Security By Default

Querido Papa Noel Enterprise

2009-12-24T07:31:00.148+01:00

Teniendo en cuenta que este año hemos escrito todos los días un post, hemos contestado comentarios y ayudado a nuestros compañeros, nos gustaría solicitar algún detallito para poder seguir con ánimo este nuevo año que pronto se presenta.

Como no queremos convertirnos en el niño de Goma Espuma y tener que mandarte otra carta el día 26 (el 27 no que ya estoy ocupadoo), te lo pondremos fácil ajustando el presupuesto a uno más que aceptable como son 3.000€ de nada. Eso para un Papa Noel Enterprise no es debería ser problema.

En primer lugar, y teniendo en cuenta que es por donde se empieza, queremos una licencia de Maltego para un añito (430$) con la que podamos hacer cosas tan chulis como la que ocurrió con Tony Hawk.

Luego nos gustaría que nos sorprendieses con un maravilloso número de serie para Nessus y su feed profesional, es el regalillo más caro (1200$), pero ya se sabe lo útiles (incluso demasiado) que son este tipo de herramientas en los tiempos que corren.

Para que las auditorías web nos sigan saliendo bien o incluso mejor, te agradeceríamos que dejases en nuestro calcetín el Burp Proxy Pro (169£). Tampoco estaría de más darle una oportunidad al Pangolin (400€) este año y ya veremos como resulta.

La antenita Pringles u otros inventos similares ya no se llevan de moda, asi que para analizar entornos wireless si es posible y entra en tu zurrón rojo, el adaptador de cacetech AirCap NX (699$) y la utilidad VisiWave (549$) nos facilitarán algunas de las tareas que hacemos diariamente.

Pese a que hemos luchado durante todo el año contra los malos, además de todas estas peticiones para atacar, no importaría que pudiéramos prepararnos para la defensa. Nada mejor para eso que fortificar nuestros sistemas con las guías de bastionado de CIS y sus utilidades, que a bien puedes tener por regalarnos una membrecía por tan solo 300$.

Para finalizar y como algo se nos escapará en esto de controlar la seguridad. Nos gustaría solicitar una herramienta que nos ayude en la tarea de investigar y reportar cuando ocurra algún incidente. Así, sin que duela demasiado en el bolsillo, X-Ways Forensics (748$) parece una buena solución.

Muchas gracias y espero ansioso ver tus capacidades con las mesas de compras. ¡Ah! no quiero oír quejas que para reyes haremos nueva lista.

Cuando la privacidad importa

2009-12-23T07:56:00.000+01:00

En los tiempos que corren existe una inquietud cada vez mas creciente sobre la privacidad, por poder tener la certeza de que una comunicación no está siendo 'escuchada' por quien no debe y mantener a salvo nuestros datos.

Supongo que cosas como SITEL ayudan bastante a que ese nivel de conciencia crezca e introduce interesantes reflexiones sobre la libertad real que nos ofrece Internet.

Pero el caso es que este artículo no quiero que esté escrito 'con el papel albal en la cabeza' mayormente porque creo, sinceramente, que ese tipo de enfoques han convertido el concepto de 'la privacidad' o el uso de herramientas de cifrado en algo de nicho, dotándolo de un halo de misterio que ha hecho mas mal que bien. Parece que si alguien se molesta en cifrar sus correos y conexiones es porque 'tiene algo que esconder' o el otro tan manido tópico '¿a mi quien me va a espiar?'.

Ya va siendo hora de tirar por tierra esos enfoques caducos y trasnochados, el concepto de privacidad y cifrado, en un mundo ultra-móvil, donde es muy frecuente que al cabo de la semana hayas usado el correo, chateado o navegado por la web del banco desde múltiples ubicaciones, resulta iluso pensar que no estamos corriendo riesgos.

¿Te fías de la WIFI del hotel, compartiendo direccionamiento con X personas mas? Yo, No y es mas, te podría contar casos de gente normal, como tu y como yo que han tenido serios disgustos por no tomar precauciones en entornos aparentemente 'seguros'

¿Crees de verdad que una red ethernet corporativa es un entorno seguro? Entonces es que no conoces Cain&Abel

Al hilo de todo esto, quiero presentar un servicio que me ha entusiasmado por su concepto y por la forma en la que está implementado (con magnificas guías, convirtiendo lo difícil en algo realmente sencillo).

Lo han implementado un grupo de Españoles y se llama Tu VPN.

Básicamente lo que ofrecen es un servicio de VPN compatible con Windows / Mac y Linux que permite obtener una conexión con cifrado fuerte desde tu extremo hasta un servidor localizado en diferentes puntos geográficos (Rumanía, Suiza, Inglaterra y EEUU)

Creo que es un servicio muy muy interesante para usuarios con un perfil de movilidad medio / alto que necesitan estar 'siempre conectados' y no por ello han de sacrificar su seguridad.

Posiblemente alguien crea que TOR 'hace lo mismo' y conceptualmente lo es, pero no olvidemos que TOR está formado por maquinas de las que nada se sabe y ya se han dado casos de nodos falsos que han sido usados para robar credenciales.

Seguridad en aplicaciones web y gobiernos

2009-12-22T08:00:00.005+01:00

El pasado 10 y 11 de Diciembre se celebró el evento IBWAS'09 (Iberic Web Application Security), en el que el tema principal era la seguridad en aplicaciones web. Esta iniciativa fué organizada por los capítulos tanto de España como de Portugal de OWASP, reuniendo a un gran número de protagonistas. De toda la agenda, lo más esperado era el último de los paneles, que consistía en una mesa-coloquio cuya temática giraba en torno a lo que deberían hacer los gobiernos en el 2010 en lo que concierne a la seguridad en aplicaciones web.

Es algo de lo que hablamos mucho por aquí: falta concienciación en general sobre este tema, y lo peor es que cada vez se confía más en dichas aplicaciones web para realizar muchas tareas importantes de nuestra vida que nos hacen ahorrar colas...pero...¿es preferible pedir una mañana libre y despertarse a las 6AM para coger número o ver como una inyección SQL en un parámetro consigue obtener todos los datos que guardas en una carpeta en el fondo de tu armario?

En ocasiones todo queda en multas, a salir en los medios (pero en la sección de tecnología ¿eh? que hay cosas más importantes por las que preocuparnos, como por ejemplo las narices de la gente...), a ser protagonista en posts de blogs con diferentes capturas de pantalla, tapando con spray negro del paint ciertas columnas de un dump de base de datos, pero a la semana siguiente...

Volviendo a la cuestión que se planteaba en el último panel de IBWAS antes de la clausura, se ha distribuido un comunicado de prensa por parte de la organización resumiendo las conclusiones a las que se llegaron y qué ofrece todo lo que rodea la iniciativa OWASP. No hay que invertir grandes sumas de dinero, tampoco hay que cuadrar mucho presupuesto en esas pestañas del Excel de las compañías que se destinan a tareas de formación: "simplemente", es bajarse un pdf/doc y visitar una wiki...He exagerado, pero ya me entendéis.

A continuación dejo dichas conclusiones:

1. OWASP incita a los gobiernos a trabajar conjuntamente para aumentar la transparencia de la seguridad de aplicaciones web, especialmente con respecto a los sistemas de salud, financieros y todos aquellos en los que la privacidad y confidencialidad de los datos sean fundamentales.

2. OWASP buscará la participación con los gobiernos de todo el mundo para desarrollar recomendaciones en la incorporación de requisitos especificos de seguridad de aplicaciones y el desarrollo de marcos adecuados de certificación en los procesos de adquisición de software en programas gubernamentales;

3. OWASP ofrece su ayuda para aclarar y modernizar las leyes de seguridad informática, permitiendo a los Gobiernos, los ciudadanos y organizaciones a tomar decisiones informadas acerca de la seguridad.

4. OWASP pide a los gobiernos alentar a las empresas para que adopten normas de seguridad de aplicaciones que, de ser implementadas, ayudarán a proteger a todos nosotros de las fallas de seguridad, las cuales podrían exponer información confidencial, permitirían operaciones fraudulentas e incluso incurrirían en responsabilidad jurídica.

5. OWASP se ofrece a trabajar con los gobiernos locales y nacionales para establecer tableros de comando de seguridad de aplicaciones que proporcionen una visibilidad en el gasto y apoyo a la seguridad de aplicaciones.

[+] Leer el comunicado de prensa completo

[+] Capítulo de OWASP España

[+] Listas de correo OWASP-Spain y OWASP-Spanish

Herramienta: Are you a Spammer?

2009-12-21T06:38:00.004+01:00

Tiempo atrás publicamos un post con diferentes buenas prácticas utilizadas para aumentar la probabilidad de que nuestros correos lleguen bien a su destino.

Los dispositivos antispam, en su misión de decidir si un correo debe clasificarse o no como aceptable y útil para un usuario, utilizan diferentes mecanismos y algoritmos para cumplir con su cometido. De las primeras cosas que éstos analizan es sobre lo confiable que es la IP que envía el correo. Para ello, se basan en consultar a diversos servicios online si la dirección IP a analizar está en una lista negra o no. Para que una IP aparezca listada en estos servicios, tiene que haber sido reportada/denunciada con mayor o menor acierto.

El aparecer en una de estas listas, suele empeorar la calidad del servicio de correos enviados por nuestra organización. En casos extremos, puede resultar en una denegación del servicio de correo saliente al 100% debido a que puede que el ISP puede tomar medidas drásticas bloqueando el tráfico del puerto 25 saliente. Llegado a este punto, los administradores de sistemas comienzan a buscar en diferentes servicios web que permiten ver si una IP en concreto está en algunas listas negras. La más completa que he encontrado es la de Whatismyipaddress.

En este caso, el análisis de las listas negras en las que se encuentra la IP se hace manual y voluntariamente cuando ya se ha degradado parcial o totalmente el servicio.

A fin de disminuir el tiempo de resolución de la incidencia, y porque como decía el doctor Ocaña, "Más Vale Prevenir", presentamos una herramienta que automatiza la comprobación con un número grande de listas negras conocidas (más de 90) basándose en el servicio ofrecido por Whatismyipaddress. La idea es poder lanzar vía línea de comandos y de forma periódica (lo normal y razonable sería al menos una vez al día, aunque en sitios en los que el correo sea de gran criticidad podría aumentarse la frecuencia) una herramienta que permita conocer cuanto antes que nuestra IP ha sido reportada como spammer. Para ayudarnos en esta tarea podemos utilizar amISpammer?.

El modo de funcionamiento es muy sencillo. Como único parámetro obligatorio hemos de pasar la dirección IP que queremos comprobar a amISpammer.pl. Si no le indicamos nada más nos mostrará por en el terminal las listas negras en las que la IP aparece como reportada.

Por ejemplo, tomando una IP listada en el SANS, obtenemos lo siguiente:
[root@Carmen ~]# amISpammer.pl -i 218.30.22.82 -v0 am I Spammer? 19/12/2009 (http://www.lorenzomartinez.es/projs/amispammer) By Lorenzo Martinez (lorenzo@lorenzomartinez.es)
blackholes.five-ten-sg.com red
no-more-funn.moensted.dk red
spam.dnsbl.sorbs.net red

Como se ve, aparecen tres listas negras con categoría "red", lo que quiere decir que está reportada.

Como parámetros opcionales se puede cambiar el nivel de detalle; con -v2 aparecen todas las listas que se comprueban sea su resultado "green" (not blacklisted), "red" (blacklisted), "blue" o "grey" (que la lista negra no está disponible en este momento. Con -v1 y -v2). Asimismo se pueden pasar más parámetros para hacer que envíe un correo con los resultados al terminar (esta funcionalidad sólo es válida con nivel de detalle mínimo, es decir, sólo cuando se detecta que la IP ha sido reportada en alguna lista negra). Esto es útil cuando se deja hecha una tarea en un cron para que se compruebe periódicamente y de forma desatendida. Por ejemplo:

30 4 * * * /usr/local/bin/amISpammer.pl -i 213.X.Y.Z -v0 -f root@sender.com -t root@recipient.com >> /dev/null 2>&1

Así, y en caso de aparecer en una lista negra, nos llegará un correo indicándonoslo para poder tratar la incidencia cuanto antes.

La herramienta ha sido desarrollada íntegramente en Perl, y comprobado su funcionamiento en Linux, Mac OSX y Windows (XP y 2003). Como dependencias, sólo en caso de querer envío de correos, necesitaremos el módulo Mail::Sender.

Queda en mi "To Do", hacer que la herramienta efectúe con threads las comprobaciones, en vez de hacerlas de forma iterativa. Quedo a vuestra disposición ante sugerencias para añadirle más funcionalidades a la herramienta.

Update: He subido la herramienta al repositorio de herramientas de SBD, así que la podéis descargar de aquí también.

El tío Malware viene a casa por navidad

2009-12-20T09:00:00.045+01:00

Se acerca la noche de navidad. Nos esperan unos días ajetreados buscando los preparativos para la cena y comprando los regalos para sorprender a nuestros familiares y amigos. Decoraremos la casa con motivos navideños, prepararemos la mesa, colocaremos los adornos bajo el árbol y también deberemos proteger nuestra red y sus componentes de los "intrusos" que querrán usarla.

Quién no tiene el típico familiar "store". Sí, aquel que dejó atrás sus tarrinas de DVDs y ahora va con su disco duro de 2 Teras bajo el brazo. Lo imaginas enseñándotelo y diciéndote "¿puedo pincharlo en tu PC para descargármelo todo? Esa imagen te horroriza, te sale urticaria sólo pensar en su disco duro infectado de malware. No olvides actualizar tu antivirus y activar las protecciones de seguridad al máximo nivel, ya que aunque te inventes la mejor de las escusas logrará conectarlo a tu PC.

Te comentan que tu suegro se ha vuelto moderno y se ha comprado un netbook. Ha oído decir en su oficina que le pueden robar su información personal y como sabe que eres informático quiere que le protejas su ordenador. !Qué mejor regalo! que tener preparado un DVD con herramientas como un AV, firewall, algún anti-rootkit. Así quedarás como el nuero simpático securizándole su máquina.

También puede venir a casa el tío Larry. Sí, aquel que te pide que le dejes un rato el ordenador para ver alguna paginita... te guiña un ojo y te sonríe. Sabes que deberías dejarle si no quieres que le cuente a tu suegra lo contento que te encontró el otro día cuando ibas de cena con tus compañeros del trabajo. Pero la idea de pensar que navegará por sitios donde hay más malware que imágenes de mujeres desnudas hace que se te ponga la piel de gallina. Para este tipo de personaje podríamos tener preparado un perfil de invitado con cero privilegios.

Durante estos días de preparativos no olvides todos estos pequeños intrusos que pueden aparecer el 24 por la noche en tu casa y querrán usar tu ordenador y tu red. La mejor opción sería decir "no", pero todo sabemos que es una palabra que a un suegro no se le debe decir, ya que en cuanto entran por la casa parece que nos han owneado. Y aunque nos digan que les dejemos nuestra clave, eso nunca! mejor tener un perfil de invitado y un buen antivirus para que naveguen un rato por la red.

Guía de Seguridad para la generación de CAPTCHAs

2009-12-18T07:45:00.005+01:00

Jonathan Wilkins (twt), consultor independiente, ha publicado una guía para la generación de CAPTCHAs seguros en la que se detalla y profundiza las principales debilidades y fortalezas de este sistema.

El documento, pese a que su contenido es un buen resumen, parece que es una excusa para presentar un análisis al sistema utilizado en reCAPTCHA, adquirido este mismo año por Google.

reCAPTCHA tiene por objetivo utilizarnos como OCR humano (al puro estilo Matrix), mediante la generación de CAPTCHAs obtenidos de origines como son libros o revistas que están siendo digitalizados y de los que algunas palabras no han podido ser detectadas completamente.

De esta forma, la imagen generada muestra dos palabras que han de ser introducidas para superar el test. Una de ellas es el CAPTCHA real que es creado en base a una palabra conocida. La restante, es generada en base a una palabra que no fué reconocida por el proceso de OCR y que se presenta con la intención de que sea el usuario quien reconozca los carácteres. Por lo tanto, solo es necesario escribir correctamente la real, siendo ignorada en la validación la otra.

El estudio de Jonathan Wilkins, al que ha acompañado una herramienta como prueba de concepto, evidencia que el uso de palabras de diccionario (en este caso en inglés) facilita la tarea de reconocimiento por parte de procesos automáticos, consiguiendo una tasa de acierto aproximada del 17.5%.

Google ha respondido a este documento insistiendo en que las pruebas se han llevado a cabo con imágenes del año 2008 que no incluyen nuevas características incluidas posteriormente, por lo que la efectividad para resolverlos automáticamente no está demostrada.

Armándonos para el ataque!! (2 de 2)

2009-12-17T06:39:00.004+01:00

Como decíamos en la anterior entrada, nuestra intención es unificar las herramientas existentes en diferentes distribuciones Linux especializadas en seguridad, en una sola. Habíamos elegido un entorno virtual para albergar dicha distro por limpieza y/o por incompatibilidad con el sistema operativo que utilizamos normalmente en nuestro portátil o en nuestro servidor que podamos en tener en un hosting.

El estado anterior es que partíamos de Samurai instalada en disco duro (de la máquina virtual), más los repositorios de Backtrack, y habíamos tenido la posibilidad de disponer e instalar diferentes herramientas de Backtrack mediante el gestor de paquetes Synaptic.

Pasos siguientes:

Actualizar la versión de Ubuntu (opcional). La última versión disponible hasta el momento de Samurai está basada en Ubuntu 9.04. El gestor de paquetes Update Manager y sus comprobaciones automáticas nos recomendarán actualizar a la última versión posible. En mi caso lo he hecho simplemente por contar con los últimos paquetes disponibles.

Metasploit: Este excelente framework de auditoría es uno de nuestros favoritos.Para ello he seguido los pasos que indicaban aquí, y sin mayores complicaciones he instalado la versión 3.4-dev. Si necesitas ayuda para aprenderlo a utilizar, te recuerdo que aquí tienes un curso online gratuito según nos informó Yago tiempo atrás

Wireshark: Otra herramienta imprescindible que si no se instala, por defecto no viene con Samurai (creo que sí con Backtrack). Tan sencillo como mediante Synaptic o línea de comandos "sudo apt-get install wireshark".

VNC: Si nuestra máquina virtual está en una máquina remota, sin sistema gráfico, exportar las X a nuestro PC de escritorio para según qué tipo de cosas puede ser un tanto desesperante (por experiencia propia). Se soluciona con "sudo apt-get install vino" y en el menú System -> Remote Desktop tendremos que configurar el servicio y la contraseña.

Extensiones Firefox: Al haber partido de la base de Samurai, el navegador Firefox que incluye viene con un montón de add-ons específicas para auditorías web (para inyección SQL o XSS, modificación de parámetros, cabeceras, cookies etc,...). Sin embargo, partiendo de la recopilación de extensiones recomendadas por Alex en la presentación a la UCA, añadiremos dos más: iMacros y Hackbar.

Arranque/Suspensión/parada de la máquina virtual desde el sistema operativo Host: Para no tener la máquina virtual arrancada permanentemente ocupando recursos de la máquina que la alberga constantemente, podría ser interesante levantar y apagar la máquina virtual mediante línea de comandos. De esta manera, teniendo acceso SSH a la máquina externa podemos suspender o reanudar la máquina virtual cuando sea necesario. Para ello se hace necesario instalar las vmware-tools en la máquina virtual. Como está Samurai está basada en Ubuntu, he seguido los pasos que se indican aquí. Finalmente, desde la máquina externa, y mediante línea de comandos mediante el vmware-cmd, ejecutaremos: "vmware-cmd /samba/vmware/Samurai/Samurai.vmx start/suspend" dependiendo de si queremos reanudar o suspender la máquina virtual.

He podido comprobar para usuarios del software de virtualización Parallels 5 para Mac (en una versión de evaluación), que mediante la herramienta de conversión Parallels Transporter, es posible y transparente importar la máquina virtual de vmware, simplemente hay que indicarle que es una Ubuntu al importar y todo el proceso irá sobre ruedas.

Hasta ahora, es todo lo que he añadido a este arma de auditoría/combate multipropósito. Recuerda que la utilización de algunas herramientas dispuestas en esta máquina virtual pueden ser peligrosas si no se tiene en cuenta el cumplimiento de las leyes de tu país y sobre todo, con sentido común. Recomendamos su uso con fines académicos y profesionales.

Quedo a vuestra disposición para recomendaciones y sugerencias.

Armándonos para el ataque!! (1 de 2)

2009-12-16T06:38:00.011+01:00

Tanto por nuestro trabajo, como por hobby o por inquietud personal, muchas son las ocasiones en las que nos sería útil disponer de una completa caja de herramientas de seguridad con las cuáles poder llevar a cabo una auditoría (en el caso laboral) o una... "auditoría" en el caso personal de alguna dirección IP que contenga los más variados servicios.

Debido a que en general, este tipo de herramientas suelen funcionar en Linux y, por políticas de seguridad corporativas o por gusto personal, los portátiles homologados en las compañías suelen ser Windows (o en algún caso Mac), es cada vez más común la utilización de LiveCDs especializados en diferentes campos que ponen a nuestra disposición dichas herramientas de hacking.

En SbD hemos hablado varias veces de algunas de estas distribuciones Linux como Samurai (especializada en auditorías web), Wifislax (auditorías wireless) o Backtrack (auditorías genéricas de red)... Incluso Laura hizo un recopilatorio de LiveCDs de seguridad basados en Linux, que tuvo bastante éxito.

La mayoría de dichas distribuciones funcionan arrancando desde un CD, pero poseen generalmente una forma de instalación sobre el disco duro por si queremos dedicar un PC en cuerpo y alma para hacer este tipo de actividades. En la misma línea y tanto para evitar tener que hacer particiones de discos o para evitar contar con una distribución Linux que sólo es buena para un fin, los profesionales de la seguridad, solemos crear máquinas virtuales sobre Windows, Mac o incluso otros servidores Linux con instalaciones compactas de las mencionadas distros especializadas.

Si contamos con una máquina Linux fija en algún servidor de hosting o nuestro propio portátil de trabajo lo es, el tener que instalar diversidad de herramientas que se puedan ir al garete en una futura reinstalación, un cambio de trabajo, una potencial pérdida del equipo o, el tener tus herramientas en máquinas virtuales que se puedan exportar y hacer backups en medios externos, aporta muchos beneficios.

Muchas de estas distros están basadas en Ubuntu, por lo que son compatibles entre sí. Gracias a ello, he querido hacer un recopilatorio de varias de estas distribuciones, en una sola, pudiendo contar con lo mejor de varias de ellas en un potente repositorio.

¿Sobre qué lo instalo?

Precisamente una de las metas es liberar mi máquina para todo uso, de tener que contar con herramientas de ataque/auditoría. Así pues, esa plataforma que cuenta con un sistema operativo Linux CentOS 4 con Vmware Server será la encargada de dar cobijo a la nueva máquina virtual.

¿Cuál es el objetivo?

Partiendo de la distribución Samurai Linux, comentada por Yago tiempo atrás, lo que haremos será hacer una instalación a disco (en una máquina virtual). A partir de ahí y una vez configurados los parámetros de red, añadiremos los repositorios de Backtrack 4. El siguiente paso es instalar aquellas herramientas que queramos de Backtrack, así como el framework Metasploit. Para poder arrancar y parar la máquina virtual desde línea de comandos desde la máquina de fuera, necesitamos tener instaladas las vmware-tools en la máquina virtual. Para control gráfico añadiremos VNC (o Vino para Gnome). Asimismo, añadiremos algunas extensiones Firefox que nos pueden ayudar y haremos un upgrade de versión de Ubuntu, quedándonos una distribución relativamente "portable", con todas las herramientas necesarias sin necesidad de ensuciar nuestra máquina original.

Pasos seguidos

Creamos una nueva máquina virtual. En mi caso, el hardware emulado fue: 512 MB RAM y 6 GB disco duro (aunque finalmente tiene ocupados 3,4 GB
Procedemos a Bactrackizar nuestra Samurai como comentaba Alex aquí. Para ello, editándolo con sudo, añadimos al fichero /etc/apt/sources.list la línea "deb http://repo.offensive-security.com/dist/bt4 binary/". El tip con los repositorios lo encontré aquí donde José Selvi nos explicaba como partir desde una Ubuntu para tener las herramientas de Backtrack.
Al actualizar la información de los diferentes repositorios mediante "sudo apt-get update" nos encontraremos con un error debido a que no tenemos la clave GPG necesaria. Para evitar este error ejecutaremos:

gpg --keyserver keyserver.ubuntu.com --recv 720DB78AC5717CD1
gpg -armor --export 720DB78AC5717CD1 | sudo apt-key add -

Finalmente el siguiente "sudo apt-get update" ya funcionará correctamente. Mediante la herramienta gráfica de gestión de paquetes Synaptic podremos seleccionar los diferentes paquetes de Backtrack que ahora aparecerán disponibles y serán completamente compatibles con Samurai.

Elegiremos aquellas herramientas que queramos y ya contaremos, de momento con una distribución excelente para hacer auditorías web más la potencia de las herramientas de Backtrack para auditorías de red.

Panda parte la pana

2009-12-15T07:26:00.000+01:00

Mucha gente suele criticar que en España, cuesta alegrarse de los éxitos patrios y que resulta mas fácil ensalzar los ajenos (preferiblemente si la empresa / persona tiene un nombre anglo-sajón)

Destruyendo un poco ese tópico hoy toca dar la enhorabuena a Panda Security por un excelente año lleno de éxitos y reconocimientos.

El curriculum es largo y sobre todo destacan dos premios por encima de todos, uno, a título individual, que ha ganado el CEO de Panda Juan Satana. Nada mas y nada menos ha sido seleccionado entre los 25 ejecutivos más innovadores del mundo, según CRN. ¿Quienes eran los otros 25? Desde el CEO de Twitter, el fundador de Ubuntu, el presidente de ASUS, gente de Google ... la lista completa aquí

El segundo premio, mas local, ha sido el Príncipe de Asturias a la excelencia empresarial.

Al margen de todo esto, también cabe señalar la excelente acogida que ha tenido su Cloud Antivirus y su compromiso con la iniciativa del CNCCS

Sin duda es muy muy bueno para España que haya empresas trabajando tan bien, innovando y creando oportunidades para la gente que quiera dedicarse a la seguridad y busque un entorno de alto nivel sin tener que marcharse al extranjero.

Enhorabuena Panda !

YASNP: Yet Another Social Network for Pedophiles

2009-12-14T09:00:00.036+01:00

Hace poco llegó a mis manos una noticia, en donde se comentaba que los federales habían detenido a un hombre de 40 años que tenía creado un perfil ficticio en una red social llamada Stickam haciéndose pasar por un joven de 17.

Se dedicaba a ligar con jóvenes menores de edad, haciéndolas creer que era su ciber-novio y animándolas a realizar actos sexuales en un vídeo chat privado, que posteriormente grababa y publicaba en una sección llamada "Anonib-Teens No Rules".

El FBI recolectó alrededor de 100 vídeos de niñas menores de edad a las que engañó con este pretexto. The New York Times ya había informado en julio del 2007 que esta comunidad social contaba con usuarios menores de 14 años que participaban en sesiones de vídeo chat las cuales no eran filtradas. Además la noticia señalaba que el principal dueño del site operaba una amplia red de sites porno con los que compartía espacio, empleados y sistemas con la red social Stickam.

En The Times comentaron que esta gente no entendía que había depredadores en Internet, y los responsables del site negaban haber eliminado miles de quejas de abuso sin leer o responder a ellas, afirmando que se tomaban muy en serio las cuestiones de seguridad y tenían un equipo dedicado a controlar y eliminar el material inadecuado.

Según responsables del site los vídeos de la víctima nunca fueron publicados en Stickam.com, contrario a lo que un agente del FBI escribió en la denuncia penal. Por mi cabeza han pasado muchas ideas y ninguna buena sobre los responsables de la red social Stickam y me niego a creer que no estuvieran al tanto de la situación.

Ya hablamos en este blog sobre la forma de actuar de redes de pedofilia, si los controles son suficientes y si evolucionan a la misma velocidad que los mecanismos que los ciberdelincuentes usan para evitarlos. Los controles de seguridad y privacidad en las redes sociales son de vital importancia y más cuando se atenta contra la seguridad de nuestros menores.

Los padres y educadores también juegan un papel muy importante, porque aún añadiendo controles, denunciando desde los medios la falta de seguridad en las redes sociales, siempre puede haber un eslabón que se nos escape. La educación sexual es una tarea muy importante que no debe ser tabú entre padres y menores, cuanta más confianza y educación haya, cuanto más respeto por su cuerpo tengan los menores, hacerles entender que uno/a no se puede sentar y enseñar su intimidad a todo aquel que pasa por la red, más seguros estarán de estos monstruos sin escrúpulos, que han visto en la redes sociales y los chats un medio donde pueden guardar su anonimato y tener acceso a los menores de una forma más fácil.

Top 7 de productos atacados 2009

2009-12-13T07:58:00.001+01:00

Ya están aquí las siempre tendenciosas 'listas de fin de año'. Se acerca el fin de Diciembre y supongo que desde ahora no pararemos de ver clasificaciones de todo tipo.

En este caso la gente de IndiaTimes (no confundir con el excelente blog Hacktimes) ha publicado una lista con el top 7 de productos que mas ataques han recibido.

Para cualquiera que siga Bugtraq no le sorprenderá esta clasificación, no obstante, es interesante ver a Windows (como sistema operativo) muy por debajo de lo que anteriormente nos tenía acostumbrados. Aunque en realidad, era de esperar

El Top 7 de la vergüenza:

Adobe Reader
Internet Explorer
Mozilla Firefox
Adobe Flash
Apple Quicktime
Microsoft Office
Microsoft Windows (el sistema operativo)

Como se puede ver, este año el carbón va directo a las oficinas de Adobe que, siendo una compañía de una dimensión mucho mas pequeña que Microsoft, ha conseguido superarla en cuanto a problemas de seguridad.

ISACA lanza Risk IT

2009-12-11T10:00:00.014+01:00

ISACA lanza Risk IT, el primer framework a nivel mundial relacionado con TI, que proporciona una visión global de los riesgos empresaliares asociados con las iniciativas de TI.

Este framework de descarga gratuita es un documento de 107 páginas basado en los objetivos de control (COBIT) para el gobierno de TI y proporciona el eslabón perdido entre la gestión de riesgos empresariales convencional y la gestión de riesgos de TI.

Mientras que COBIT ofrece un conjunto de controles para mitigar los riesgos de TI, Risk TI proporciona un framework que permite a las empresas identificar, gobernar y gestionar los riesgos de TI.

Podríamos decir que aquí mañana es un día ISACA, ya que tienen lugar los exámenes para CISA y CISM, desearos a todos los que os presentéis mucha suerte y que la fuerza os acompañe.

Abierto el registro para Rooted CON y RootedLabs

2009-12-10T08:00:00.004+01:00

Ayer miércoles 9 de Diciembre se abrió el proceso de registro para la Rooted CON 2010, mientras nos encontramos en pleno proceso de selección de papers que conformarán el horario final. Recordad que el plazo del Call For Papers finaliza el 20 de Diciembre, así que si aún estáis a tiempo para enviar vuestras propuestas.

Como os anunciamos por aquí a principios de Octubre, Rooted CON es un congreso de seguridad informática cuya primera edición tendrá lugar los días 18, 19 y 20 de Marzo de 2010 en Madrid, y que se compondrá de charlas sobre seguridad informática de contenido altamente técnico. Desde aquel momento, hemos conocido finalmete el lugar exacto dónde se llevará a cabo: El Auditorio del Centro de Convenciones Mapfre, del que podréis encontrar más información en esta página.

El precio regular de la entrada es de 50€, y en caso de ser estudiante 25€. A medida que pase el tiempo (cada mes), el precio de la entrada irá incrementándose, ¡por lo que conviene registrarse cuanto antes! En el propio formulario de inscripción se deberá indicar si se desea también apuntarse al concurso Capture The Flag que se celebrará los días del congreso.

También se anunciaron las acciones formativas denominadas RootedLabs, las cuales consistirán en unos cursos o "labs" que se celebrarán durante los tres días previos al congreso, los días 15, 16 y 17 de Marzo en la Calle de Cartagena, 70, en Madrid.

El horario de estas acciones será el siguiente:

Lunes, 15 de Marzo

Lab: Reverse Engeering - Rubén Santamarta de 48bits
Lab: Digital Forensics - Juan Garrido “silverhack” de Informática64

Martes, 16 de Marzo

Lab: Malware Analysis - Ero Carrera, de Hispasec Sistemas
Lab: Secure Enterprise WiFi Networks - Alejandro Martín de Informática64

Miércoles, 17 de Marzo

Lab: Pentesting - Alejandro Ramos “dab” de SecurityByDefault
Lab: Técnicas de Inyección en Aplicaciones Web - Chema Alonso de Informática64

Como podréis ver, tanto los profesores como la temática presentada son de verdadero lujo. Las plazas para cada lab están limitadas a 15, siendo el coste de cada uno 200€ + IVA. El proceso de registro a dichas acciones es independiente al del propio congreso, y podréis encontrar más información del registro a RootedLabs aquí.

Poco a poco se va desvelando más información de este congreso, y en los próximos días, nos irán llegando más noticias, así que como se suele decir en estos casos...stay tuned!

[+] Página de Rooted CON
[+] Sección RootedLabs

Mundo centralizado: riesgos al pedir una pizza

2009-12-09T06:42:00.004+01:00

Me ha llegado un correo que me ha hecho reir,... y además pensar. Evidentemente no es algo que pueda pasar o... que pueda llegarse a temer en España, donde la Ley Orgánica de Protección de Datos nos protegen de este tipo de incidentes ¿o sí?.

Por supuesto, la anécdota del correo es una exageración de lo que puede llevar la centralización y unificación de difernetes bases de datos y el cómo puede afectar el tener libre acceso a información personal y confidencial en algo tan inocente como pedir una pizza.

Ni que decir tiene que he sustituido los "datos personales" que aparecían en el correo por otros completamente inventados, incluso el de la pizzería (por si acaso esos no habían sido manipulados del todo y porque no queremos hacer ni buena ni mala publicidad a nadie).

OPERADOR: Gracias por llamar a Pizza Fail. ¿Puede facilitarme su Documento Nacional de Identidad?

CLIENTE: Este... es que yo solo quiero encargar una pizza...

OPERADOR: Pero para eso yo debo tener su Documento Nacional de Identidad.

CLIENTE: Bueno... mi número es... espere... 610 12345678 - 45 - 54610.

OPERADOR: Gracias, Sr López. Veo que usted vive en la C/Duque de Pastrana 33, 5ºA, su teléfono particular es el 915552233, su oficina está en Torre Picasso con teléfono 917778899, y su movil es el 666123456. Y usted está llamando, veo,.... desde su casa.

CLIENTE: Es realmente cierto... pero ¿de donde saca toda esa información?

OPERADOR: Es que estamos conectados a SITEL.

CLIENTE: ¿Y eso qué es?

OPERADOR: El Sistema Nacional de Seguridad. Esa conexión añade tan sólo 15 segundos al tiempo de cada pedido.
Bueno, ¿que pizza quiere?

CLIENTE: Quisiera dos de sus 'All meat special pizza'.

OPERADOR: No creo que sea una buena idea, señor...

CLIENTE: ¿Cómo? ¿Qué dice?

OPERADOR: Señor, sus informes médicos y otros sensores nos indican que usted es hipertenso, y lo que es más, su colesterol y triglicéridos ya duplican los valores aceptables. El Sistema Automatico de la Seguridad Social no nos autoriza a venderle algo que constituye para usted una elección muy peligrosa.

CLIENTE: Pero... ¿y que me recomienda?

OPERADOR: Lo ideal para Usted sería nuestra 'Low fat ' pizza de soja. Le aseguro que le encantará.

CLIENTE: ¿Y porque se imagina que eso puede llegar a gustarme?

OPERADOR: Es que vemos en pantalla que la semana pasada Usted consultó en una biblioteca pública el libro: 'Alubias de soja para el gourmet'. Por eso le sugerí la pizza de soja.

CLIENTE: Bueno, en fin.... Mándeme dos, de tamaño familiar.

OPERADOR: Perfecto. Eso será suficiente para Usted, para su esposa y sus dos hijos. Y las sobras servirán para alimentar a sus dos perros... El total son 49.99 €

CLIENTE: Bien, tome el número de mi tarjeta de crédito...

OPERADOR: Lo siento, señor. Deberá pagar en efectivo. Vemos que su crédito en la tarjeta VISA está totalmente excedido.

CLIENTE: No se preocupe, hasta que lleguen iré al cajero para sacar el efectivo.

OPERADOR: No creo que sea posible, señor. No podrá sacarlo pues también ya excedió el límite del efectivo disponible.

CLIENTE: Vengan igual. Tengo conmigo el efectivo necesario en casa. Y tenemos hambre, ¿cuanto demorarán?

OPERADOR: Estamos un tanto demorados, unos 55 minutos aproximadamente. Veo que está cerca, si usted quiere puede retirarlas personalmente, aunque ignoro si tiene ganas de cargar pizzas en una moto.

CLIENTE: ¿Y como sabe que no iré en mi coche?????

OPERADOR: Me aparece que, dado que usted se retrasó en el pago de las cuotas, su automóvil fue incautado por la financiera hace dos meses. En cambio su moto Harley ya está pagada y usted llenó el depósito ayer por la tarde.

CLIENTE: Pero, por que no se van a la m..#&%#º/()=@@|!!!!

OPERADOR: Yo le aconsejo, señor, que modere su lenguaje. Veo que fue denunciado por un policía de municipal hace 14 meses por insultarlo y.... ah, sí... veo que un juez lo condenó a pasar tres meses en prisión por igual delito... Y salió hace dos semanas... ¿Son estas las primeras pizzas que encarga desde que salió en libertad?

CLIENTE: .... (sin habla).

OPERADOR: ¿Algo más, señor?

CLIENTE: Sí. Tengo el cupón de una Coca Cola de 2 litros sin cargo al hacer el pedido superior a 30€...

OPERADOR: Lo siento, pero nuestro aviso, en la letra pequeña, incluía una cláusula que indicaba que estamos inhibidos de ofrecerle gaseosas a diabéticos, tal como la Constitución recién sancionada lo indica. Y usted aparece en un reciente chequeo con un principio de diabetes.

CLIENTE: tut-tut-tut-tut....

Simplemente si al dar tu DNI a una operadora de la pizzería (primer error del que prometo escribir en otro post) te da más información de la que tiene sobre tí el CNI,... lo siguiente es colgar el teléfono, acercarse al supermercado, pagar en efectivo y cocinarla en el horno de casa. Después de comer, con toda tranquilidad buscar un vuelo de solo ida a otro país donde la civilización no haya llegado aún.

SbD y el manifiesto

2009-12-09T01:39:00.000+01:00

El otro día, tal vez, nos apresuramos a publicar en este blog el famoso manifiesto que se creó a partir del nefasto anteproyecto de ley de economía 'sostenible'

Cuando leímos un articulo en el blog de José María, donde daba su opinión personal y recopilaba unos cuantos enlaces discrepantes con el manifiesto, hemos pensado que tal vez, merece la pena explicarlo un poco.

En algunos sitios se habla de aborregamiento, del todos a una en masa iracunda sin calibrar de lo que se está hablando, en otros lados dicen que esto es una movilización 'anti medidas contra el p2p' ...

Pues toca explicar los motivos de la adhesión de este blog a ese manifiesto. Para empezar, ignoro si se podía haber hecho mejor o peor, si el texto, en manos de otras personas, hubiera sido mas certero, pero todo eso son cuestiones menores, es innegable que unas personas se tomaron la molestia de presentar 'la batalla' consiguieron apoyos y crearon un estado de opinión. En ese punto, pararse a pensar en disquisiciones sobre si me caen mejor o peor esas personas o si falta / sobra un punto, creo que son detalles menores.

El segundo punto, el del p2p y que todo esto se hace para que no se pongan cortapisas al intercambio de contenidos, en nuestro caso no aplica, a nuestro juicio, el tema va mucho mas allá, en el momento que se pone al servicio de 'alguien' una herramienta de censura eliminando el control judicial que cualquier democracia requiere, nos supone un problema.

Y es que, como bien explica Ramón Muñoz, lo que se ha hecho ha sido reformar la LSSI añadiendo el fatídico punto de la propiedad intelectual y la capacidad de cierre por parte de un órgano competente.

No olvidemos que la LSSI contemplaba anteriormente los siguientes puntos de 'posible cierre':

Salvaguarda del orden público, La investigación penal, la seguridad pública y la defensa nacional
La protección de la salud pública
El respeto a la dignidad de la persona y al principio de no discriminación
La protección de la juventud y de la infancia

En este blog hemos sido bastante activos a la hora de publicar información que, posiblemente, no sea del agrado de algunas personas, tanto españolas, como extranjeras. Tampoco nos ha faltado rigor cuando hemos tenido que entrar 'a saco' con la administración aunque, en contadas ocasiones, nos hemos cortado un poco mas.

Y la verdad es que nos encanta poder criticar aquello donde encontramos que se puede mejorar sin tener la preocupación de que alguien puede coger un teléfono, hacer una llamada y en cuestión de horas, sin mas explicación, que este blog quede clausurado.

Tal vez exagero (pensaran algunos) y muy posiblemente en el actual escenario, así sea, no somos tan ilusos de pensar que esa ley no esta hecha ad-hoc para cerrar cierto tipo de portales, pero nos preocupa que ese resquicio quede ahí y aunque ahora no se tenga en mente emplear ese resquicio para otros fines, supone un peligro a largo plazo.

Pastebin, fuente de noticias.

2009-12-08T08:20:00.001+01:00

"Un pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general.", así define la Wikipedia el tipo de aplicaciones como pastebin.com, que tienen por objetivo el intercambio rápido de información entre usuarios de una misma comunidad.

Recientemente lo he estado utilizando para leer el código fuente de una aplicación escrita en Java (¡¡qué cosas aprende uno!!) y pensé en hacer un pequeño script que fuera descargando todo lo que otros usuarios copian para cotillear un poco :-/, ¿versión SbD de Gran Hermano?

La idea no es nueva e incluso hay un blog llamado pastebinfail.com que recoge y comenta algunos ejemplos como: el código de un keylogger, la configuración de un linux para su wifi con clave incluida, credenciales de un MySQL en un php o exploits falsos que borrarán nuestro sistema.

Para poder descargar todos los archivos y poder tener mi propio pastebinfail, escribí un script en bash. Para que funcione ha de estar siempre en ejecución y monitoriza los cambios en la webs, almacenando los archivos subidos en un directorio especificado.

Después de eso... que cada uno haga los oportunos filtros que prefiera, por ejemplo cadenas del tipo: password, passwd, root:x:, visa, mastercard, connect, localhost, exploit, shellcode, megaupload, imageshack...

Ahora unos ejemplos que he visto durante unas horas:

El mejor código perl: http://pastebin.com/m4003c603

Credenciales: http://pastebin.com/d6d0e1053

Usuarios y contraseñas de ... vete tú a saber dónde: http://pastebin.com/m43cfd342

Más credenciales en un fichero de configuración de streaming: http://pastebin.com/m40e519b8

Algunos usuarios y contraseñas más: http://pastebin.com/[CENSORED]

Otros cuantos! http://pastebin.com/[CENSORED]

Hay muchos más ejemplos, con tarjetas de crédito incluidas, que no merece la pena mostrar.

Está claro que varias personas observan estos servicios que deben de usarse únicamente para información pública. Además, en el caso de pastebin.com permite la eliminación de lo copiado una vez que sabemos que el destino lo ha leido o descargado.

Casi 8 apuntes sobre la noticia de Bitlocker y su seguridad

2009-12-07T00:06:00.002+01:00

Mediante una noticia en meneame.net titulada: "Crackean la seguridad de Bitlocker (cifrado del disco duro) de Windows 7", llego a la entrada original con el mismo título en MuyWindows.com, donde aseguran que el sistema de cifrado BitLocker utilizado en Windows 7 ha sido "crackeado" (que yo entiendo que quieren decir "roto") por una herramienta de recuperación de contraseñas llamada "Passware Kit Forensic 9.5" de la compañía Passware.

De esta noticia quisiera hacer algunas aclaraciones, que creo se han de tener en cuenta antes de recomendar a nuestros primos que dejen de usarlo:

Si no han cambiado un "jnz" por un "nop" o similar, mejor evitar el termino crackear. ¡Gracias!
Bitlocker es un sistema utilizado desde Windows Vista (también el 2008) y el problema no solo afectaría a Windows 7.
La utilidad para "crackear" Bitlocker de Passware, no corresponde únicamente a su aplicación "Kit Forensic", sino que además se podría adquirir bajo el producto Passware Kit Enterprise.
La noticia también debería contemplar el mismo problema en el cifrado de PGP, por lo menos es lo que dice la nota de Passware.
El cifrado no está crackeado (ni roto), únicamente es una implantación de un ataque conocido (Febrero del 2008) y que ha afectado a muchas otras aplicaciones de cifrado bautizado como Princeton Attack. Este mismo ataque afecta a dm-crypt de Linux, TrueCrypt o FileVault, por nombrar unos cuantos.
La implantación tampoco es la primera vez que se hace: http://data-at-rest.com/2009/07/13/bitlocker-attack-coldboot-warmboot-any-boot-key-expension-revealer/print/
Para que tenga éxito este ataque es necesario tener acceso físico al sistema y volcar su memoria RAM de la que posteriormente será extraída su contraseña.
Me encantaría llegar a 10 pero creo que estas 8 son suficientes!

Referencias:

Black Hat Europe 2010: abierta inscripción y CFP

2009-12-06T09:00:00.031+01:00

Como ya os comunicamos en SbD, la Black Hat Europe 2010 no tendrá lugar en Amsterdam, ciudad de canales, puentes y coffe-shops, sino que han elegido la cosmopolita ciudad de Barcelona para albergar este gran evento de seguridad.

Esta semana han anunciado que se ha abierto el plazo de inscripción y los Call For Papers (CFP) que serán admitidos hasta el 1 de marzo 2010.

Si tienes alguna herramienta innovadora, has descubierto alguna vulnerabilidad, envíales tu CFP, o si simplemente te apetece asistir, puedes ir registrándote.

Para no perderte ni un sólo detalle de sus eventos puedes seguirlos vía RSS, por Twitter, Facebook o LinkedIn.

Firefox y el malware

2009-12-05T11:31:00.005+01:00

La compañía de soluciones software Symantec, especializada en productos de seguridad ha publicado un interesante estudio sobre Firefox y el malware. Centrándose en las extensiones maliciosas, que desde 2006 han ido apareciendo para este navegador.

El documento introduce el funcionamiento y composición de las extensiones, para luego analizar que riesgos existen con ellas: actualización falsa, infección no intencionada, extensiones ocultas, ofuscación, modificación de otras extensiones (hijacking), modificación de la apariencia del navegador o extensiones vulnerables.

Finalmente, se exponen y comentan como ejemplo 8 de ellas: JS.FFSniFF, Trojan.Brojack, Infostealer.Snifula, Adware.Mycentria, MyWebSearchToolbar, Trojan HAnambot, Adware.Purityscan y Trojan.Chormeinject.A

Los tiempos en lo que el malware era un problema exclusivo de Internet Explorer y los BHO son pasado. Ya es posible comprometer otros productos como Firefox, que con un 22% de usuarios se convierte en un navegador atractivo. Otra cualidad de este tipo de malware es que diseñado correctamente puede ser multiplataforma y podrá ejecutarse sobre cualquier sistema operativo que soporte el navegador.

Evento: Blogs & Oracle

2009-12-04T06:38:00.002+01:00

El departamento de comunicación de Oracle ha puesto en marcha una nueva iniciativa denominada Blogs & Oracle, para transmitir su visión sobre las tendencias del sector y además tener en cuenta las opiniones de algunos de los principales bloggers en España que escriben sobre desarrollo de software y aplicaciones, entre otros temas.

Por ello han invitado de forma seleccionada a un conjunto de bloggers españoles (aunque alguno escriba en inglés) relacionados con el mundo Internet, Java, sistemas operativos, administración de sistemas, Oracle.... y seguridad, claro está.

Por nuestra parte, hemos disfrutado de una interesantísima reunión/tertulia/debate (con ágape incluido) con los diferentes invitados, así como los organizadores del evento.

Históricamente se considera que Oracle es una compañía que vende un robusto y pesado SGBD; compañía americana, que dedica sus esfuerzos (como todas) a generar ingresos a sus inversores. Sin embargo, este tipo de evento dedicado a bloggers ha sido impulsado gracias a un blogger (Jaime Cid) empleado de la compañía, que mantiene su blog precisamente sobre aspectos relacionados de Oracle y desde el cual se demuestra que esta empresa no sólo vende bases de datos.

La verdad es que en ningún momento nos han hecho una presentación de sus productos ni se trataba de una maniobra de marketing encubierta (ay qué tiempos de esos panfletos publicitarios que llegaban al buzón de casa en los que te prometían un reloj o una cubertería después de aguantar una chapa tremebunda...). Se veía realmente un interés por parte de los representantes de Oracle (y en definitiva de la compañía) por conocer, por parte de diferentes bloggers, expertos en tecnología e Internet en general, la opinión que tenemos sobre una compañía que de un tiempo a esta parte ha duplicado su staff mediante la compra e integración en cartera de productos a más de 50 empresas.

Desde SecurityByDefault nos gustaría agradecer la invitación a dicho encuentro, resultando una experiencia muy agradable la de compartir los diferentes puntos de vista sobre el futuro de Internet, de los Sistemas Operativos, Cloud Computing y privacidad, con el resto de asistentes.

Mercadillo de exploits

2009-12-03T08:05:00.003+01:00

Ya os hemos comentado anteriormente que milw0rm no atraviesa su mejor momento. A su creador str0ke lo mataron virtualmente y el repositorio no se actualiza, aunque hubo una primera "intentona" cuando anunció que no seguiría adelante con el proyecto. Un grupo de colaboradores tomó las riendas, incluso surgieron los primeros mirrors por el miedo a que desapareciese cualquier día, pero ya desde el 21 de Septiembre no hay más aportaciones. Nos quedamos con su archive en tar.bz2 de casi 8Mb.

El grupo Offensive-Security (sí, os suenan del curso gratuíto de Metasploit Unleashed) anunció en su blog a mediados de Noviembre que había puesto en marcha el proyecto Explo.it, que se basaba en recrear la base de datos de milw0rm y que, a partir de ese instante, aceptaría aportaciones.

El verde daba paso al naranja, lo único que necesitábamos era actualizar los favoritos/feed RSS para poder estar al tanto de los últimos exploits que irían apareciendo. Todos agradecemos el esfuerzo por seguir con una iniciativa así, pero yo de momento echo de menos la sección de vídeos...esperaré mientras visitando el proyecto SecurityTube.

Estar al tanto de la seguridad y sus herramientas es muy importante, te pasas un día sin conectarte ¡y de repente te enteras de que hay hasta un exploit local para conseguir rootear FreeBSD! Pero la semana pasada también pudimos comprobar como sigue habiendo mucha gente que no está tan al tanto o a la última como debería, ahí con sus IIS 4.0 y todo. No siempre tenemos porqué enfrentarnos a sistemas, aplicaciones y demás que cuenten con su software actualizado completamente a la última. "Señor, va bien con lo que tenemos, ¿para qué actualizar? No necesitamos nuevas funcionalidades, hágame caso...¿un café?"

El archivo de milw0rm (ahora exploit-database) contiene exploits hasta de los '90 (de la categoría remoto por ejemplo, el primero que encontramos es de 1997, de local el primero es del 1 de Enero de 1996 y que provocasen denegación de servicio o DoS tenemos el ping de la muerte del '96...), por lo que podríamos decir que estamos bien servidos, pero os dejo a continuación una pequeña lista (rescatada de unos antiguos favoritos...) con otros sitios web que en su época pretendían recopilar y clasificar también, según varios criterios, estas líneas de código fuente para comprobar la seguridad de los servicios.

Dejo únicamente las que siguen accesibles, eliminando las que hayan pasado a ser de pago y que ahora sólo dejen ver el advisory de la vulnerabilidad :

AnySide - China, no clasifica pero recopila un buen número de exploits y se sigue actualizando, aunque lo hace mediante un bot que rastrea otros lugares.
Web-Hack.ru - Rusa, pero lo que nos interesa ya sabéis que no entiende de idioma.
USSRBack - Cuenta a su vez con varias recopilaciones en base a sistema operativo, servicio y fecha. Además, incluye el archivo de exploits de la desaparecida OpenSec.
PacketStorm - Creo que sobran las palabras...desde el '98 dando guerra por todo el mundo, con sus .tgz mensuales de exploits.
SecurityVulns - Buen portal recopilatorio también de vulnerabilidades, con información básica sobre ellas y sus enlaces pertinentes. ¿Os suena?
ExploitTree - Proyecto ambicioso con el cual se pretendía recopilar todos los exploits posibles actualizando directamente un repositorio CVS. Incluso se llegó a publicar una beta de un Framework de explotación. ¿Os suena también?

¿Teníais alguna página más, que se encuentre operativa y no con un aviso de "dominio en venta" o "el host no existe"?

Manifiesto “En defensa de los derechos fundamentales en internet”

2009-12-02T16:29:00.004+01:00

A estas horas del día muy probablemente ya habras leído sobre el famoso "Anteproyecto de Ley de Economía sostenible" que pretende aprobar el gobierno de España encabezado por José Luis Rodriguez Zapatero.

Ese anteproyecto con nombre tan 'buenrrollista' esconde un buen numero de directrices que cercenan claramente la libertad que tanto ha costado conseguir en Internet.

Desde SbD, entendemos que sobre-regular Internet y tratar de convertirlo en un instrumento al servicio de unos cuantos en detrimento de la mayoría es un grave error, por tanto, nos adherimos al manifiesto que cito:

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial – un organismo dependiente del ministerio de Cultura -, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

La posible migración a SMF de elhacker.net

2009-12-02T09:44:00.005+01:00

Elhacker.net mantiene un foro del que en alguna otra ocasión ya hemos hablado (recopilación de foros de seguridad).

Según comentan en un correo publicado en Full-Disclosure, están pensando migrar la plataforma a otra versión. En concreto SMF2 , pero antes de llevar a cabo este cambio han hecho un profundo análisis de seguridad de su código fuente. Del que han obtenido y reportando más de 40 vulnerabilidades de distintas criticidades.

Entre las más importantes se encuentran ejecución remota de código PHP (para administradores del foro), elevación de privilegios o robo de sesiones.

Del excelente trabajo de los integrantes de SimpleAudit, que comenzó a mediados de Octubre, miles de usuarios de este software se verán beneficiados. Además, todo bajo una metodología de publicación responsable, puesto que ya existe una nueva versión de este software que soluciona los problemas encontrados.

Que una organización sin recursos económicos haga este tipo de actividades únicamente por su propia seguridad, además de ser ejemplar, le hace a uno replantearse como es posible que grandes compañías aún cometan los mismos errores una y otra vez y no ejecuten ni una revisión rápida de sus aplicaciones antes de su salida a producción (ya sea de código fuente o en caja negra)

Desde SbD... ¡Enhorabuena chicos!

Boletín Enigma número 72

2009-12-01T08:26:00.000+01:00

Hoy me ha llegado vía correo electrónico el boletín enigma número 72 escrito por mi siempre admirado Profesor Arturo Quirantes. El boletín (para el que aun no lo conozca) es una publicación en castellano altamente recomendable sobre criptografía que mantiene Arturo desde el 2002.

La publicación, que conserva su formato original (lista de correo) siempre contiene información interesante sobre temas relacionados con seguridad y criptografía a todos los niveles, desde noticias generalistas a cosas mas 'bajo nivel' .

En este numero, a parte de hablar del famoso bug del SSL también se puede encontrar un par de artículos sobre seguridad en dispositivos médicos (marcapasos) en el que se aborda la problemática -obvia- de los dispositivos de nueva generación que permiten enviar y recibir información del paciente.

El único pero al boletín es que el último numero no es todavía público (entendiendo por público, disponible vía web) y para recibirlo hay que suscribirse enviando un correo a la dirección alta@cripto.es y poner en el subject del mensaje alta_enigma

Tal vez el modelo de distribución no sea muy '2.0' pero dado que lleva funcionando desde el 2002, no seré yo quien ponga pegas

La alternativa de Netstumbler: inSSIDer

2009-11-30T07:50:00.001+01:00

Después del abandono de la popular herramienta Netstumbler para búsqueda de señales Wireless en entornos Windows, era necesaria la creación de una nueva que además soportase Vista y 7, así como XP en su versión de 64bits.

Con este propósito el año pasado se creo inSSIDer, una aplicación algo desconocida con funcionalidades similares y que continúa su desarrollo open source bajo licencia Apache 2.0.

Entre sus características más destacables se encuentra:

Soporte para Vista/7/XP en sus versiones 32 y 64bits.
Uso de la API nativa de Wifi.
Agrupar en base a Mac/SSID/Canal/RSSI o "última vez visto".
Compatible con GPSs que usen NMEA v2.3.
Exportación de la información GPS/Wifi a archivos KML de Google Earth (muy vistoso!)
Exportación a ficheros de Netstumbler.
Filtrado de puntos de acceso.
Seguimiento de la potencia en dBm.

Actualmente la última versión es la 1.2.3.1014 y se puede descargar desde: http://www.metageek.net/products/inssider/download