Fing, análisis de red local multiplataforma

En uno de mis paseos por la red me encontré con esta herramienta que hará las delicias de muchos de vosotros. Fing es un escaner de red multiplataforma que nos permite elaborar un mapeado de la red a la que estamos conectado de una forma muy sencilla y visual. Esta herramienta es multiplataforma y gratuita pudiéndose utilizar tanto en sistemas operativos de escritorio como en terminales móviles. 

Una de las cosas que mas me llamó la atención de Fing es la sencillez de uso así como toda la información que aporta de cada dispositivo conectado a una red. Además dispone de un escaner de servicios disponibles, pudiendo conectarse a través del puerto 445 a través de una tercera aplicación o la posibilidad de realizar una análisis de un rango de ips externo.

La mayor ventaja en mi opinión es la comodidad que aporta el tener esta aplicación en el teléfono, pudiendo hacerse con mucha información pasando desapercibido durante un test de intrusión.

Si queréis probarla solo tendréis que descargar la versión que mas se adapte a vuestras necesidades desde la página oficial y empezar a trastear con ella.

Ya nos contaréis vuestras opiniones.

Saludos

Recopilación de VM's y WebApps vulnerables para entrenamiento

Una de las mejores formas de aprender es recrear escenarios reales y llevar a cabo intrusiones sobre ellos, en esta tarea un buen recurso son las imágenes preconfiguradas que hay a nuestra disposición en la red, para todos aquellos que están dispuestos a ponerse manos a la obra va dedicada esta entrada.

Todo lo que necesitas es un programa de virtualización - VBox o VMWare por ejemplo -, un servidor web, paciencia y muchas ganas.

Vamos con la lista:

Metasploitable

Ya hablamos de él en una entrada anterior, Metasploitable es una imagen creada por el equipo de Metasploit sobre Ubuntu donde se han preconfigurado una serie de servicios como Tomcat, Tikiwiki o MySQL para llevar a cabo tests de intrusión.

Link: Descarga aquí

Metasploitable 2

Se trata de una evolución de la imagen anterior con mas vulnerabilidades añadidas.

Link: Descarga aquí

Lamp Security

Lampsecurity consta de una serie de imágenes dedicadas al entrenamiento en seguridad de linux, php, mysql y apache. Además en la web tenéis a mano documentación para no perderse por el camino.

Link: Descarga aquí

Moth

Moth es una imagen dedicada al aprendizaje de seguridad de aplicaciones web. Integra PHP-IDS y mod-security para ayudar al alumno a entender como funcionan los firewall de aplicaciones webs.

Link: Descarga aquí

Damn Vulnerable Linux

DVL integra todo lo que un sistema inseguro debe tener, configuraciones pobres, servicios desactualizados y software explotable para deleite del estudiante.

Link: Descarga aquí

PwnOS

Como su propio nombre indica es una distribución preparada para la intrusión, la finalidad es conseguir acceso root a traves de uno de los multiples puntos de entrada disponible.

Link: Descarga aquí

DVWA

Damn Vulnerable Web App es una aplicación web que podeis desplegar en un servidor web local, tiene diversos niveles de dificultad y podréis entrenar vuestras habilidades con numerosos ataques web como LFI, RFI, XSS, XSRF o SQLi.

Link: Descarga aquí

Gruyere

Es una aplicación de Google que te da la posibilidad no solo de aprender diferentes ataques web sino tambien de como defenderte de ellos. 

Link: Accede desde aquí

webgoat

webgoat es una aplicación construida en J2EE y provista por OWASP que te guiará a traves de diferentes retos simulando escenarios reales mientras aprendes los diferentes tipos de ataques existentes en la web.

Link: Descarga aquí

Aquí lo dejamos por hoy, existen muchos mas entornos de entrenamiento pero las dejaremos para una futura entrada. Si creéis que nos hemos dejado alguna imprescindible no dudéis en dejarlo en los comentarios.

Resumen de la semana VI

Como cada fin de semana es hora de recopilar las noticias y novedades mas destacadas de los últimos siete días y dar paso a una nueva semana con nuevos - e interesantes- posts.

1. En primer lugar me gustaría destacar el proyecto que está sacando adelante la gente de hackaserver.com, su nombre es CTF365 - acrónimo de Capture The Flag 365- y la manera mas rápida de describirlo sería un MMO para hackers, utilizando entornos reales y campañas definidas para luchar entre los jugadores. En ShellShock Labs hicimos un primer resumen de este proyecto y mas adelante actualizaremos con mas novedades desde "el frente".
   
   
2. Una buena noticia para los usuarios de Facebook - en Norteamérica por ahora - es que han implementado el protocolo https por defecto.
   
   
3. Dos servidores de desarrollo del proyecto FreeBSD fueron comprometidos esta semana y como medida de precaución se recomienda reinstalar de cero los entornos que pudiesen haber descargado código modificado. Podéis leer el reporte aquí.
   
   
4. Una nueva noticia de ciberespionaje político a saltado a la palestra - y otra vez de la mano de EEUU - al parecer a la administración Obama le interesaba conocer datos de Sarkozy antes de las elecciones francesas de 2011. Podeis leer un resúmen aquí.
   
   
5. Tras los supuestos 44 millones de ataques sufridos por Israel y la amenaza de éste de cortar Internet en Gaza, desde Anonymous - como ya se hizo en Egipto - han publicado comunicados para restablecer los servicios a los ciudadanos. Podeis echar un vistazo a los comunicados aqui: Pastebin y AnonPaste

Instalar Metasploitable en Virtual Box

A raíz de una pregunta que me hicieron hace unos días hice este tutorial para crear un laboratorio de pruebas con Virtual Box y Metasploitable. La instalación es muy sencilla por lo que en unos minutos podéis tener vuestra máquina lista para trastear.

1. Descargar Metasploitable a través de este enlace (Torrent).
   
   
2. Descomprimir el archivo ZIP descargado.
   
   
   

   
   
3. En Virtual Box crear una nueva máquina virtual seleccionando como sistema operativo "Linux" y versión "Ubuntu"
   
   
   

   
   
4. Asignar la memoria RAM, en mi caso 1024MB.
   
   
5. A la hora de seleccionar un disco duro de arranque, seleccionamos la opción "Usar un disco duro existente" y seleccionamos el archivo Metasploitable.vmdk que descomprimimos en el paso 1.
   
   
   
   
   
6. Finalmente creamos la máquina virtual y la arrancamos. Los credenciales por defecto son msfadmin:msfadmin

Y ya la tenéis instalada y lista para empezar con vuestras pruebas. Por último os recomiendo seguir este completo tutorial de offensive-security, Tutorial Metasploit + Metasploitable.

Como siempre si teneis cualquier duda podéis dejarla en los comentarios.

Un saludo.

Capture The Flag 2013

Es hora de preparar las armas, equipar nuestros entornos y agilizar nuestra imaginación para lanzarnos a la aventura en esta lucha internacional.

CTF trata de simular entornos reales donde los participantes deberán poner a prueba sus habilidades tanto ofensivas como defensivas. Cada participante debe registrarse en la plataforma de CTF365 y formar equipo con otros participantes para defender su fortaleza que se tratará de un servidor propio con unos requisitos mínimos. Las armas a usar serán a libre elección de los participantes, nmap, Nessus, Backtrack, Metasploit o lo que se desee. Según los organizadores comentan en su blog este wargame es el WoW de los hackers e intentarán aplicar el mínimo de reglas posibles para simular el mejor entorno de ciberguerra.

Las normas son simples:

1. El combatiente: Un usuario registrado en la plataforma.El combatiente debe declarar por que país está luchando, solo podrá formar parte de un equipo a la vez pero podrá unirse a otros siempre que abandone el anterior.
   
2. El equipo: Los equipos tendrán un numero minimo de 5 combatientes y un máximo de 10, que dará la flexibilidad suficiente para el ataque y la defensa. Cada equipo empezará con una fortaleza - servidor -.
   
3. Alianzas: Los equipos pueden realizar alianzas entre sí, si un equipo consigue la victoria sobre otra fortaleza los puntos van para el equipo al que pertenece, a no ser que la alianza haya sido declarada en la plataforma CTF en cuyo caso los puntos irían para los equipos pertenecientes a la alianza.
   
4. La fortaleza - tu servidor - : La fortaleza es el servidor que los combatientes deberán defender. Los requisitos mínimos son:
1. Cada fortaleza debe estar corriendo los servicios mayoritarios como SMTP, IMAP, FTP, etc. -Habrá una lista mas detallada-
2. Deberá instalarse al menos un CMS con plugins específicos.
3. La fortalezá deberá tener al menos dos navegadores instalados - punto a aclarar en un futuro -
4. Deberá correr al menos 3 aplicaciones web.
5. Deberá tener al menos dos bases de datos corriendo.

Durante el juego habrá diferentes campañas y premios que serán definidos a la hora de definir cada una. Si estáis interesados en participar podéis registraros desde la web oficial:

Página oficial CTF2013

Y para seguir las noticias seguid el blog de la plataforma:

Blog CTF2013

Si estas interesado en participar háznoslo saber en los comentarios, quedan 42 días.

¡Un saludo!

PD: Si queréis uniros a través de nuestro enlace referido podéis hacer click aquí, con ello conseguiremos acceso a la beta para contar el funcionamiento de primera mano.

Resumen de la semana V

Otra semana mas toca mencionar las noticias mas relevantes que semana:

1. Para deleite de todos esta semana se han publicado los vídeos de la Defcon 2012 que podéis disfrutar en la página oficial: Videos Defcon XX
2. El fallo de Skype que permite resetear la contraseña a terceros (Solucionado)
3. La NASA se decide a ecriptar sus portátiles tras el robo de uno de ellos.
4. Social Lab, el wargame social para probar tu nivel de ingeniería social.
5. Presentan el primer malware para Windows Phone 8
6. Hack.me recopila aplicaciones vulnerables y retos para que des rienda suelta a tus habilidades.
7. Las técnicas de Obama para conseguir votos a través de facebook, una lectura totalmente recomendable.

THN desvela XSS en Google

La historia de hoy viene de la mano de Mohit Kumar, fundador de The Hacker News. Según cuentan en la entrada en su página, Kumar reportó el 11 de Septiembre al programa de recompensas de Google una vulnerabilidad de Cross Site Scripting en el dominio googleusercontent.com a lo que el equipo de Google respondió que se trataba de un sandbox y no existían datos del usuario en él por lo que descartaron el aviso.

Un tiempo mas tarde, otro hacker búlgaro llamado Keeper contactó a Kumar para comentarle que la vulnerabilidad seguía activa y que tras avisar repetidas veces a Google no lo habían resuelto, por lo que Kumar optó por publicar su PoC de la vulnerabilidad para presionar a Google a corregirlo.

A coninuación podeis ver la POC:

1. Página de phishing en Google aqui.
2. El usuario llega a una página alojada en un dominio google.com/...
3. Usando el XSS crea un popup para engañar a la víctima
4. El formulario de login es creado con los servicios de Google apuntando a un servidor malicioso.
5. Una vez el usuario introduce sus credenciales son enviados al atacante/aquí

Ya estan disponibles las conferencias de la DEFCON XX

DEFCON XX

Ayer por la noche se publicaron en la página oficial de la DEFCON los recursos de las conferencias de la vigésima edición de esta conferencia.

Podéis encontrar los vídeos siguiendo este link: Videos en la página oficial

O para mayor comodidad ir al post publicado por CyberHades donde los recopila todos en un solo post:
Recopilación vídeos DEFCON CyberHades

¡Que los disfrutéis!

La web del senado ya está online y con errores

Hace horas que la polémica web del senado está online y por lo que se puede observar las prisas no son buenas. En las primeras horas de vida la página era víctima de un DDoS debido a la afluencia de gente que esperaba ansiosa conocer en que se habían desperdiciado 500.000€. Poco después en Twitter aparecían multitud de defaces - client-side - de la web debido a un incorrecto filtrado de inputs de los usuarios.

Defaces client-side en senado.es

Poco tardaron en corregir este error, pero siguen existiendo a lo largo de toda la web y con una simple búsqueda podemos encontrarnos con multitud de errores de filtrado y la simple inexistencia de estos.

<input type="text" id="query" name="query" size="40" value=" NOMBRE:&quot;"><h1 style=font-size:50px;>ShellShockLabs</h1><a&quot;" />

Esto no queda aquí solamente, si echamos un ojo al robots.txt, vemos unas cuantas rutas de acceso a ficheros:

User-agent: *
Disallow: /
Disallow: /legis9/publicaciones/html/textos/CG_B015.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B015.PDF
Disallow: /legis9/publicaciones/html/textos/CG_B100.html
Disallow: /legis9/publicaciones/pdf/cortes/bocg/CG_B100.PDF

Donde una de estas rutas nos lleva a un documento con cientos de NIFs de personas que se presentaron a oposiciones. Contradiciendo lo escrito en sus políticas:

Asimismo, el Senado garantiza que ha adoptado las medidas de carácter técnico y organizativo de seguridad en sus instalaciones, sistemas y ficheros.

Vistos algunos errores  - de los muchos - queda claro que la web no ha tenido el trabajo que se espera de una entidad pública y surge la pregunta ¿A donde ha ido medio millón de euros en desarrollo?

Resumen de la semana IV

Ya llevamos un mes escribiendo a diario y como viene siendo costumbre toca hacer un resumen de las noticias mas destacadas de la semana. Os recordamos que nos podeis seguir en las redes sociales para estar al dia de nuestras publicaciones al instante siguiendo los siguientes enlaces: Twitter, Google+ y Facebook.

1. CyberHades nos ponía sobre la pista de un nuevo Ezine de Hack the Planet 7
2. Tavis Ormandy publicaba su paper sobre las diversas vulnerabilidades críticas encontradas en Sophos, podéis descargar el PDF desde aquí.
3. Varias vulnerabilidades críticas descubiertas en PayPal por Neil Smith 
4. Se descubre un nuevo 0Day para Adobe Reader 10 y 11 que logra saltarse el sandbox.
5. Desde Hackplayers nos cuentan como crear un backdoor indetectable con metasploit.
6. Twitter la liaba esta semana enviando emails con alertas de hackeo masivamente.
7. El rey de la ingeniería social "Cosmo", un adolescente de 15 años que pertenecía al grupo UGNazi fue condenado a 6 años alejado de los ordenadores, puedes leer la noticia aquí.

¿Se está librando una ciberguerra?

Si bien hasta hace unos pocos años era bastante escéptico cuando se leia algun artículo en la prensa sobre como la ciber-guerra era un concepto real y que estaba ocurriendo más allá de los sistemas telemáticos standares que supongo utilizaran todos los ejércitos; hoy en día tengo bastante claro que esto está pasando.

Tal vez tanto la opinión pública como los políticos, o incluso los militares, tienden a subestimar las amenazas que no vemos y que son muy técnicas. Todo el mundo entiende y siente una bomba, o un tanque enemigo como una amenaza, sin embargo, poca gente ve en una caja de control scada un potencial agujero en las murallas de la defensa de un país, o en un pendrive en el suelo con fotos de gatitos una amenaza de estado. 

De la misma manera, también es bastante más dificil justificar el gasto público en construir un programa que poca gente pueda ver o manejar, y nadie pueda tocar, y que además, puede quedar obsoleto en cuestión de horas. 

Así, aunque yo no sea especialmente partidario de las soluciones militares a problemas políticos, si que creo que proteger nuestro país, y más concretamente nuestras empresas e infraestructura crítica frente a ataques informáticos ha de ser una prioridad de la defensa.

Tenemos que diferenciar varios tipos de amenazas electrónicas:

• Ciber-crimen: Robo de información bancaria, espionaje industrial, spam, usurpación de identidad, etc.
• Ciber-guerra: Virus para alterar sistemas de enriquecimiento de uranio, intervención de comunicaciones, ataques dirigidos contra centrales eléctricas o oleoductos, etc.
• Ciber-activismo: DDoS, robo de información, ataques de alto impacto mediático, pero técnicamente bastante simples.

Si bien la tercera de estas amenazas la podemos considerar de gran fuerza mediática, el impacto suele ser bastante bajo. El problema radica en las dos primeras, y en la peligrosa mezcla que están haciendo algunos países como China. De manera oficial no está reconocido, pero hoy en día es bastante claro que China cuenta con un ejército de ciber delincuentes en nómina para lanzar ataques precisos contra empresas de todo el mundo (RSA o Google son por ejemplo dos de los casos más sonados).

Y, os preguntaréis ¿Qué es lo que hace falta para tener estas capacidades militares o paramilitares? Dinero. Cuando se habla de ciber ejércitos hay que diferenciar a dos partes: por un lado están los que diseñan los sistemas, crean las armas, y por otro lado están los que las utilizan. De la misma manera que un usuario puede saber hacer un escaneo de puertos, pero puede no conocer como están programados los sockets del programa.

Como con todo, fabricar buenas armas informáticas cuesta bastante dinero. Hay que comprar vulnerabilidades que explotar para que las armas sean efectivas; en caso de defensa, hay que invertir en soluciones y comprar vulnerabilidades de nuestro software antes de que otra gente lo haga.

En conjunto, tanto la ciber defensa, como la ciber guerra, es algo muy caro, y que mueve bastante dinero a lo largo y ancho del mundo. Hay que invertir en seguridad, hay que simular ataques, y hay que ver como nos afectaría, esa es la única manera efectiva que tenemos de poder desarrollar buenas defensas.

Aparecen indicios de un malware que roba imágenes en los equipos infectados

Niranjan Jayanand investigador de McAfee ha publicado recientemente en su blog el descubrimiento de un malware que roba archivos .jpg, .jpge y .dmp - volcados de memoria de windows - para despues subirlos a un servidor FTP remoto cuyos credenciales se encuentran en el código fuente del troyano.

Desde el día 5 de Noviembre el servidor FTP de los atacantes se encuentra fuera de servicio y sospechan que sea debido a una mejora del troyano para ataques mas sofisticados en un futuro próximo. Por el momento el comportamiento consiste en buscar imágenes en los directorios C, D y E de la víctima y ejecutar comandos silenciosamente para enviar los resultados obtenidos al servidor remoto.

Los datos recogidos pueden ser usados para extorsionar a personas o pedir un rescate, ademas según informan el interés por los archivos .dmg puede ser signo de que a los atacantes les interese buscar vulnerabilidades en los sistemas infectados ya que éstos recogen información de errores en las aplicaciones.

Un numero desconocido de cuentas de Twitter han sido comprometidas, es hora de cambiar de contraseña...

Twitter ha comenzado a enviar masivamente emails a sus usuarios con la petición de un cambio de contraseña debido a que un numero indeterminado de cuentas han sido comprometidas. Por el momento se desconoce la causa por la que se han filtrado las contraseñas.

TechCrunch informa que ha contactado con Twitter para conocer la gravedad del problema pero no ha recibido respuesta, simplemente Twitter se ha limitado a afirmar que el email es real y que todo usuario que lo haya recibido debe seguir el enlace adjunto.

Puede que vuestro email haya filtrado el email y lo enviase a spam por lo que es recomendable que lo reviséis. Por otra parte que Twitter envíe un correo con un enlace adjunto para resetear la contraseña me parece una irresponsabilidad por lo que si es tu caso te recomiendo que escribas manualmente el link en la barra de direcciones para asegurarte que realmente te diriges a la página de reset de password y no hacia un rápido ataque de phishing.

A continuación dejo el contenido del email:

Hi, [name]
Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We’ve reset your password to prevent others from accessing your account.
You’ll need to create a new password for your Twitter account. You can select a new password at this link:
https://twitter.com/pw_rst/…
As always, you can also request a new password from our password-resend page: https://twitter.com/account/resend_password
Please don’t reuse your old password and be sure to choose a strong password (such as one with a combination of letters, numbers, and symbols).
In general, be sure to:
Always check that your browser’s address bar is on a https://twitter.com website before entering your password. Phishing sites often look just like Twitter, so check the URL before entering your login information!
Avoid using websites or services that promise to get you lots of followers. These sites have been known to send spam updates and damage user accounts.
Review your approved connections on your Applications page at https://twitter.com/settings/applications. If you see any applications that you don’t recognize, click the Revoke Access button.
For more information, visit our help page for hacked or compromised accounts.
The Twitter Team

UPDATE:
Twitter asegura que el reset de cuentas ha sido un error por su parte y que su seguridad no ha sido comprometida. Podéis leer el post aquí.

Fuente: http://techcrunch.com/2012/11/08/you-might-have-gotten-an-email-from-twitter-about-your-account-being-compromised/

Descubierta vulnerabilidad 0day en Adobe Reader X y XI

Blackhole es el Exploit-Kit del momento, hoy tenemos que hablar de él debido a que Group-IB un grupo de investigación ruso ha descubierto una vulnerabilidad incluida en una version modificada del kit de explotación que afecta a Adobe Reader X y XI y que está siendo utilizada para infectar con los troyanos bancarios Zeus, Spyeye, Carberp, Citadel.

Este exploit que está a la venta por 50.000$ logra bypasear el sandbox implementado en Adobe Reader y ejecutar código en la máquina víctima, por lo que se conoce la falla solo es explotable en sistemas Windows y hasta que el usuario cierra su navegador (o lector de pdf) el exploit no es ejecutado en su totalidad.

Por el momento Adobe afirma que no tiene conocimiento de este fallo y de confirmarse y parchearse se rompería la racha de dos años sin ataques reales sobre las versiones con sandbox del lector.

Múltiples vulnerabilidades descubiertas en Sophos

Tavis Ormandy ha publicado un paper con los resultados de su análisis de antivirus Sophos titulado "Practical Attacks against Sophos Antivirus". En él se analizan varios casos de ataques prácticos contra el antivirus que pueden comprometer la integridad del sistema que lo alberga. Tavis afirma que Sophos le ha comunicado que publicarán un aviso para sus usuarios en un plazo corto de tiempo, pero no le han permitido revisar el contenido, por lo que recomienda la lectura de su investigación si eres un usuario afectado.

Las vulnerabilidades encontradas son las siguientes:

1. Ejecución de codigo al analizar un binario malintencionado en formato PDF, RAR, VB o CAB.
   
   
2. Bypass del ASLR de Windows a traves de una falla en el sistema de protección de Buffer Overlflows.
   
   
3. Ejecución de código a traves de una falla en el módulo LSP debido a la la carga de éste desde un directorio de integridad baja y con permisos de escritura.
   
   
4. XSS en la pagina de protección contra contenido malicioso.
   
   
5. Escalada de privilegios debido a un problema en la gestión de éstos por parte de Sophos.

Si administras un sistema con Sophos desplegado se recomienda la lectura del estudio para comprender los riesgos y seguir los checklists de mitigación incluidos en él.

Como lectura añadida os recomiendo leer la conclusión que Tavis dejó escrita en exploit-db.com : Conclusión Tavis Ormandy

Mas información:

A Critical Analysis of Sophos Antivirus

http://lock.cmpxchg8b.com/Sophail.pdf

Applied attacks against Sophos Antivirus

https://lock.cmpxchg8b.com/sophailv2.pdf

Niños etíopes analfabetos hackean un Motorola Xoom

Hace un año el proyecto One Laptop Per Child propuso la idea de abandonar una serie de tablets dentro de cajas cerradas en dos aldeas rurales de Etiopía sin ningún tipo de instrucciones. El objetivo era conseguir que los niños con edades comprendidas entre los 7 y 11 años aprendiesen a utilizarlos por sí mismos.

Nicholas Negroponte, fundador del proyecto dijo:

"Pensé que los niños jugarían con las cajas, pero en cuatro minutos uno de los niños no solo abrió la caja sinó que encontró el interruptor y lo encendió. En cinco días se estaban utilizando una media de 47 apps por niño, en dos semanas estaban cantando canciones del abecedario por la aldea y en 5 meses lograron hackear Android."

En la parte técnica cada tablet venía cargado con un software diseñado para niños llamado NELL - podeis leer mas información en este PDF - que limitaba el acceso a la camara y anulaba la modificación del escritorio, pero los niños se las ingeniaron para conseguir acceso a la cámara y lograron saltarse las restricciones de configuración del escritorio perdonalizándolo a su gusto ydejando boquiabiertos a los investigadores.

Toda esta investigación forma parte de un estudio mayor a nivel mundial del que os podeis informar en el siguiente enlace:

http://blog.laptop.org/



Todos tenemos un hacker dentro

Resumen de la semana III

1. En SecurityByDefault están publicando la crónica día a día de la NoConName, no le perdáis el ojo: día 1, día 2...
2. THN publicaba lo que parece la repetición de una noticia antígua, "Anonymous publica el código fuente del kernel de WMware ESX" - otra vez - . WMWare en su blog ha publicado un comunicado al respecto repitiendo - otra vez - que es una versión antigua. ¿Quien tendrá razón?
3. VUPEN afirma tener un oday para Windows8.
4. Aparecen los primeros falsos antivirus para Windows8.
5. En Un informático en el lado del mal aparecía una noticia que podríamos definir como "El cazador cazado" donde un espía ruso fue grabado con su propio malware.
6. En SecuriBlog nos ponían sobre la pista de la funcionalidad server-status activado en servidores Apache.
7. Por último en Conexión Inversa podemos encontrarnos un completo post sobre trabajo forense en Xbox360.

Tutorial básico Cross Site Scripting

Hoy nos toca tratar una de las vulnerabilidades mas habituales en el desarrollo web actualmente, el XSS. Esta falla de seguridad se debe a un incorrecto filtrado de los valores que un usuario puede introducir en una web dando así pie a la ejecución de código de scripting en la web atacada.

A través de este método un atacante puede robar los credenciales de un usuario o administrador, modificar contenido en la web, eliminar restricciones impuestas desde el lado del cliente y muchas otras cosas.

Existen dos tipos de XSS:

• Indirecto o reflejado: Funciona modificando valores que una web pasa entre página. Ocurre cuando se envía un mensaje o ruta en una URL, una cookie o en la cabecera HTTP.
• Directo o persistente: Consiste en almacenar código en la web para que se ejecute una vez que la web se carga, por ejemplo inyectando en un libro de visitas de una web en un blog o en una sección de comentarios.

Este fallo está muy extendido debido a que muchos dessarrolladores no son conscientes de que los filtros -si los hay- se pueden evadir fácilmente con algunas técnicas.

Vupen anuncia el desarrollo del primer exploit 0Day para Windows8

Tras el lanzamiento de Windows8 por parte de Microsoft, Vupen se han puesto a trabajar para dar lugar al desarrollo del primer 0-Day para el sistema operativo.

Chaouki Bekrar publicaba en su twitter el siguiente mensaje:

"We welcome #Windows8 with various 0Ds combined to pwn all new Win8/IE10 exploit mitigations. Congrats to our mitigation mitigator @n_joly"

Cabe recordar que Windows8 pese a su cambio estético es en esencia un Windows7 fortificado y con algunos sistemas de seguridad añadidos como DEP, ASLR o Anti-ROP. Además según Vupen el exploit es una combinación de una serie de bugs tanto en IE10 -Con el que se saltan el sandbox de éste- como en Windows8.

Para terminar hace escasas horas salía a la luz un módulo para metasploit que se aprovecha de un fallo en el servicio WinRM para conseguir una sesión de Meterpreter.

La lluvia ha empezado y el balón está del tejado de Microsoft.

Fuentes:

Bug Hunters have Windows 8 Zeroday Exploit

Primeros exploits de día 0 para Windows 8

Iptables (II): filtrado por puertos y hosts

En el anterior post sobre Iptables comentamos cual es la estructura de este firewall, así como las bases de su comportamiento. Ahora vamos a ceñirnos en la parte más práctica, en como configurar reglas y filtrados específicos, y como podemos hacer cosas como evitar responder a pings, como prevenir que accedan a nuestro servidor desde direcciones ip que no sean las nuestras, etc.

Ya que una buena política de seguridad debe de tener en cuenta siempre que sistema está protegiendo y a que está expuesto dicho sistema, y puesto que la idea es explicarlo para diverso público, voy a dar pinceladas de caracter generalista.

No podemos proteger de la misma manera un servidor web dedicado a hostear gran número de páginas web, que proteger un firewall sobre un sistema de ordenadores industriales y sistemas SCADA. Por ejemplo, un servidor web siempre va a estar más expuesto a por ejemplo, ataques de tipo DDOS y escaneo de aplicaciones web, que un sistema industrial al que le conviene más protegerse de instrusiones directas, o conexiones de troyanos que puedan salir desde dentro.

Los menores, la privacidad y el día de mañana

A día de hoy es muy común ver a diario fotos y vídeos de menores comportándose de forma graciosa en la red que son compartidas por adultos, esto sumado a la cantidad de webs parásitas que existen puede convertirse en una auténtica pesadilla para padres y menores con el paso del tiempo.

Quiero plantear un caso hipotético para desarrollar el tema. Pongamos que unos padres comparten contenido aparentemente inofensivo en la red relacionado con su hijo pequeño. Pasan los años y el niño se convierte en una persona con un cargo importante, digamos un ejecutivo en una gran empresa, alguien con la intención de dañar la imagen de esa persona logra encontrar las imágenes o vídeos que años atrás unos adultos incautos compartieron. La persona malintencionada puede -dependiendo del caso e información encontrada- desde extorsionar a la persona, difundir dicho contenido en el lugar idóneo o iniciar una campaña de desprestigio para lograr un beneficio.

Lo que años atrás fue una acción inocente, en un futuro se puede convertir en un grave problema. Con esto quiero hacer ver que la idea de web social conlleva unos riesgos potenciales que mucha gente actualmente no ve y que estoy seguro empezaremos a ver en unos años cuando la generación que se ha criado en el internet social comience a posicionarse en cargos de poder. Por esto es recomendable que todo padre o tutor legal de un menor controle lo que comparte en la red sobre su hijo y tenga muy en cuenta los riesgos a los que se expone así como tener precaución de lo que un menor sube a la red por sí mismo.

Una solución simple se limitaría a no compartir ningún contenido relacionado a menores en la red y cuidar lo que tus hijos comparten, pero a día de hoy esto es muy difícil para la mayoría de la gente por lo que el mejor consejo es usar el sentido común y tener siempre presente la máxima de que todo lo compartido en la red va a ser público tarde o temprano bien sea por culpa del usuario debido a una mala configuración, a un robo de credenciales o a un fallo/intrusión en el servidor.

Cada avance tecnológico viene de la mano de una serie de normas con las que nos debemos educar para no exponernos a situaciones indeseadas, así como la mayor parte de usuarios de internet tienen cada vez mas capacidad para identificar algunas amenazas, también debemos educarnos para analizar previamente los riesgos potenciales que pueden suponer publicar nuestra información en la red ya que cada vez mas, la privacidad se está convirtiendo en un asunto a tener en cuenta.