Metadatos: La fuga de información invisible

Si estáis metidos en el mundo de la seguridad informática probablemente sepáis lo que son los metadatos, sin embargo, a casi toda la gente primeriza en estas cosas que se lo explico suele pasar por diferentes fases que van desde la negación, hasta la incredulidad, y finalmente la aceptación. Los metadatos son esa información a priori no visible que se contiene en diferentes partes de un archivo y que puede ser mirada bien usando programas específicos para ello, o en casi todos los casos, utilizando propiedades avanzadas del software que se utiliza para abrir dichos archivos.

Así, aunque nosotros no hayamos escrito explícitamente por ejemplo, cual ha sido la fecha en la que hemos modificado una fotografía, esto queda registrado en la cabecera del archivo junto a otra infomación de diversa índole, desde qué usuario ha sido el que ha editado o creado dicho documento, hasta cuando ha sido modificado, datos técnicos de como ha sido tomada una foto, o incluso, y cada vez en más casos, la información gps de donde ha sido tomada la instantánea. Esto pasa con casi todos los archivos, incluidos words, pdfs, etc.

Premios Bitacoras 2012

Si te gusta el contenido de nuestro blog, te invitamos a que nos ayudes con tu voto para los Premios Bitácoras 2012, tan solo tendréis que hacer click en el siguiente widget y enviar vuestro voto desde la página para ayudarnos a seguir creciendo poco a poco.

¡Muchas gracias!

Un blogger búlgaro compra un millón de cuentas de Facebook por 5 dólares

Fuente: Gizmodo

Esta semana la polémica viene de la mano de Bogomil Shopov, un blogger búlgaro defensor de los derechos de los internautas. Al parecer nuestro amigo Bogomil ha comprado un millón de cuentas de Facebook por tan solo 5$ a un usuario de gigbucks que afirma haber logrado los datos de aplicaciones de terceros, lo que significa que dichas aplicaciones han tenido acceso a todos los credenciales de los usuarios.

Para sumar mas salsa a este problema y tras la publicación de un artículo en su blog, Bogomil recibió una llamada de la red social que lo instaba a enviarles los datos y eliminar la entrada, cosa que éste rechazó y publicó una nueva entrada comentando la llamada.

Al parecer desde Facebook afirman que los datos comprados son de dominio público, pero viendo el tono en que piden a Shopov que elimine todo rastro de ellos me hace sospechar.

A continuación podeis leer un fragmento de la carta:

“Now we would like you to send us this file, delete it, tell us if you have given a copy of it to someone, give us the website from which you bought it including all transactions with it and the payment system and remove a couple of things from your blog. Oh and by the way, you are not allowed to disclose any part of this conversation; it is a secret that we are even having this conversation”.

Traducción: "Ahora nos gustaría que nos enviases este archivo, lo borres, nos digas si has enviado una copia a alguien, nos des la página web desde donde la compraste incluyendo todas las transacciones con él y el sistema de pago y elimines un par de cosas de tu blog. Oh y por cierto, no estás autorizado a revelar ninguna parte de esta conversación; es un secreto incluso que hayamos tenido esta conversación.

Leyendo el fragmento me hace gracia ver el modo que tienen en Facebook de tratar este tipo de acontecimientos. Es de suponer que tras la publicación de la última entrada en el blog de Shopov Facebook deberá publicar algún tipo de explicación al suceso por lo que habrá que estar pendiente de los acontecimientos.

Para los usuarios de Facebook, las cuentas publicadas son en su mayoría de Estados Unidos, Canadá, Reino Unido y Europa, por lo que es aconsejable cambiar la contraseña para curarse en salud.

Resumen de la semana II

Llegamos a nuestra segunda semana de vida y toca hacer un nuevo resumen con las noticias a destacar publicadas por otros blogs:

• En Segur-Info nos contaban como el triángulo amoroso PS3, Sony y hackers volvía a saltar a la palestra al publicarse las claves de descifrado de las actualizaciones oficiales:
  http://blog.segu-info.com.ar/2012/10/ps3-hackeada-de-nuevo.html
• El blog HackPlayers escribía un artículo sobre Tyler, una plataforma similar a wikileaks creada por Anonymous -THN-:
  http://www.hackplayers.com/2012/10/tyler-vs-wikileaks_24.html
• Security at Work escribió un extenso artículo a raiz del robo de 200.000€ de la cuenta del Ayuntamiento de Cerdedo:
  http://www.securityartwork.es/2012/10/26/el-concello-de-cerdedo-200-000-e-y-muchas-dudas
• Como ya contábamos desde este blog, miles de páginas alojadas en wordpress.com fueron víctimas de un ataque masivo de Spam. En Flu-Project ampliaban la noticia:
  http://www.flu-project.com/spam-masivo-en-wordpress.html
• En Omicrono nos encontramos la curiosa historia de un blogger búlgaro que compró 1 millon de cuentas de facebook por 5€:
  http://www.omicrono.com/2012/10/la-historia-del-hombre-que-compro-los-datos-de-un-millon-de-usuarios-por-facebook-por-5/

Hacking con Buscadores: Shodan, un grande (y IV)

Shodanhq es un buscador diferente. Podemos decir que todos los buscadores clásicos parten de la idea de indexar contenido, indexar frases, palabras, ideas, definiciones, imágenes, vídeos, etc. Shodan no busca indexar toda esa información, shodan es básicamente el resultado de pedir las cabeceras a todos los host conectados a internet, a todo el rango de ips: 0.0.0.0/0 . Así pues, lo que tenemos es una gran base de datos con, hasta ahora, más de 80 millones de cabeceras de hsots de todo tipo.

Toda esta información vale para algo más que para hacer estadística; podemos hacernos una imagen bastante clara de los sistemas que se utilizan, de sus versiones, pero también de la seguridad de muchos países, organizaciones, y propietarios. Si no conoces, o nunca te has puesto a bucear en Shodan, te aseguro que te vas a asustar.

Antes de nada explicaré un poco algunas de las opciones de búsqueda que tiene este buscador.

PYMES y la gestión de la información

Hace unos días por casualidades de la vida al acudir a una cita con mi dentista fui testigo de una extraña situación, la clínica había sido asaltada por unos ladrones - que no se llevaron nada - la noche anterior y durante mi espera pude escuchar todas las conversaciones post-robo. Tras comprobar que el equipo sanitario y objetos de valor continuaban en su sitio pude escuchar las frases "El portátil sigue aquí" y "Los pendrives con los historiales también están aquí" a lo que inmediatamente mi cabeza empezó a valorar la situación de "¿Y si no estuviesen ahí ...?", en primer lugar decir que no conozco la situación en la que se encontraba almacenada la información en este caso, pero la preocupación por los "pendrives de historiales" me hacía intuir que no existía un backup de la información, por lo que me gustaría dedicar esta entrada a todas esas PYMES que descuidan el manejo de la información pensando que nunca va a pasarles nada y mostrar este caso concreto en el que en unas horas toda esa información almacenada podía haberse perdido.

En primer lugar indicar que es el deber de todo empresario que se vea obligado a almacenar información confidencial y/o personal el priorizar la seguridad de esos datos para cumplir con la ley organica de proteccion de datos.

Es de lectura obligada el apartado de los deberes del responsable de la información que provee la Agencia Española de Protección de Datos. Ademas de las guías para el tratamiento de ficheros y la seguridad de datos:

Guia responsable de ficheros.pdf

Guia de seguridad de datos.pdf

Independientemente de lo que aconseje la legislación vigente el sentido común es siempre nuestro mejor aliado por lo que voy a listar una serie de consejos que nos permitirán salvaguardar los datos de nuestra empresa en caso de cualquier incidencia:

• Implementar unas políticas que permitan gestionar el almacenamiento, movimiento y control de incidencias. Esto es muy específico para cada empresa, por lo que no hay un manual preestablecido para hacerlo. 

• Implementar unas pautas para mantener copias de seguridad actualizadas, preferentemente en un servidor remoto -teniendo en cuenta lo que se hace- para evitar incidencias que puedan ocurrir en el lugar de trabajo como incendios, inundaciones,etc.

• Limitar el uso de dispositivos de almacenamiento portátil y en caso necesidad utilizar estos dispositivos debidamente protegidos con encriptación -trataremos este tema en una futura entrada-

#OpAntiPedofilia lanzada por Anonymous acaba con multitud de sitios de pornografía infantil

Desde hace unos días el colectivo Anonymous ha lanzado la #OpAntiPedofilia, que ha concentrado los esfuerzos por destapar páginas, personas y redes que comparten pornografía infantil en internet.

El grupo a través de varios comunicados publicados en Pastebin informa que han logrado desactivar varias páginas pedófilas.

En un primer comunicado el grupo afirma haber descubierto múltiples sitios de pornografía infantil en un hosting gratuito (.50megs.com), por lo que han utilizado unas búsquedas de google para indentificar sus objetivos. Con la información encontrada han descubierto varios blogs alojados con nombres aleatorios - como asyesahjsa- que simulan ser un blog inocente pero con un campo de identificación que afirman enlaza a un foro donde se comparte pornografía. En este caso se han centrado en reportar estas páginas al hosting y así desactivarlas permanentemente.

En un segundo comunicado, el grupo asociado xL3gi0nhackers afirma haber atacado unas 48 páginas con contenido pedófilo. El método utilizado en este caso ha sido un DDoS por lo que en este momento los objetivos continúan con su servicio en línea.

Ademas en Twitter hay un gran seguimiento de perfiles individuales relacionados con la pornografía infantil. En vista al movimiento de la operación lanzada por Anonymous se prevén ataques en los próximos días a páginas de contenido similar. Pese a que un ataque DDoS no consiga acabar con este tipo de contenido la operación tiene un gran potencial para llamar la atención y hacernos ver el peligro que corren los menores en la red.

Funcionamiento de un MITM y como evitarlo

Hoy en día los ataques Man in the Middle están al alcance de cualquiera, la facilidad de acceso a redes poco seguras así como la facilidad del uso de herramientas hacen que sea algo de lo que nos debamos preocupar tanto en nuestra red doméstica, como en universidades o redes corporativas.

En este artículo desglosaremos el ataque y veremos como podemos tanto protegernos como detectarlo en el caso de que nuestra red ya haya sido comprometida.

Un ataque Man in the Middle se realiza en un escenario donde la víctima envía información hacia otro punto, dando así al atacante la oportunidad de interceptar las comunicaciones entre las dos partes y modificarlas si esa es su intención. Un lugar muy común donde un usuario puede ser víctima de este tipo de ataques son las redes públicas -o las que lo parecen (Honeypots)-  en las que se desconoce la identidad de todas las personas conectadas.

Esquema de un ataque MITM

Este ataque, explicado de manera muy básica se trata de engañar a los componentes de una red. Al router le diremos que nosotros somos todos y cada uno de los usuarios que estan conectados en la red local, y a los usuarios les diremos que nosotros somos el router que sirve de puerta de acceso. Así logramos que todos nos envien a nosotros la información, gran parte de la cual irá en texto plano, otra parte encriptada, aunque esto último tampoco supone un gran problema en algunos casos como el de SSL. Con la información pasando por nuestro ordenador podemos no solo verla, si no también modificarla al vuelo.

Search Engine Hacking: Bing y sus virtudes (III)

Si bien Bing no es el buscador en el que pensamos automáticamente cuando hacemos Google-hacking y aunque la cantidad de información bruta sea mucho menor, sí que hay que destacar algunas cosas que este gran buscador nos puede ofrecer, y que otros, no pueden. Los cuatro grandes puntos a destacar sobre Bing cuando hablamos de Hacking con Buscadores son:

• Su búsqueda recursiva de dominios: Como todos sabéis, puesto que desde hace tiempo hay problemas con la cantidad de ipv4 disponibles, los planes pequeños y medianos de Hosting que ofrecen casi todas las compañías, tienen una IP compartida para un número variable de paginas alojadas. Así, sabiendo una dirección IP, podemos buscar de manera inversa todos los dominios que pueden ser resolubles con dicha IP. Esto se hace de la siguiente manera.

        ip:82.98.160.207

• Su profundidad: Si bien es bastante discutible que la profundidad de Bing en cada página web que indexa sea mayor que la de otros buscadores como Google, a la hora de buscar grandes cantidades de documentos dispersos por dominios muy grandes como universidades, u organismos gubernamentales, Bing suele darnos más cantidad de resultados. Programas como FOCA, suelen explotar esta característica.

• Su extensa API: La API de Bing permite un gran número de consultas diarias, y nos devuelve la información en formato xml.  Las consultas pueden ser utilizando cualquier parámetro, es por eso por lo que combinando esto con la búsqueda inversa de DNS y otras herramientas de dominio podemos hacer programas interesantes, análisis de seguridad basados en parámetros específicos del sistema en que están alojadas dichas páginas, etc. Con un poco de creatividad se puede exprimir esta API de formas muy curiosas.

Un ejemplo aquí.

• Menos información, pero más relevante: Nadie duda que Google es el gigante de la información, pero esto en muchas ocasiones es un inconveniente. Bing tiene menos información indexada, y para buscar cosas como nombres propios, teléfonos, números de seguridad social, etc, saltarse todas esas páginas llenas de listas interminables de números contiguos es una ventaja.

Sobre los dorks, en Bing casi no hay, porque es un buscador que filtra mucho la información antes de presentarla. 

Todos estamos más que acostumbrados a Google, y tal vez nos sea muy difícil desengancharnos, sin embargo creo que a la hora de buscar un alfiler en un pajar, hay que contemplar todas las opciones a nuestro alcance. Y bing, es una de ellas.

Pd: Las fotografías que suelen poner en la página principal para mí, también son un punto a favor :P

Miles de blogs de wordpress.com hackeados en una campaña de SPAM

La semana pasada saltaba la alerta, THN publicaba la noticia de que 15000 blogs alojados en el dominio wordpress.com habían sido comprometidos y el atacante habia publicado un anuncio en cada uno con un enlace referido. Al dia siguiente aumentaba la cifra y ya eran 45.000 blogs los comprometidos a lo que se sumó horas mas tarde lo que parecía una segunda campaña que hacía crecer el número de blogs.

Hoy podemos ver lo que ha quedado de este ataque, por una parte Google desindexando los enlaces maliciosos y por el otro Wordpress -o es lo que parece- eliminando los posts que publicó el atacante.

Si seguimos el dork site:wordpress.com "Im getting paid!", devuelve 66.100 resultados a lo que debemos sumarle los 52,500 del dork que corresponde a una segunda campaña de spam reportada site:wordpress.com "Nothing like getting paid". Un total de 118.600 aún indexados por Google que permiten ver el tamaño del ataque, lo que hacía suponer un ataque directo a los servidores de wordpress.com pero horas mas tarde Sophos publicaba en su blog NakedSecurity un comunicado de Wordpress negando que hubiesen sufrido un ataque directo y afirmando que lo mas probable es que se debiese al descuido de los usuarios con sus contraseñas.

"people sharing the same password across multiple services."

El comunicado oficial debemos cogerlo con pinzas ya que como apuntan en THN el 70% de blogs llevan desatendidos entre uno y dos años por lo que es dificilmente comprensible que las contraseñas hayan sido extraidas por phishing o comprometidas en otro servicio.

Mientras no se conoce lo sucedido si tienes un blog wordpress y descubres un post como el de la imagen elimínalo y cambia tu contraseña.

Resumen de la semana I

• En segur-info nos contaban como por primera vez twitter bloqueaba una cuenta de usuario a petición de un gobierno:
  http://blog.segu-info.com.ar/2012/10/por-primera-vez-twitter-bloqueo-una.html
• En elladodelmal nos dan instrucciones detalladas para realizar un Identity Spoofing at RL:
  http://www.elladodelmal.com/2012/10/identity-spoofing-para-ir-por-el-carril.html
• Desde CyberHades nos cuentan una interesante historia de un misterioso dispositivo propiedad de Google:
  http://www.cyberhades.com/2012/10/18/el-misterioso-caso-del-dispositivo-desconocido-fabricado-por-google/
• OpenSecurity nos pone sobre la pista de #START013, la conferencia de IBM donde ademas de seguridad se tratarán las novedades sobre la suite WebSphere ademas de el framework de desarrollo movil WorkLight.
  http://www.opensecurity.es/la-seguridad-estara-presente-en-el-start013/
• Desde este mismo blog os contábamos las vulnerabilidades descubiertas en Steam
  http://shellshocklabs.blogspot.com.es/2012/10/revuln-desvela-vulnerabilidades.html
• Por último en csospain nos ponen sobre la pista del sistema operativo que desarrolla Kasperky para infraestructuras críticas:
  http://www.csospain.es/Kaspersky-Lab-trabaja-en-un-sistema-operativo-seguro-para-in/seccion-actualidad/noticia-127100

La falla del protocolo WPS o como tu WIFI sigue siendo inseguro.

Existe, en la creencia popular, la costumbre de relacionar WPA2-PSK con una red WIFI totalmente segura, si bien es cierto que no es fácilmente crackeable -dependiendo de la contraseña- lo que la mayoría desconoce es que un gran número de routers actuales vienen de fábrica con el protocolo WIFI Protected Setup activado.

Este protocolo posibilita el emparejamiento de un dispositivo introduciendo un PIN de 8 dígitos que suele venir impreso en la parte inferior de nuestro router, el problema de este protocolo es que no limita las veces que un usuario puede intentar autenticarse, por lo que un ataque por fuerza bruta es posible. Para mas inri, una vez que introducimos los primeros 4 dígitos correctos el router nos devuelve una confirmación, reduciendo así las posibilidades a 10^4 en primer lugar y a 10^3 para los últimos dígitos ya que el último número es el resultado del checksum.

A estas alturas te preguntarás si existe alguna herramienta para estos menesteres y la respuesta es si, Stefan Viehböck el descubridor de esta falla publicó una herramienta llamada reaver-wps que podeis descargar desde aquí: http://code.google.com/p/reaver-wps/

Las ventajas que tiene este sistema son varias:

• Mayor velocidad al crackear el PIN
• Recuperar contraseñas WPA aunque el propietario la modifique.

Para protegerte lo único que se puede hacer por el momento es desactivar el protocolo WPS en el panel de configuración del router.

Cantor Dust: ¿Un cambio de paradigma?

Los seres humanos nos solemos abrumar cuando estamos ante una gran cantidad de información aparentemente caótica y desordenada; y así es como nos sentimos muchas veces cuando desensamblamos un ejecutable, o vemos cualquier otro tipo de archivo en con un editor de manera hexadecimal o binaria. No nos damos cuenta, pero a priori, antes de meternos al analisis, casi todo el mundo hacemos un rápido recorrido por el archivo moviendo la barra de scroll. ¿Qué es lo que buscamos? ¡Algo que destaque a simple vista!, y, ¿Por qué así? Pues porque el cerebro humano está preparado para procesar gran cantidad de información visual; cosa que no ocurre con información hexadecimal por ejemplo.

¿Y si pudierais ver toda esa información de esta manera?

En este sentido, en el mundo de la ingeniería inversa, se están empezando a desarrollar de manera intensa, programas que nos muestran de manera visual la información que obtendríamos de otra manera, por ejemplo con un editor hexadecimal. El presentar toda la información de manera gráfica y visual nos permite detectar patrones, llamadas, código extraño, etc, dentro de un archivo o ejecutable. Así, uno de los primeros programas desarrollados enteramente bajo este paradigma gráfico se presentó (en versión muy temprana) en la Defcon 2012; se llama "Cantor Dust". Por ahora solo es una muestra para Windows que podéis descargar de aquí; la versión está muy limitada aún, sin embargo, el autor ya tiene preparadas bastantes funciones, como muestra en esta conferencia:

Personalmente, tengo que decir que siempre he sido de mucha consola, y poco entorno gráfico; sin embargo, este programa, y, en gran medida el vídeo, me han hecho ver que el paradigma visual también puede tener sus ventajas. Tal vez no a la hora de manejar un sistema, pero sí al menos a la hora de analizar grandes cantidades de datos, por poner un ejemplo. Y tal vez, sería interesante explorar las posibilidades de este concepto aplicado a algo más que el análisis binario.

Página oficial de la herramienta: Cantor Dust

Bypass del filtro XSS de Internet Explorer 9

Recientemente se ha descubierto la forma de bypasear el filtro de Internet Explorer 9 que limita la acción de un Cross Site Scripting en el navegador de Microsoft.

Como sabéis IE9 te avisa de que ha modificado la página -si se tiene activada la funcionalidad- cuando detecta cierto patrón en un parámetro recibido en la url, por ejemplo, si tenemos el siguiente código vulnerable del lado del servidor:

<?php
echo $_GET['id'];
?>

Y recibimos la siguiente URL:

www.ejemplo.com/test.php?id=<script>alert("XSS");</script>

El navegador desplegará el siguiente mensaje:

Mensaje mostrado por IE9

Sin embargo IE nos permite romper etiquetas insertando nullbytes entre los carácteres del siguiente modo <script>, aunque nos será imposible insertarlo directamente en la url, por lo que para solucionarlo deberemos convertir esta cadena a hexadecimal e insertarlo en un enlace, veamos unos ejemplos:

[NULL] =

No funciona: www.ejemplo.com/test.php?id=<s[NULL]cript>alert("XSS");</s[NULL]cript>

No funciona: <a href="www.ejemplo.com/test.php?id=<s[NULL]cript>alert("XSS");</s[NULL]cript>"</a>

Funciona: <a href="www.ejemplo.com/test.php?id=\x3C\x73\x00\x25\x30\x63\x72\x69\x70\x74\x3E\x61\x6C\x65\x72\x74\x28\x22\x58

\x53\x53\x22\x29\x3B\x3C\x2F\x73\x00\x25\x30\x63\x72\x69\x70\x74\x3E"</a>

Si bien esto es una vulnerabilidad menor, los usuarios acostumbrados a que el navegador pare un ataque de este tipo pueden quedar expuestos ya que por el momento no existe forma de mitigar este fallo.

FUENTE: Security Focus

Iptables: Introducción (I)

Los firewalls son una de las mejores bazas de cualquier administrador de sistemas o usuario para defenderse de casi todo. Por lo general, la gente desconoce bastante como funcionan estas piezas de software, y eso puede que para el usuario medio no sea un gran problema, buscar unas cuantas reglas en Google y listo, pero cuando lo que queremos es proteger un servidor o cualquier infraestructura crítica, es bastante importante entender bien como funciona, para poder establecer unas reglas óptimas.

Lo primero es saber que un programa no se tiene por qué ejecutar siempre en modo usuario o en modo kernel, y que depende del programa que estemos usando. Parte, puede que se ejecute de un modo, y otra parte de otro. Por poner un ejemplo, el comando que muestra la ayuda, no cambia ninguna configuración, ni altera el trabajo de la máquina, ni puede acabar representando algo en cuanto a la seguridad o integridad de la máquina, por lo tanto, se ejecuta en modo usuario. Cambiar una regla de firewall si que modifica como el kernel procesa los paquetes, por lo tanto, requiere privilegios de ejecución de kernel, esa es la razón por la que tienes que hacer “sudo” para que no salte error.

Virus que hicieron historia

Hoy os voy a hablar de los virus que a lo largo de la historia marcaron época, en el artículo vamos a destacar los virus que en su día aplicaron un avance técnico, una nueva forma de intrusión o que causaron un gran impacto en la opinión publica, definiendo así un cambio en el rumbo evolutivo de la informática.

Vamos con ello...

• Creeper (1972): Considerado el primer virus de la historia, Creeper fue diseñado por Bob Thomas en BBN Technologies, por esas fechas el concepto de virus había sido simplemente teorizado, por lo que fue una prueba de concepto para demostrar que se podía crear un software que se moviese entre ordenadores. 
  Este virus entraría en la definición de gusano, ya que su comportamiento consistía en replicarse a otros ordenadores mientras se borraba de su anterior host. No estaba diseñado para causar daños, por lo que mostraba su presencia desplegando el mensaje  "I'm the creeper, catch me if you can!".Creeper infectaba sistemas TENEX por lo que buscaba ordenadores similares en su red y saltaba a ellos. Dado que fue el primer virus que existió, se tuvo que desarrollar a medida el antivirus Reaper para eliminarlo.
  
  

ReVuln desvela vulnerabilidades críticas en Steam

El equipo ReVuln ha publicado recientemente una investigación sobre posibles vectores de ataque a la red de distribución de videojuegos de Valve que podría ser aprovechada por un atacante para hacerse con el control de la máquina de un usuario.

Como explican en el paper que han publicado, Steam utiliza urls propias para interactuar desde la web con su aplicación, por lo que han analizado el comportamiento del navegador embebido de Steam y comprobado que a través de la sección de vídeos incluida en el perfil del usuario un atacante puede redireccionar a la víctima a un host externo para ejecutar comandos de Steam a través del protocolo de navegacion de Steam (steam://) .

Una vez logrado ejecutar código dentro de steam, un atacante tendría varias vías de ataque ejecutando comandos de steam o explotando el sistema de comandos de diferentes motores gráficos.

Podéis ver una demo en el siguiente vídeo:

A los que os estáis preguntando como podemos protegernos de este tipo de ataque, es bastante sencillo.

Según ReVuln el problema puede ser resuelto desactivando el gestor de URLs de steam o utilizando un navegador que no permita la ejecución directa del protocolo de navegación de Steam como Google Chrome.

Search Engine Hacking: Google y sus dorks (II)

Como ya señalé en el primer artículo introductorio sobre Search Engine Hacking, la principal ventaja de Google, es la cantidad de información que tiene indexada. Podemos decir sin miedo a equivocarnos, que Google es la empresa del mundo con mayor cantidad de información (hablaré sobre la calidad daría para otro artículo), y como es normal, entre tan inmensa cantidad de datos, hay cosas que no deberían de estar ahí; el Google hacking se basa precisamente en eso, en buscar lo que queremos en medio del caos. Cosa que, con un poco de práctica es más facil de lo que parece.

Antes de nada, me gustaría aclarar algunas cosas. Primero, estoy usando "Google-hacking", "Hacking con buscadores", o su equivalente en inglés "Search Engine Hacking" indistintamente; puede que los más puristas se me quieran tirar al cuello (y con razón) argumentando que Google es solo un buscador más, sin embargo, por la popularidad que ha alcanzado la expresión Google-hacking, y ya que este buscador es el más utilizado en estos menesteres, no me parece incorrecto utilizarlo como término global. Segundo, los "dorks" son sentencias concretas para buscar información específica, o, como se lo explicaría a mi madre: "las cosas que se ponen para encontrar exactamente lo que queremos."

Sin más preámbulos, comencemos:

NAS, backups y errores administrativos...

Desde hace un tiempo los discos duros en red se han puesto de moda y son muchos los usuarios que han adquirido uno de estos dispositivos para almacenar su información tanto personal como laboral. Hace unos días dando una vuelta por ShodanHQ y tras una búsqueda de los NAS más vendidos del mundo dimos con una búsqueda que nos dio unos resultados cuanto menos curiosos.

Nos encontramos con que buscando por dispositivos Iomega nos reporta 3696 dispositivos a los que podemos acceder desde una red externa, por lo que probamos con uno aleatoriamente y tras observar que no requiere autenticarse accedemos directamente a la información.

Llegados a este punto, creímos que se trataba de un caso puntual, por lo que comprobamos gran cantidad de direcciones manualmente para determinar que no se trataba de casualidad y con ello confirmamos que un 80% de estos dispositivos están completamente abiertos al público. Ante tan sorprendente hallazgo decidí investigar hasta donde podría llegar un atacante, por lo que hice una búsqueda de estos servidores en España para facilitar la lectura de información si la hubiese y abrí el navegador de archivos que proporciona iomega en su interfaz web, llegando a ver el segundo hallazgo del día.

No solo podemos leer archivos sino subir y bajarlos sin restricción alguna, lo que supone un grave riesgo para la seguridad de una red. Esta falla de seguridad es un claro ejemplo de error del administrador pero también de la empresa por no asegurar que el usuario proteja su dispositivo.

Durante esta investigación nos hemos encontrado desde servidores de administraciones públicas y empresas hasta servidores privados totalmente abiertos a la red en los que se han encontrado todo tipo de cosas curiosas como software en servidores de la administración pública con su respectivo crack, contraseñas de servicios y fotos personales.

El riesgo es altísimo y no solo aplicable a este dispositivo en concreto, si tienes un NAS en tu casa o empresa asegúrate de protegerlo para que nadie pueda acceder a tu información.

¿Que pasaría si infectásemos el instalador de Office o Adobe Reader de una empresa? El riesgo queda en la imaginación del atacante...

Search Engine Hacking (I)

Cuando la mayoría de los usuarios medios o novatos piensan en internet, la primera imágen que les suele venir a la cabeza es la página principal de Google. Se ha convertido en algo casi cultural, pensámos que Google, lo sabe todo. Y en efecto, hasta cierto punto, es así. Sin embargo tendemos a sobrestimar Google, y subestimar las capacidades de otros buscadores de contenidos como Bing, DuckDuckGo, RTbot, o buscadores de host's como ShodanHQ, de respuestas como Wolfram Alpha, etc.

En este conexto, es importante abrir nuestra mente, y saber que hay alternativas muy útiles ahí fuera, y que en esto del Google-hacking, toda ayuda es poca para obtener los resultados que queremos. Si bien un buscador inmenso como Google tiene sus indiscutibles ventajas, las cantidades de información que este maneja a veces pueden ser un handicap si lo que buscamos es algo muy concreto.

Podemos ver como cada buscador tiene sus propias características, sus puntos fuertes y sus puntos débiles, y conocer una amplia gama de ellos puede ahorrarnos horas de pasar páginas y páginas de nuestro amado Google. Es por eso por lo que he decidido que cada día, voy a intentar hablar un poco de cada uno de ellos, y de las posibilidades que nos dan en temas de Google-hacking. En algunos me extenderé más que en otros, pero intentaré explicar lo que nos puede aportar cada uno en nuestra taréa.

• Google: El gigante de las búsquedas. Google es a día de hoy el buscador con mayor porcentaje de internet en sú índice de contenidos.La cantidad de infromación es ingente, y sin embargo, la búsqueda es rápida. Podemos desde buscar contenidos, hasta buscar por tiempo de aparición, o incluso buscar patrones visuales. Por la gran cantidad de esfuerzos y arañas que tienen indexando internet, muchas veces llegan a los resultados desde contraseñas, hasta báses de datos de usuarios y contraseñas.

 

•  Bing: Bing se caracteriza por acotar los restulados bastante más que Google. Su indexado de cada página es algo más profundo, por lo que habitualmente, indexa más documentos privados que se encuentran en páginas accidentalmente. Otra de las grandes funciones de Bing es la etiqueta "ip:". Con esto podemos saber los nombres de dominio que se resuelven bajo esa misma IP, que en la mayoría de los casos, suelen ser bastantes. Además, Bing tiene una API bastante libre, es por ello por lo que todos los buscadores inversis de DNS suelen basar su funcionamiento en los resultados que ofrece este buscador.

• Shodan: Con el nombre Shodanhq, este buscador ha hecho lo que otros pronto han descartado, indexar host's y sus cabeceras, en vez de contenido. Como resultado tenemos una base de datos a la que hacer consultas con millones de direcciones IP que pueden corresponder a todo tipo de sistemas, desde routers, a sistemas scada, hasta servidores de backups de empresas, o sistemas utilizados por ISP's para enroutado de paquetes. Además las etiquetas "net:" o la busqueda por nombres de dominio pueden hacer las delicias de cualquier penetration tester que quiera identificar de manera rápida las IP's utilizadas por, por ejemplo, una universidad.

En sucesivas entradas iré explicando detalladamente lo que podemos hacer con cada uno de estos buscadores.