pueden sacar igualmente del Windows Credential Store localmente, por lo que no se diferencia demasiado el proceso.

Una curiosidad que tienen los TGT es que pueden utilizarse incluso después de que la cuenta haya sido borrada, deshabilitada o bloqueada, ya que la comprobación de salud de la cuenta se realiza dentro del dominio cada 20minutos, pero si es una cuenta de usuario que viene con un TGT que no ha expirado desde un dominio remoto con el que se ha establecido una relación de confianza, entonces no se comprueba el estado de salud - es decir, que no esté bloqueada, borrada o deshabilitada - lo que le permitiría a un atacante seguir campando con un TGT de una cuenta zombie.

¿Cómo detectar y mitigar estos ataques?

En este artículo he hablado de Pass-the-Hash y Pass-the-Ticket por poner dos ejemplos de ataques que se producen en redes Microsoft Windows. Pass-the-Hash en entornos en los que no hay validación Kerberos (que pueden ser muchos, incluidas redes con Active Directory en puntos y situaciones concretas) y Pass-the-Tickets en entornos Kerberos como Active Directory. Pero el objetivo principal era haceros pensar en la respuesta a la pregunta que os hecho en esta sección.

Lo cierto es que en un entorno Active Directory se pueden hacer muchos más abusos del sistema, como conectarse con cuentas de máquina usando una elevación de privilegios a System para enumerar los objetos del AD o hacer ataques de User-Guessing contra Kerberos. Además, podríamos tener el robo de un cuenta por parte de un usuario que estuviera siendo usada de forma anómala dentro de la red para acceder a documentos o información que va a ser robada de la empresa.

Descubrir que en tiempo real se está produciendo alguno de estos ataques dentro de la red no es fácil. Si tenemos un IDS o un IPS dentro de la organización, habría que ser capaz de hacer Deep Packet Inspection de los protocolos de red utilizados por las redes Microsoft para localizar qué información se está utilizando. Habría que analizar Kerberos, LLMR, CIFS, etcétera y generar reglas de inteligencia sobre la información que de ellos se pueda extraer, algo que por desgracia no es fácil de hacer hoy en día.

Microsoft tiene una guía de fortificación para reducir el impacto de los ataques Pass-the-Hash y a mí personalmente me gusta la herramienta DAF de Aorato. Lo que ellos hacen es justamente eso, hacer DPI para detectar todos los ataques que se estén produciendo de Pass-the-Hash, Pass-the-Ticket, abuso del Active Directory, o simplemente comportamientos anómalos de las cuentas de usuario o de máquina dentro de la red.

Figura 5: Alertas de ataques Active Directory con Aorato DAF

Para ello, configuran un puerto mirror en el switch que lleva el tráfico al Active Directory al que conectan una sonda que captura y analiza el tráfico. Este se envía a un repositorio central donde se realiza el cruzado de datos y el análisis inteligente de la información, y se le envía al equipo de seguridad el listado de alertas que están siendo descubiertas por la red. Es decir, una herramienta de análisis de seguridad del tráfico de Active Directory y de equipos Windows para detectar cuándo un ataque se está produciendo en la red que solo podrías detectar si haces DPI a los protocolos Microsoft.

¿Se puede hacer sólo con el IDS? Seguro que sí. Al final analizar los protocolos de Microsoft no es del todo imposible. Muchos de ellos están bien documentados. Poner la lógica por encima de ellos para detectar un ataque de Pass-the-Hash o de Pass-the-Ticket es posible también, pero no en muchas organizaciones he visto una protección que detecte los ataques Pass-the-Hash o Pass-the-Ticket.

Saludos Malignos!

↧

Hacker Épico disponible en Amazon para Kindle en inglés

July 10, 2014, 9:54 pm

≫ Next: Instalar, Configurar y Usar Latch para Windows

≪ Previous: Mitigación de ataques Pass-the-Hash y Pass-the-Ticket

Esta semana hemos tenido otro anuncio desde 0xWord con la publicación de la edición en inglés del libro Hacker Épico en Amazon. La traducción del libro al inglés, Epic Hacker, se ha hecho inicialmente para Kindle y está disponible en Amazon, aunque estamos mirando para que esté disponible pronto también en otras plataformas.

Figura 1: Epic Hacker en Amazon para Kindle

Si quieres comprar el libro en alguna tienda, aquí tienes los enlaces en cada uno de los países del libro:

- Epic Hacker en Amazon US
- Epic Hacker en Amazon FR
- Epic Hacker en Amazon BR
- Epic Hacker en Amazon IN
- Epic Hacker en Amazon ES
- Epic Hacker en Amazon CA
- Epic Hacker en Amazon UK
- Epic Hacker en Amazon IT
- Epic Hacker en Amazon MX
- Epic Hacker en Amazon DE
- Epic Hacker en Amazon JP

Como sabéis, el libro de Hacker Épico ha conseguido ya dos premios, se han vendido ya 2.000 ejemplares en español, tendrá su propia versión en cómic y ya puedes leer el primer capítulo de la segunda parte online.

Saludos Malignos!

↧

Instalar, Configurar y Usar Latch para Windows

July 11, 2014, 10:53 pm

≫ Next: Cross-Site SWF Scripting con Rosetta para Flash

≪ Previous: Hacker Épico disponible en Amazon para Kindle en inglés

La semana pasada lanzamos Latch para Windows Personal Edition como plugin gratuito que puedes usar ya en Windows XP, Windows Vista, Windows 7, Windows 8 y Windows 8.1 para bloquear el acceso o no a tus cuentas desde tu aplicación de Latch. Para ello, primero necesitas haberte creado una cuenta de Latch tal y como se explica en este artículo: Cómo comenzar a utilizar Latch en tu vida digital desde hoy.

Figura 1: Latch para Windows Personal Edition

Después necesitas abrirte una cuenta gratuita de desarrollador de Latch desde la web de developer, descargarte el plugin de Latch para Windows y configurarlo en tu sistema. La explicación paso a paso de cómo se debe crear y descargar la cuenta y el plugin de Latch, y configurarlo después en tu Windows está en este vídeo que ha hecho Jonathan Novel en el que en solo 7 minutos explica todos los pasos que hay que seguir.

Figura 2: Configuración completa de Latch para Windows Personal Edition

A la hora de configurar el plugin hay que tener en cuenta los siguientes aspectos, que está explicados en detalle en el blog de Eleven Paths:

1.- Configurar el AppID y el Secret de Latch de Windows: Para ello, en Latch para Windows deberás ir al botón de Configuración de Latch y rellenar los campos con los valores de la aplicación que te hayas creado en la web.

2.- Deberás dar de alta y parear el usuario: El proceso es similar al del pareado de siempre, solo que a la hora de configurar el comportamiento de Latch tienes que tener en cuenta que hay un comportamiento que debes tener presente.

Figura 3: Pareado del usuario y comportamiento de Latch en Windows

¿Qué debe hacer Latch cuando tu equipo esté desconectado de Internet? En ese caso tú decides si quieres que te bloquee o que no te bloquee. Es una decisión tuya, pero recuerda que si lo dejas bloqueado no podrás entrar hasta que tu equipo no tenga conexión otra vez.

Por último, hay que recordad que si utilizas cuentas de Microsoft Online en tu Windows 8 o Windows 8.1, no puedes usar Latch para Windows, ya que la autenticación se hace online y no con el sistema de autenticación local de tu máquina, por lo que Latch no podrá verificar el estado de tu configuración.

Saludos Malignos!

↧