Historias para no dormir

Como limitar el acceso a bases de datos Oracle

2010-04-13T10:50:00.008+02:00

Muchas veces queremos que solo cierta gente acceda a una base de datos Oracle debido a que puede tener información importante y nos interesa que el acceso sea mas restringido que un simple usuario y contraseña.

Para poder asegurar el acceso a las BBDD de Oracle podemos implantarlo de dos maneras:

1.- Limitar el acceso a la BBDD por IP

Para limitar el acceso por IP a la BBDD tendremos que hacerlo a través del fichero sqlnet.ora, los parametros que tendremos que modificar serán los siguientes:

tcp.validnode_checking = yes

tcp.invited_nodes = equipos que queramos que accedan (IP o nombre equipo)

tcp.excluded_nodes = equipos que NO queramos que accedan (IP o nombre equipo)

Ejemplo

tcp.validnode_checking = yes

tcp.invited_nodes = 192.168.2.10, servidor-bd

tcp.excluded_nodes = 192.168.2.20, 192.168.2.30, servidor-ficheros

2.- Limitar la conexión con el usuario dba a solo ciertos usuarios o IP's

Si queremos que solo ciertos usuarios de S.O puedan acceder como un usuario a una determinada BD tendremos que crear un pequeño trigger:

--Creamos un trigger que se dispare después del logon del usuario en la BBDD
create or replace trigger logon_trg after logon on database
DECLARE
ip_address VARCHAR2(64);
--Creamos un cursos para guardar la información
CURSOR c1 IS
SELECT SYS_CONTEXT('USERENV','IP_ADDRESS') from dual;
--Comenzamos el procedimiento
BEGIN
OPEN c1;
FETCH c1 INTO ip_address;
CLOSE c1;
--Comparamos la IP y el nombre de la persona que ha accedido con el que no accederá
IF ip_address = '192.168.2.20' and user = 'PACO' THEN
RAISE_APPLICATION_ERROR(-20020, 'You are not allowed to log into database now.');
END IF;
END;
/

Como veis esta es una forma de asegurar el acceso rapidamente a Oracle sin tener ningún tipo de quebraderos de cabeza. Algo fácil, sencillo y para toda la familia.

Un saludo

Como quitar ^M o fin de linea en Unix

2010-04-07T10:51:00.000+02:00

Mas de una vez nos hemos encontrado con que hemos creado un script o un fichero con el Bloc de Notas de Windows o con el MS-DOS y luego lo pasamos a un sistemas Unix/Linux y nos encontramos con que al final de cada línea aparece el carácter "^M". Este carácter corresponde al retorno de carro (CR) que Windows pone a cada fin de linea que hacemos (LR) mientras que Unix solo utiliza el fin de línea (LR), de ahí a que aparezca este bonito "^M".

A continuación vamos a enumerar distintas opciones para borrar este carácter:

Con cualquier editor de textos (vi,nano,gedit) editarlo y borrarlo a mano, como vemos esto no es viable si el fichero tiene muchas líneas
Editar el fichero con el editor de textos "vi" y ejecutar el siguiente comando ":%s/^M//g"
Utilizar el comando sed de esta manera "sed 's///g' -i fichero"
Utilizar perl de esta manera "perl -pi -e 's/\r\n/\n/g' fichero"
En el caso de que queramos aplicar este cambio a todos los ficheros de una misma carpeta solo tendriamos que ejecutar "perl -pi -e 's/\r\n/\n/g' *"

Como habeis visto, hay maneras sencillas modificar ficheros sin tener que editar a mano cada uno de ellos, la verdad es que este es un truco bastante sencillo que nos ahorra muchos quebraderos de cabeza y sobretodo mucho tiempo :)

¿Para que sirve "> /dev/null 2>&1"?

2010-04-05T14:13:00.001+02:00

Cuando empecé a tocar sistemas Unix y veía en la crontab líneas de scripts que se ejecutaban y acababan en "> /dev/null 2>&1" me quedaba un poco anonadado ya que no entendía bien lo que hacía esta sentencia.

Había aprendido que el comando "mayor que" (>) servía para desviar la salida de un programa a otro sitio y que "/dev/null" lo que hacía era desviar esa salida hacia un fichero que no guarda ningún tipo de información (como si fuera un agujero negro) y por lo tanto conseguimos que no nos saque nada por pantalla. Esto lo sabía de las veces que tenía que borrar el contenido de un fichero y usaba el siguiente comando:

cat /dev/null > fichero.txt

STDIN, STDOUT y STDERR

Estos tres valores son las entradas y salidas standard para un programa. La entrada STDIN (Standard Input) normalmente viene por teclado o también puede venir desde otro programa. La salida STDOUT (Standard Output) es la salida por defecto de los programas y la STDERR es igual que la STDOUT pero para los errores de los programas.

A veces, estos valores los podemos encontrar en forma de número, siendo STDIN (0), STDOUT (1) y STDERR (2). Una vez que sabemos esto podemos deducir que el comando "> /dev/null 2>&1" lo que intenta es sacar el STDOUT a /dev/null y después de esto redirige la STDERR a la STDOUT.

En resumen, lo que hace "> /dev/null 2>&1" es mandar todo lo que salga a un agujero negro en donde no vamos a ver nada por pantalla y con lo cual tendremos un programa que no saca ninguna información sobre su ejecución.

Para verlo todavía mas claro podríamos decir que "> /dev/null 2>&1" es lo mismo que "> /dev/null 2>/dev/null"

Bacula, una solución gratuita de copias de seguridad (I de III)

2010-03-02T18:37:00.000+01:00

En esta serie de artículos, vamos a explicar la instalación y el funcionamiento de la aplicación Bacula.

Bacula consiste en una serie de programas Open Source que te permiten gestionar y realizar las copias de seguridad a través de la red. Es una aplicación fácil de utilizar y ofrece muchas opciones de almacenamiento y recuperación.

Si en tu empresa has utilizado aplicaciones de backup como Legato, ARCServe, Data Protector o Symantec Backup Exec, seguramente estés interesado en probar Bacula ya que es un software libre y multiplataforma.

Bacula se compone basicamente de 5 componentes:

Director: el mas importante de todos, supervisa los backups, recuperaciones y verificaciones. El director es quien planifica las tareas a realizar. El director se instala a modo de servicio.
Consola (Console): la consola es el programa que nos permite lanzar comandos sobre el resto de componentes, existen tanto consolas con modo texto o consolas con interfaz gráfico para GNOME y KDE.
Cliente (File Daemon): el cliente es un servicio que se instala en cada equipo que queremos hacer una copia de seguridad de sus datos. El cliente es específico para cada Sistema Operativo y se encarga de suministrar los ficheros cuando el director los pide. Existen clientes en Unix, Linux y en Windows.
Almacenamiento (Storage): el servicio de almacenamiento es el encargado de realizar el almacenamiento o recuperación de los datos al medio físico (disco duro, cintas, DVD's, etc). En resumen, es el responsable de la lectura y escritura sobre los volúmenes físicos.
Monitor: el monitor nos permite saber cual es el estado de los distintos servicios como el director, almacenamiento o el cliente.

A continuación podemos ver un esquema gráfico de como se comunican entre si los componentes de Bacula:

En la foto podemos observar como el director de Bacula es el encargado de conectarse con el servidor de almacenamiento y con la base de datos para realizar la copia de seguridad sobre una máquina. Este esquema nos permite tener instalados los módulos de Bacula en distintos servidores, así pues podemos tener instalado por una parte el servidor de almacenamiento en una máquina conectada a una NAS/SAN y el director y la base de datos en otro servidor totalmente distinto.

En el siguiente artículo analizaremos como instalar Bacula sobre Ubuntu o CentOS para luego hacer copias de un servidor Windows y posteriormente como aplicar un frontal web como Webacula para gestionar de manera mas fácil las copias de seguridad y los distintos agentes que tenemos instalados.

Ya lo dice su eslogan "It comes in the night and sucks the essence from your computers", así que ya sabeis, a hacer las copias por la noche :)

Depredadores en la red

2010-02-17T18:33:00.001+01:00

Una entrada muy interesante del blog de Pedro Sanchez nos cuenta como trabajan los depredadores en la red. No os la perdais, es muy interesante :).

"Una chica de 16 años contactada por Tuenti sufre una agresión sexual en cadiz.

El 'grooming' o acoso a los menores suele ser protagonizado por los adultos que, tras ganarse la amistad o confianza de aquellos a través de Internet, obtienen satisfación sexual mediante imágenes eróticas que el propio menor facilita insconscientemente o bajo amenaza.

En octubre pasado, la BIT detuvo en Cádiz a un depredador que llegó a ocasionar el suicidio de un niño Estonio de 11 años. El hijoputa de agresor se hizo pasar por una adolescente. El chantajista gaditano distribuyo las fotos de este niño ante los amigos de este. Ante la verguenza se pego un tiro con la pistola de su abuelo...

Continua aquí

Windows File Analyzer: una herramienta forense

2010-01-28T16:23:00.002+01:00

Cuando se realizan pruebas forenses sobre equipos Windows hay ciertos ficheros que tienen una especial importancia. Por ejemplo el fichero thumbs.db consiste en una pequeña base de datos en donde se guardan las últimas imagenes que se han visto en Windows por el usuario, es una forma mas de acelerar las futuras consultas de las imágenes. Otro fichero importante puede ser el index.dat que contiene todo el registro por donde el usuario ha navegado.

A continuación podemos ver un ejemplo de la herramienta aplicada sobre el fichero index.dat:

Windows File Analyzer nos permite analizar los siguientes tipos de ficheros:

Thumbs.db: permite analizar las imagenes que ha registrado este fichero
Papelera de reciclaje: nos permite analizar los ficheros que hay en la papelera de reciclaje
Accesos directos: WFA nos permite analizar los accesos directos en busca de fechas de última modificación y fechas de creación
Index.dat: nos permite analizar la información de la navegación (páginas visitadas, cookies, etc)
Carpeta Prefetch: el prefetch es el sistema que utiliza Windows para mejorar el rendimiento del SO y lo utiliza sobre las aplicaciones mas empleadas. Con esta información podemos saber cuales son las aplicaciones mas utilizadas y sus ultimas fechas de utilización por el usuario.

Como veis Windows File Analyzer es una herramienta muy completa que nos ayudará en nuestras auditorías forenses a sistemas Windows. Esta aplicación funciona bajo las versiones mas populares de Windows como XP y Vista además de funcionar sobre Windows 98 y 2003 Server.

La última versión la podeis descargar de aqui

Vulnerabilidad en Windows permite elevar privilegios

2010-01-20T19:38:00.007+01:00

Recientemente se ha publicado una vulnerabilidad para todas las versiones de Windows 32-bits (incluido Windows 7) que permite la elevación de privilegios. De momento no existe parche, estamos hablando de que es un "0 day" y cualquier persona puede acceder a este exploit sin previos conocimientos.

El fallo se encuentra en el soporte heredado que da Windows a las aplicaciones de 16 bits. Como bien nos explican en una-al-dia Windows comete algunos errores y asume que:

Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) .
Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible.
Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame".

Para eludir el tercer punto, se necesita acceder a una dirección de
memoria, que es siempre la misma en todos los Windows menos Vista y
Windows 7 que realizan una "aleatorización" de la carga en memoria. Se
supone que esto protege de este tipo de ataques. Sin embargo, usando
NtQuerySystemInformation(), se puede llegar a calcular dónde está esa
dirección aunque sea diferente en cada inicio, con lo que la protección
ASLR (Address space layout randomization) también se ve eludida.

Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron
el problema. Harto de que no publicasen una solución (que considera no
muy compleja), ha decidido hacer público el fallo. Él mismo entiende que
esta vulnerabilidad afecta de forma más seria a empresas y corporaciones
que mantienen a sus usuarios con privilegios limitados. Por desgracia,
la mayoría de usuarios caseros utilizan ya la cuenta de administrador
en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos
prácticos) para tareas cotidianas, con lo que la elevación de
privilegios no suele ser un requisito en los ataques.

En el siguiente ejemplo podemos ver como se ejecuta el exploit y la nueva ventana de cmd se ejecuta con el usuario SYSTEM:

Nos encontramos por lo tanto ante una vulnerabilidad grave que todos los administradores de sistemas deben remediar en sus servidores, aunque no hay parche oficial la vulnerabilidad es muy fácil de solucionar. Solo necesitamos abrir nuestra consola de políticas (gpedit.msc) y vamos a Configuración de Equipo -> Plantillas Administrativas -> Componentes de Windows -> Compatibilidad de Aplicación y habilitamos la política "Impedir el acceso a aplicaciones de 16 bits".

Una vez aplicada la política comprobamos que la nueva ventana de comandos se ejecuta con el mismo usuario que la crea:

Colleja a Microsoft por seguir teniendo compatibilidad con aplicaciones de 16 bits incluso en versiones como Windows 7 y otra colleja por no haber sacado el parche en su debido momento ya que hubo un aviso previo por parte de los responsables del exploit.

El exploit lo podeis descargar de aquí

Un saludo

Waledac, análisis de un botnet peer-to-peer (II de II)

2010-01-13T10:43:00.003+01:00

Como ya comentamos al final de la anterior entrega, Waledac ha sido uno de los botnets mas importantes del año 2009 y es muy posible que todavía en el año 2010 siga acampando a sus anchas por Internet, seguramente haya cambiado su manera de actuar y gracias al boom de las redes sociales en el año 2009 se habrá podido extender todavía mas.

Uno de los objetivos principales del estudio de Waledac era estimar su tamaño. Como ya dijimos, a los spammers no se puede acceder directamente e intentar medir el tamaño del bot por el nº de repetidores nos daría una cifra sin sentido. Así pues, los investigadores crearon un script para simular que era un repetidor del botnet. Este script implementaba todas las funciones del repetidor, salvo que en vez de reenviar las peticiones, las respondía directamente. A este script se le llamo Walowdac.

En la imagen anterior podemos ver el ejemplo de como se introdujo en la red el repetidor ficticio.

Para dar mas precisión a la medición del bot, se introdujeron varios repetidores ficticios a lo largo del botnet. La información que recibían estos repetidores ficticios iba desde IP's, timestamps, versiones de los bots y de Windows y también las campañas de spam que se distribuían a través del botnet. En las últimas versiones de Waledac también se capturaron datos como cuentas FTP, POP3 y HTTP, en concreto 128.271 cuentas de FTP, 93.950 HTTP y 39.051 POP3. Los bots dentro de Waledac son identificados con un ID y cada vez hay un intercambio de mensajes estos se identifican con su ID.

Resultados de las mediciones

Los resultados de las mediciones se tomaron desde el 6 de Agosto hasta el 1 de Septiembre.

Durante la recolección en este periodo, se encontraron 248.983 IDs de diferentes nodos. El número máximo de nodos recolectados en un solo día fue de 102.748. Lo curioso viene ahora, casi todos los spammers y repetidores son originarios de USA o de Europa:

Como vemos en esta tabla, USA está a la cabeza con el 17,34% de los spammers y el 19,50% de repetidores. Lo que realmente me acojona, es que España esté entre estas cifras, que un país de 40 millones de habitantes sea el 5,90% del total de los spammers y el 4,60% de los repetidores dice mucho, a mi me sugiere que la gente no está concienciada con la seguridad y que además debemos de comprar mucho Viagra, Cialis o cualquier producto que nos llega a nuestra bandeja de entrada en forma de spam.

Sobre las campañas de spam que manda Waledac, se recogieron distintos métodos de spam, entre ellos:

Mandar spam con información sobre Viagra, Cialis y otros medicamentos farmaceuticos
Correos con la promesa de regalo de un reloj de imitación si agregábamos a un amigo al correo
Correos especiales del día de San Valentín, Navidad, etc.

Otro dato importante es el nº de correos que podría llegar a mandar el bot diariamente. Un estudio reciente de ESET reveló que un spammer podía mandar alrededor de 6500 correos por hora pero solo llegan a su destinatario un 25,32%, lo que harían 150.000 correos al día. Teniendo en cuenta que se monitorizaron unos 10.000 bots conectados a la vez, si hacemos cuentas:

10.000 * 24 * 6500 * 0.2532 = 394.992.000 correos enviados al día

Este número solo es una estimación pero nos da una idea de lo que es capaz de hacer Waledac. Si todos los equipos estuvieran encendidos a la vez, Waledac sería capaz de enviar 8000 millones de correos, una cifra espeluznante.

Conclusión

Como conclusión quiero hacer especial mención a que en España falta todavía mucha información sobre seguridad informática a nivel de usuario y que creo que en los colegios se debería de enseñar desde pequeños a utilizar correctamente los equipos y a introducir ciertas palabras como spam, phishing, virus, botnet para que sepan que en Internet no todo son flores y margaritas de colores como algunos creen que es.

And the XSS goes to...

2010-01-05T16:59:00.000+01:00

eu2010.es. Así es, el ganador de comienzo de año de XSS ha sido para web de la presidencia española. Ayer a través de distintas redes sociales, se dió a conocer un fallo de XSS en el cual aparecía en la web de la presidencia española el famoso personaje Mr.Bean en vez del Presidente Zapatero.

La URL en cuestión era la siguiente: http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

En esta URL podemos ver como se inyecta en el parametro query de la página "resultadoBusqueda.html" el valor:

%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en

el cual traducido de hexadecimal a ASCII quedaría así:

Como podemos ver se está ejecutando en la parte cliente (en el NAVEGADOR como bien dice Jose A. Guasch) y no en el servidor (XSS no persistente) un script que ejecuta una foto de nuestro amigo Mr. Bean.

En resumen, un 0 para los programadores que han realizado esta página por no validar los parámetros de entrada, otro 0 para los auditores que no han revisado de forma correcta la página web y otro 0 para el responsable de seguridad por no haber revisado todos los parámetros de la página web.

And the stupidity goes to...

Hasta aquí todo bien, ha habido un XSS como lo hay en millones de páginas importantes. La mala leche viene cuando ciertos periódicos y "periodistillas" intentan creerse que lo saben todo y que tienen toda la razón haciendo publicaciones de este tipo

En este artículo podemos leer un parrafo que comenta lo siguiente:

Los "hackers" consiguieron saltarse los sistemas de seguridad de la web de la Presidencia española el lunes, bloquear la página y colocar una imagen de Mr. Bean, sonriente, con los ojos muy abiertos y con cara de sorpresa, que saludaba con un "Hi there" ("Hola a todos", en un inglés coloquial)

Veamos ciertos términos de este párrafo los cuales claramente están escritos de forma sensacionalista y morbosa:

Hacker: ya estamos con que la abuela fuma, los "hackers" no son gente de mala fe, son gente que utilizan la cabeza para pensar, que les gustan los retos y que intentan mejorar sus habilidades día a día sin hacer mal a nadie. El nombre de alguien que comete un delito es delincuente o cracker si os gusta mas, no "hacker".
Saltarse los sistemas de seguridad: saltarse los sistemas de seguridad es como el que salta una valla y llega hasta el muro y coloca una foto de Mr.Bean. Si no consigues llegar al otro lado de la valla, no la has saltado. De poco sirve poner un cartel en el lado de la valla con la cara de Mr.Bean.
Bloquear la página: la página web se bloqueó seguramente por los millones de personas que intentaban acceder en ese momento, no porque los supuestos "hackers" la bloquearan.
Hi there: a ver si aprendéis inglés porque "Hi there" no es "Hola a todos", simplemente es "Hola", igual que "Hi" pero mas coloquial.

Con esto intentamos decir (por si alguien no lo ha pillado aun) que hay que tener un poco de cabeza antes de escribir una noticia ya que últimamente se ven muchas noticias sensacionalistas y estúpidas que no van a ninguna parte y que encima hacen quedar al periódico en cuestión como el culo.

Un saludo

Waledac, análisis de un botnet peer-to-peer (I de II)

2010-01-05T12:35:00.008+01:00

Desde la Universidad de Mannheim junto con el laboratorio de seguridad de la Universidad de Viena se ha hecho un estudio de uno de los botnets mas peligroso del año 2009: Waledac.

Este estudio o proyecto ha tenido por nombre: "Walowdac - Analysis of a Peer-to-Peer Botnet" y nos adentra en una de las mayores amenazas en Internet de hoy en día.

Para la realización de este estudio, se utilizo un clon del botnet llamado Walowdac, el cual emula y estudia el comportamiento del botnet real Waledac.

¿Qué es un botnet y para que se utiliza?

Un botnet es una red de equipos comprometidos controlados por un atacante. Los botnets son utilizados para realizar ataques distribuidos de denegación de servicio (DDoS), ataques de spam, ataques automatizados, etc.

¿Cual ha sido su evolución?

Las primeras generaciones de los botnet no eran mas que máquinas infectadas (zombies) conectadas a un cerebro (maquina principal) el cual se encargaba de mandar las señales al resto de máquinas infectadas. Estos botnets se basaban en estructuras centralizadas y de ahí a que su conocimiento sea alto gracias a las técnicas de botnet tracking.

La segunda generación de botnets evitan las arquitecturas centralizadas utilizando mecanismos de comunicaciones peer-to-peer como el famoso botnet Storm Worm predecesor de Waledac. Así pues es mucho mas difícil seguir su rastro ya que nos encontramos ante una autentica red de equipos descentralizados.

¿Cómo funciona Waledac? ¿Cómo se propaga?

La estructura de Waledac tiene como poco 4 capas diferentes las cuales podemos ver en la siguiente imagen:

En el nivel mas bajo de la jerarquía de Waledac, podemos encontrar los equipos llamados spammers. Estos equipos son los encargados de mandar los correos de spam y de phising. La diferencia entre los spammers y el resto de equipos del botnet es que los spammers no tienen una IP pública debido a que están detrás de un router con NAT y no se puede acceder a estos directamente desde Internet. El beneficio de esto es que por mucho spam que manden los spammers y generen una gran cantidad de tráfico, no es fácil seguirles la pista

En el siguiente nivel encontramos a los repetidores, estos equipos son el punto de entrada de los equipos que van a formar parte del botnet y su futuro punto de referencia. Debido a esto los repetidores necesitan tener una IP publica accesible. Un repetidor se puede considerar como un mediador entre la primera capa y la tercera capa del botnet. Los spammers contactan con los repetidores para adquirir nuevas tareas o para informar de su trabajo. Estas peticiones de trabajo son enviadas por los servidores Back-end.

Los servidores Back-end se encargan de responder a las peticiones finales de los spammers y de enviar las peticiones a los repetidores. Además también realizan funciones de servidores proxy.

Por encima de los servidores Back-end y en la parte superior de la jerarquía de Waledac, se cree que existe una mother-ship, la cual podríamos decir que es la encargada de gestionar todo el botnet y de actualizar el resto de servidores con nuevas funcionalidades.

Mecanismos de propagación

Los bots de Waledac no tienen ningún mecanismo integrado de propagación. Esto quiere decir que no buscan en sus redes locales para infectar a mas máquinas. Waledac es mucho mas simple que todo esto, simplemente se propaga mediante ingeniería social. De ahí a que los spammers se encarguen de enviar frecuentemente emails con URLs que apuntan a las últimas versiones de Waledac. Para incrementar la probabilidad de infección en nuevos equipos, los spammers envían bonitos correos de felicitaciones o postales.

En la imagen siguiente, podemos ver como es el ciclo de infección de Waledac:

El número de cada linea de la imagen indica el ciclo que sigue la infección de Waledac. La infección se puede resumir con los siguientes pasos:

El spammer cada cierto tiempo pide a los repetidores una nueva tarea a realizar
Los repetidores envían estas peticiones a los servidores Back-end
Los servidores Back-end responden a esta petición con una tarea a realizar, por ejemplo: "Manda Spam"
Los repetidores envían esta información a los spammers para que la ejecuten
Los spammers envían correos infectados a máquinas sin infectar
La máquina sin infectar recibe el correo y presiona en el enlace
El repetidor recibe la petición del equipo sin infectar y le pide el binario al servidor Back-end
El servidor Back-end le envía el binario al repetidor
El equipo sin infectar recibe el binario de Waledac

Dependiendo del nivel de acceso que se tenga a la máquina recién infectada, esta será puesta como repetidor o como spammer

En la siguiente parte del artículo abordaremos la forma de medir el número de infecciones de este botnet en el proyecto y los resultados de estas mediciones, las cuales nos sorprenderán bastante.

Un saludo

SMS Spoofing

2010-01-04T12:34:00.001+01:00

Si pensabais que los ataques de spoofing solo afectaban a los correos, estabais muy equivocados. Los chicos de 48 bits, nos traen la técnica del spoofing aplicada a los SMS.

La técnica basicamente consiste en poder enviar SMS a tus "amigos" haciéndote pasar por otra persona, seguro que en estos momentos se os están ocurriendo montón de cosas buenas.

Desde 48 bits se ha dado ejemplo de este ataque utilizando los servicios SMS ofrecidos por las webs de Coca-cola y de Renfe, vamos que no estamos hablando de los servicios que ofrece mi tío el del pueblo.

Cualquier manta con 2 dedos de frente puede enviar SMS haciéndose pasar por RENFE y diciendo que regalan viajes gratis de AVE a todo el mundo que se pase por la estación o también hacer un phising mediante el uso de alguna página web maliciosa...

Mucho cuidado con los SMS que recibis!!!

Un saludo

FELIZ AÑO 2010!!!

2010-01-01T13:51:00.001+01:00

FELIZ AÑO 2010!!!

Espero que lo hayais pasado muy bien en estos días y os deseo lo mejor a tod@s para este año!!!

Un saludo.

Llega la versión 5.10BETA1 de NMAP

2009-12-03T12:31:00.000+01:00

Como muchos ya sabréis, NMAP es el escaneador de redes favorito para mucha gente. Insecure.org acaba de sacar la última versión beta de este famoso escaneador de redes, esta nueva versión incluye mejoras como 14 nuevos scripts como smb-psexec, dhcp-discover, http-enum, ssl-cert, x11-access, http-headers, etc.

Además, en esta versión se ha vuelto a escribir la opción de --traceroute para que tenga mejor rendimiento y se han añadido nuevos fingerprints de Sistemas Operativos como Google Android o Mac Os X 10.6 (Snow Leopard).

El log de todos los cambios lo podéis ver en la página oficial de nmap.

Un saludo

Zas, en toda la boca

2009-11-20T10:23:00.001+01:00

¿A cuantos les habrá pasado algo parecido? Seguro que muchos de vosotros habeis apretado al botón de "Let Horse in" para ver lo que pasaba eh...

inSSIDer, el escaneador de redes wifi

2009-11-16T19:29:00.000+01:00

No se si os acordareis del querido NetStumbler, esa gran aplicación para auditorías WiFi que venía muy bien para saber que redes tenías a tu alrededor. El problema de esta aplicación viene cuando te encuentras que no es muy compatible con Windows XP y Vista de 64-bits, para ello se ha creado un nuevo software open source llamado inSSIDer.

inSSIDer es un escaner de redes WiFi open source diseñado para ser compatible con los últimos Sistemas Operativos de Microsoft, requiere el framework 2.0 para funcionar correctamente. inSSIDer se puede utilizar para escanear rapidamente las redes que hay a tu alrededor. Además también permite grabar la actividad wireless para hacer una interpretación a posteriori. La verdad que es una aplicación muy similar a NetStumbler y que no os defraudará.

Os dejo una pequeña captura de pantalla de como se ve el programita con una tarjeta Intel 3945ABG:

Las características de este programa son las siguientes:

Funciona en Windows XP 64bits y Vista 64bits
Filtros por MAC, SSID, canal, RSSI, etc
Se puede ver la intensidad de la señal en dBm
Puedes exportar los datos a un fichero KML para verlo en Google Earth

Un saludo

Material de la Def Con 17

2009-11-16T17:12:00.000+01:00

Aquí teneis los papers y materiales de la última Def Con con artículos muy interesantes como "Tactical Fingerprinting using Metadata, Hidden Info and Lost Data" de Chema Alonso y Palako.

Estoy seguro de que estos papers no os defraudarán y os darán muchas horas de estudio :)

Servicios gratuitos de VPN

2009-11-13T18:47:00.001+01:00

Hay distintas maneras de navegar por Internet anonimamente. Los proxies por ejemplo son una manera rápida y fácil de navegar "anonimamente" en Internet, pero siempre dan problemas de velocidad, problemas de compatibilidad con Javascript y con contenido dinámico.

Las VPN nos ofrecen una manera de navegar anonimamente bastante cómoda, el único problema suele ser que estos servicios son de pago en casi todos los casos. Como somos un poco rancios y no queremos pagar un duro por nuestro anonimato, tenemos algunos servicios VPN en Internet gratuitos:

AlonWeb

AlonWeb es una solución VPN que utiliza OpenVPN, una aplicación gratuita para realizar VPNs. Es muy sencilla de usar, basta con bajar OpenVPN e instalarlo en nuestro equipo, después nos descargamos el certificado de AlonWeb y el fichero de configuración. Este fichero lo copiamos en la carpeta de configuración y después procedemos a registrarnos un usuario en AlonWeb que será el que utilizaremos a la hora de crear la VPN.

JAP

JAP es un servicio alemán de VPN así pues la IP asignada por el servicio seguramente sea alemana en casi todos los casos. JAP no necesita ningún tipo de usuario y contraseña, basta con descargarte el programita, instalarlo y conectarte a sus servidores.

UltraVPN

UltraVPN es un sistema similar a AlonWeb, está basado también en OpenVPN y es muy fácil de utilizar. Basta con descargarse el cliente de UltraVPN y registrarte en la página web.

ItsHidden

ItsHidden es un servicio muy rápido y realmente fácil de utilizar. Basta con crearnos un usuario en su página web y después crear una conexión VPN a través del cliente que tiene Microsoft.

Como veis, siempre hay soluciones gratutitas en Internet, claro que tampoco podemos fiarnos al 100% del anonimato de estos sitios, ya que al no pagar por sus servicios ellos pueden estar guardando logs para cubrirse las espaldas.

Un saludo

El talento de Mr. Ripley

2009-11-11T16:23:00.001+01:00

Las aplicaciones web cada vez están mas de moda, algunos ejemplos son Facebook, Google Maps, Gmail y un largo etc. La típica aplicación realizada con AJAX consiste en un componente implementado en un servidor con .NET o JAVA y de un cliente ejecutado en Javascript. El resultado es una aplicación visiblemente mas rápida debido a que gran parte del código es ejecutado en la parte cliente evitando comunicaciones innecesarias con el servidor.

Sin embargo, una vez que parte del código está en el cliente, un usuario malicioso puede modificar facilmente la parte del usuario y poner en peligro el estado del servidor, como se muestra abajo. El cliente puede modificar y manipular el código residente en la parte cliente.

Para solucionar este problema, los investigadores de Microsoft han propuesto a Ripley, un sistema que utiliza la replicación para preservar la integridad de la computación distribuida. Ripley replica una copia del lado del cliente en un servidor de confianza. Cada evento del cliente es transferido a la réplica del cliente para su ejecución.

Ripley observa los resultados de la ejecución entre el cliente original y la replica del cliente contra el servidor. Cualquier diferencia se marca como una violación de la integridad. Un diagrama con la arquitectura de Ripley se muestra a continuación

El paper con la información sobre la investigación lo podemos encontrar aquí.

Comprometida la web del PP de Valencia

2009-10-27T09:52:00.008+01:00

Esta mañana a través de un compañero, me he enterado que la web del PP de Valencia había sido defaceada y le había puesto al Sr. Camps un mensaje de ánimo, apoyo y otras cosas bonitas jaja.

A continuación os dejo la vista de la web a primera hora de la mañana:

Vemos como el hacker hace una pequeña declaración de amor hacia una tal Lara, para que luego la gente diga que no tienen corazón jaja.

Si ahora intentais entrar a la página web del PP de la Comunidad Valenciana vereis que está puesta la imagen del Plesk y que están de "supuesto" mantenimiento.

El sujeto que ha hecho el defacement ya había hecho alguna que otra cosilla por ahí y de hecho lo podeis comprobar en su blog, el cual lo encontrareis buscando un poco por google :).

Un saludo

Estadisticas del WASC

2009-10-20T12:51:00.006+02:00

El WASC (Web Application Security Consortium) ha publicado los resultados de las distintas vulnerabilidades que se han encontrado durante sus tests de intrusión del año 2008.

Esta iniciativa pretende ayudar y concienciar a las empresas sobre las vulnerabilidades web que existen. Para hacer este estudio utilizan distintos softwares de compañías ya conocidas como puede ser HP o WhiteHat Security.

En resumen, podemos decir que que mas del 13% de las páginas web revisadas podrían ser comprometidas. El 49% de las aplicaciones web tienen vulnerabilidades de alto riesgo detectadas mediante escaneo automático. Sin embargo, mediante el escaneo manual se podría decir que un 86-90% de las aplicaciones tienen vulnerabilidades de alto riesgo. Además, el 99% de las aplicaciones web no cumplen con el estandard PCI DSS.

Las vulnerabilidades mas extendidas son el Cross-Site Scripting, la perdida de información y SQL Injection como podemos comprobar en el siguiente gráfico

Los resultados son demoledores, XSS es la vulnerabilidad mas extendida pero no la mas peligrosa para una empresa, seguramente la pérdida de información por mala o por falta de configuración es un activo bastante mas importante para una empresa. El informe también nos deja caer que la utilización de herramientas automatizadas para el escaneo de vulnerabilidades es necesaria pero que se deben realizar también auditorías manuales.

La verdad es que los resultados son interesantes...muy interesantes...sobre todo para los que viven del fraude :)

Un saludo

¿Cumplen los gimnasios con la LOPD?

2009-09-24T16:20:00.003+02:00

Os preguntareis...¿que se ha fumado esta vez? La respuesta es NADA!!! Ayer estaba corriendo tan tranquilo en la cinta en el gimnasio cuando de repente pensé "¿qué datos personales se guardarán en los ficheros de los gimnasios?.

Como sabreis, algunos gimnasios ahora implementan unas pequeñas llaves que se meten en las máquinas para leer la información de tu tabla, pero ¿qué mas datos pueden guardar estas llaves? Estoy seguro de que guardan datos como Nombre y Apellidos ya que eso lo pone en cuanto metes la llave en cualquier máquina, pero...¿guardarán algún tipo de dato mas?.

De lo que si que estoy seguro es de que guardan datos personales de alto nivel, ya que cuando te hace el monitor la entrevista con el ordenador te preguntan cosas como, ¿has sufrido o padecido alguna enfermedad grave? o ¿tienes algún problema de espalda o de algún otro tipo?. Desde luego que estos datos son de caracter personal y tienen que cumplir con la ley (cifrado de datos, copias de seguridad, registro de acceso a los datos, transmisión de datos por redes, documento de seguridad, fichero dado de alta en la agpd,etc).

¿Tu crees que realmente cumplen todo? Yo sinceramente creo que no, pero como creer no es suficiente pues me voy a enterar de ello :).

Un saludo

Gmail caido durante mas de 1 hora

2009-09-02T13:27:00.002+02:00

Ayer día 1 de Septiembre el servicio de correo de google estuvo caido durante mas de una hora.

Sobre las 10 de la noche google publicó en su web un mensaje en el cual sabían que tenían problemas y pedían perdón a los usuarios por los problemas ocasionados.

Es la segunda vez que google tiene un parón en lo que va del año, la anterior vez fue el 14 de Mayo de este año. De todas maneras, ¿para que preocuparnos? Si el servicio todavía es BETA...

De cambios y vacaciones

2009-07-31T11:31:00.003+02:00

Buenas a tod@s:

Como podreis ver he introducido unos pequeños cambios al blog, lo primero que he hecho ha sido pasarlo de Wordpress a Blogger y lo segundo que he hecho es redireccionar mi dominio hacia el blog de blogspot para así no perder a gente :).

Además, a partir de mañana el equipo tiene vacaciones durante todo Agosto así que los posts se van a reducir, pero ¡¡¡no pasa nada!!!, en Septiembre volveremos por aquí a dar mal.

Pasad buen verano

Un saludo a tod@s

Un bug para dominarlos a todos

2009-07-23T13:00:00.000+02:00

Recientemente ha salido un bug que afecta a todos los navegadores dejándolos bloqueados del todo, el listado de los navegadores afectados es el siguiente:

Internet Explorer 5, 6, 7, 8 (all versions)

Chrome (limited)

Opera

Seamonkey

Midbrowser

Netscape 6 & 8 (9 years ago)

Konqueror (all versions)

Apple iPhone + iPod

Apple Safari

Thunderbird

Nokia Phones : Nokia N95 (Symbian OS v.9.2),Nokia N82, Nokia N810 Internet Tablet

Aigo P8860 (Browser hangs and cannot be restarted)

Siemens phones

Google Android G1 (TC4-RC30 & Firmware 1.5, Kernel: 2.6.27-00393-g6607056, Build: CRB4)

Blackberry 8800 & 8130 (Browser crash due to null ptr deref)

La vulnerabilidad viene de algo que tienen todos en común, Javascript. Llamando al método select () con un "large integer" hace que el navegador se congele del todo consumiendo memoria sin conocimiento.

La prueba de concepto la teneis aquí así que si quereis ver como se os queda tostado el navegador ya sabeis :)

¿Cómo evitar esto? Pues con módulos de seguridad disponibles por ejemplo para Firefox como el noscript, los cuales no permiten ejecutar Javascript salvo que el usuario quiera.

Ya está aquí la guía de pruebas de OWASP v3 en español

2009-07-16T14:34:00.000+02:00

Tras el exito de la anterior guía de pruebas, el equipo de OWASP ha vuelto a currarse la traducción de esta guía de nada menos que 372 páginas. La finalidad de esta guía es dar una serie de pautas y pruebas de seguridad a los usuarios que desarrollan páginas web.

La verdad es que esta guía es una maravilla y os la recomiendo a todo el mundo, siendo para mi imprescindible en el trabajo diario.

Aquí teneis la descarga de la guía [pdf] [doc]

Un saludo