viernes, 18 de diciembre de 2009

Twitter víctima hoy del ciberterrorismo

1261123524_0

Twitter vuelve a ser víctima de un ataque de tipo defacing mostrando esta mañana durante unas horas una imagen con el logotipo de un grupo de ciberterroristas autodenomidados "Iranian Cyber Army". Este ataque no ha afectado a todos los servicios de Twitter ni a las conexiones de todo el mundo, sino que se ha mostrado esta página en la conexión de algunos usuarios a algún servidor de Twitter.

Leer más en diariodeunhacker.com...

lunes, 30 de noviembre de 2009

Hacker detenido en Tenerife (toda la noticia)

02724_1gEsta semana se publicaba la noticia de un hacker que ha sido detenido en Tenerife. La noticia ha sido publicada en todos los medios y ha tenido gran difusión, pero como suelo hacer siempre, voy a intentar recabar la mayor cantidad de información real sobre la noticia (tanto sobre los hechos, como técnica) y voy a intentar explicarlo de la forma más facilmente comprensible para todos, además de mostrar mi opinión personal sobre lo acaecido.

Leer más...

sábado, 31 de octubre de 2009

Web del PP defaceada

Este tipo de noticias no es que nos parezcan buenas noticias, pero sí que representan un termómetro del nivel de general de preocupación por la seguridad IT que existe en empresas y organismos públicos. Esta semana la página Web del Partido Popular en Valencia fue defaceada y powned! (apoderada) aparentemente por parte de un hacker con alias kr0no y con su propio blog en un muy buen portal comunitario de hackers con cantidad de documentación interesante sobre hacking llamado diosdelared.com. Ayer en su blog se mostraba la página del PP de Valencia con la foto de Camps como powned y owned!

Leer en diariodeunhacker.com

martes, 27 de octubre de 2009

R.I.P. Geocities

geocities1

En el presente año en el que se ha hecho notar mucho más que en anteriores, pasan continuamente cosas como estas: son recortes de personal, recortes de gastos, de servicios prescindibles, etc. Ahora le ha llegado el turno a el portal Geocities, que para los que lleven mucho en esto de la Informática, les sonará bastante. El pasado 26 de Octubre Yahoo, propietaria de Geocities desde 1999 (año en el que la compró por 400 millones de dolares) echó el cierre "definitivo" a Geocities, en la que ya no se permite la creación de nuevas cuentas.

Leer más en diariodeunhacker.com

lunes, 19 de octubre de 2009

Sorteo de un BackTrack4 Appliance

backtrackbox logo



En diariodeunhacker.com hemos creado un producto innovador basado en el desarrollo de un proyecto en el que llevamos trabajando casi un año.Un equipo tipo Appliance de reducido tamaño ideal para auditoría de sistemas y test de penetración, para los profesionales de la seguridad. Este equipo que se pondrá pronto a la venta, se sorteará entre los miembros inscritos en esta comunidad (diariodeunhacker.com) antes de las 24 horas del 31 de Diciembre de 2009 y será enviado en la primera semana del 2010 al ganador.

Leer más en diariodeunhacker.com

sábado, 17 de octubre de 2009

Google detecta código malicioso

DetallesMalware

El gran gigante Google ha agregado un nuevo servicio en su extenso catálogo de prácticas herramientas y servicios. Se trata de un sistema de detección de scripts y códigos maliciosos en los sitios Web a través de sus robots de indexación de contenidos. Google está actuando por tanto de forma consciente y activa en uno de los problemas qué más daño está causando a Internet: el malware.

Leer más en diariodeunhacker.com

jueves, 15 de octubre de 2009

Otro equipo desinfectado de malware

analisis de virus

Ayer me conecté a uno de mis clientes que se quejaba de tener un virus en su equipo, debido a los típicos síntomas como una reducción de velocidad, cuelgues habituales, y finalmente una pantalla de advertencia del antivirus que detecta un intento de acceder a una Web para descargar un archivo que aparentemente es malicioso. Tomo nota del error del antivirus y me pongo manos a la obra para intentar solucionar el problema sin tener que llegar a la típica solución de reinstalar el sistema operativo, que aunque buena, conlleva muchas horas de trabajo y otros problemas añadidos.

Leer más en diariodeunhacker.com

Blog Action Day 2009

Blog Action Day

Hoy 15 de Octubre es el Blog Action Day del año 2009, un día en el que más de más de 7800 blogueros en todo el mundo, apoyamos una acción social mediante las palabras escritas en nuestros blogs. Este año el centro de nuestra acción de conciencia social es el cambio climático, algo que todavía no es reconocido por muchas personas, pero que se vuelve cada año más evidente.

Cada año se celebra este día con una acción diferente contra los problemas mundiales, entre los que cuentan: la pobreza, los derechos humanos, el cambio climático, la injusticia, etc. En esta acción participan gran parte de las ONG importantes, además de otros colaboradores como Google, Opera e incluso partidos políticos.

Leer más en diariodeunhacker.com

jueves, 8 de octubre de 2009

Backrack 4 PreFinal es casi perfecto


La semana pasada hicimos un taller en Madrid sobre el uso y optimización de BackTrack 4 prefinal en unay una Alfa / Bosslan RTL8187 para el análisis de penetración en redes inalámbricas Wi-Fi. La motivación principal de este curso / Lab fue la de crear un entorno de análisis de penetración en redes (inalámbricas) lo más estandar posible para que posteriormente todos los asistentes (expertos en seguridad) pudieramos utilizar las mismas herramientas con las mismas configuraciones y/o problemas.

Leer más en diariodeunhacker.com

martes, 29 de septiembre de 2009

Así te infecta una Web maliciosa (I)

malware

Tras darnos cuenta de que algo raro está ocurriendo en nuestros ordenadores (lentitud, correos electrónicos tipo SPAM devueltos sin haber sido enviados por nosotros, conexiones a Internet...) y que posiblemente hayamos sido infectados por algún tipo de virus o troyano o malware, nuestro ordenador empieza a realizar sospechosas actividades. Comenzamos a dudar de su integridad: ya no nos obedece solamente a nosotros, ahora también recibe ordenes externas sin nuestra autorización. ¿Qué está pasando? Pero, sobre todo ¿cuándo comenzó a pasar, y cómo nos infectamos sin habernos dado cuenta?

Leer más en diariodeunhacker.com

Hemos actualizado los enlaces Web

bookmarks_list_add-128Acabamos de actualizar todos los enlaces en la sección de Enlaces Web del menú Servicios de este portal. Por supuesto que ésta es una sección viva y que tiene que mantenerse actualizada día a día con nuevas aportaciones nuestras y de los miembros de la Comunidad Diariodeunhacker.com, pero he hecho un primera aportación, en la que simplemente he incluido algunos de los enlaces de los favoritos de mi navegador web, o por lo menos aquellos que considero politicamente correctos para ser publicados. He incluido una breve descripción en cada uno de ellos y el enlace. En un futuro intentaré mejorar el diseño de la presentación, pero el contenido principal ya está. Espero, como siempre, que os guste esta aportación.

Ver los enlaces en diariodeunhacker.com

viernes, 18 de septiembre de 2009

No es hacking pero entretiene


Esta sociedad occidental en la que vivimos, padece graves síntomas de estar perdiendo importantes valores morales, sociales y familiares. Cada día se escuchan sucesos y noticias que no son más que demostración de ello, que simplemente se podrían haber evitado si existieran cierto tipo de valores implícitos en nuestra educación moral. El siguiente vídeo que me han "espameado" presenta ...

Leer más en www.diariodeunhacker.com...

martes, 15 de septiembre de 2009

Los hackers se manifiestan a veces

blogs21sec

Curioso artículo, el que me encontré ayer, hojeando los blogs de otros colegas en busca de información.

La fuente está en el blog de S21sec, empresa dedicada a la seguridad cibernética y a la forénsica, que cuando estaban analizando el código de un troyano bancario (yo suelo hacerlo siempre off-line), se les conectó remotamente mediante una botnet su programador para pedirle explicaciones sobre lo que estaban haciendo, caso que aprovecharon para consultarle sobre su creación y sobre su red o botnet de troyanos.

Leer más... (en diariodeunhacker.com, la comunidad)

Aircrack-ng de estreno

newaircracklogo

La suite aircrack-ng está de estreno completo. Después de casi dos años de desarrollo (1 de ocubre de 2007: primera versión beta 1), se acaba de publicar la versión 1.0 estable con algunas correcciones en el código desde su última release candidate. No cabe duda de que se trata de la única y por tanto, mejor, suite de programas de auditoría de penetración en redes inalámbricas, y nos ha dado a todos los que nos dedicamos a esto muchas horas de estudio y pruebas de concepto.

Leer más... (en diariodeunhacker.com, la comunidad)

domingo, 13 de septiembre de 2009

Todos los programas de Radio en formato Podcast


Desde el año 2007, mis colegas Antonio Ramos Varón y Jean Paul García Morán dirigen un programa de Radio On-Line dedicado a todos los temas relativos al hacking y seguridad en entornos IT. Este programa llamado "Mundo Hacker" ha sido desde sus comienzos grabado y emitido en la emisora de Radio on-line Radiouniverso.es con gran difusión. Desde sus inicios este programa cuenta con otros muchos colaboradores, como Rubén, Maikel, Yanko, Alberto y finalmente yo.

Leer más en diariodeunhacker.com

lunes, 7 de septiembre de 2009

Google se protege contra los hacks

thumb_google1

Durante el último año he estado observando como aparece una página de error de Google en algunos de los ordenadores de mis clientes y amigos. Y me ha extrañado bastante el estilo poco trabajado (casi parece un fake) del logo de Google que incorpora y la poca información que ofrece. Por eso he estado investigando en diferentes foros y blogs, sobre las explicaciones oficiales y las extraoficiales que se dan por Internet.

Leer más en diariodeunhacker.com

miércoles, 2 de septiembre de 2009

Nos hemos adelantado a todos

Ayer martes, publicamos la noticia del fraude del correo electrónico a Hacienda y hoy miércoles me la acabo de encontrar en 20 minutos y ha sido comunicada según ellos por el Ministerio de Hacienda.

Esto significa dos cosas básicamente:

1) que estoy bastante al día con las noticias que recabo.
2) qué desgraciadamente estoy en las listas de correo de todos estos desgraciados.

Procuraremos seguir dando noticias día a día para manteneros informados.

Referencia: http://www.20minutos.es/noticia/508437/0/timo/impuestos/hacienda/

martes, 1 de septiembre de 2009

Hacienda llama a tu correo

Que grata sorpresa, abrir mi correo electrónico y encontrarme un email en la bandeja de entrada de Hacienda (que somos todos), comunicándome que soy "elegible" para recibir una compensación de 186.80 euros.

Vamos mejorando en la composición e imitación de estos correos maliciosos, ya no los escriben monos que no saben ni escribir en castellano, por lo que resultaban totalmente inverosímiles. Pero indicarme que soy "elegible", "elegible" ¿de qué?, no he sido seleccionado para un concurso o algo así. Además si soy "elegible", no he sido elegido, sino que estoy en el bombo simplemente. Bueno, sin darle más importancia al tema, veamos las propiedades del correo, miremos en su interior:

Cabecera de datos:

Delivered-To: asf@sadfaec.com Received: from misiva24.acens.net (localhost [127.0.0.1]) by localhost (Postfix) with SMTP id 382BA296F3D for sadfaec.com>; Tue, 1 Sep 2009 17:44:57 +0200 (CEST) Received: from correo12.acens.net (rs-0-218.acens.net [217.116.0.218]) by misiva24.acens.net (Postfix) with ESMTP id CC32A296F39 for <asf@sadfaec.com>; Tue, 1 Sep 2009 17:44:56 +0200 (CEST) Received: (qmail 21571 invoked from network); 1 Sep 2009 15:44:56 -0000 Received: from unknown (HELO smtp.cantina1511restaurant.com) ([98.21.125.138]) (envelope-sender ) by correo12.acens.net (qmail-ldap-1.03) with SMTP for <asf@sadfaec.com>; 1 Sep 2009 15:44:56 -0000 Received: from User ([72.17.174.90]) by smtp.cantina1511restaurant.com with Microsoft SMTPSVC(6.0.3790.3959); Tue, 1 Sep 2009 11:44:53 -0400 Reply-To: From: "Agencia Tributaria" Subject: Reembolso de Impuestos Date: Tue, 1 Sep 2009 11:44:53 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Return-Path: impuestos@aeat.es Message-ID: X-OriginalArrivalTime: 01 Sep 2009 15:44:54.0101 (UTC) FILETIME=[2659C850:01CA2B1B] To: undisclosed-recipients:; X-PMX-Version: 5.5.7.378829, Antispam-Engine: 2.7.2.376379, Antispam-Data: 2009.9.1.153318 X-PMX-Spam: Gauge=X, Probability=12%, Report=' CTYPE_JUST_HTML 0.848, HTML_70_90 0.1, CHARSET_CYRILLIC_NO_CYRILLIC 0.05, BODY_SIZE_5000_5999 0, BODY_SIZE_7000_LESS 0, CHARSET_W1251_NOT_CYRILLIC 0, FORGED_MUA_OUTLOOK 0, LINK_TO_IMAGE 0, RDNS_GENERIC_POOLED 0, RDNS_POOLED 0, RDNS_STATIC 0, RDNS_SUSP 0, RDNS_SUSP_SPECIFIC 0, SPF_NONE 0, TO_UNDISCLOSED_RECIPIENTS 0, USER_AGENT_OE 0, __CHARSET_IS_CP1251 0, __CT 0, __CTE 0, __CTYPE_HTML 0, __CTYPE_IS_HTML 0, __HAS_HTML 0, __HAS_MSGID 0, __HAS_MSMAIL_PRI 0, __HAS_XOAT 0, __HAS_X_MAILER 0, __HAS_X_PRIORITY 0, __HTML_BOLD 0, __MIME_HTML 0, __MIME_HTML_ONLY 0, __MIME_VERSION 0, __OUTLOOK_MUA 0, __OUTLOOK_MUA_1 0, __PHISH_SPEAR_STRUCTURE_1 0, __RDNS_POOLED_9 0, __RECEIVED_FROM_USER 0, __RUS_HASHBUSTER_1251 0, __SANE_MSGID 0, __STOCK_PHRASE_7 0, __TAG_EXISTS_HTML 0, __TO_MALFORMED_3 0, __URI_NS , __USER_AGENT_MS_GENERIC 0'

Podemos ver varios detalles en la cabecera. Muy bien lo de envelope-sender (impuestos@aeat.es) o el campo "From" y "Reply". Pero el X-Mailer es Outlook Express 6 y no creo yo que este tipo de correos automatizados se envien mediante este software uno a uno. Lo más simpático es lo de smtp.cantina1511restaurant.com, aquí ya la hemos armado gorda. El SMTP de hacienda se llama cantina1511restaurant (AEAT se dedica a la restauración).

Pero el fin de la cuestión no es el diseño, ni el estilo, ni la cabecera, ni la cantina (por cierto ya he avisado a los de la cantina que tienen un problema de seguridad con el servidor de correo smtp), sino el link, que es a donde se le van los dedos a uno "http://mail.oceanic-fruits.com/", tiene toda la pinta de ser un servidor legítimo pero comprometido.

Miremos en whois a ver de quién es:
[owner-c] handle: 9390906
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Ulrike
[owner-c] lname: Nasri
[owner-c] org: Oceanic
[owner-c] address: Brooktor
[owner-c] city: Hamburg
[owner-c] pcode: 20457
[owner-c] country: DE
[owner-c] state: DE
[owner-c] phone: +49-40-2100790
[owner-c] fax: +49-40-30384399
[owner-c] email:


Además posiblemente el dominio principal no lo esté, sino el subdominio mail. Ahora toca abrir el VMware con mi Windows sin actualizar para ver lo que pasa cuando entro, imagino que es un troyano, pero veamos... Mala suerte, el index no está activo, quizás lo descubrieron y lo borraron o quizás no está todavía activo. Probemos con el teleport. El teleport es un software muy utilizado por los hackers y por los "buenos" para clonar páginas Web, como en este caso la de AEAT. Le pedimos que reciba el contenido de ese dominio y ... ¡Bingo! el contenido del portal malicioso ya está aquí.

No es como pensaba un inyectador de troyano basado en vulnerabilidades, sino un formulario que nos pide datos como el número de la tarjeta de crédito y el PIN y valida el tipo de datos mediante funciones javascript. Tras rellenar el formulario y darle a enviar datos, utiliza una función de envío de datos a un email y nos devuelve una página amable de agradecimiento por parte de Hacienda (http://0126.013624501/ss/submit.php) y nos lleva a la página real de AEAT. Algo muy común para dar en Internet: el PIN de la tarjeta. Esto ya resulta demasiado, pero este tipo de páginas funcionan gracias a la estadística. A millones de envíos de email, alguno pica.

Esto es un ejemplo de como se realiza a groso modo una auditoría de un correo malicioso que nos lleva a descubrir los dominios comprometidos y los receptores de correo del fraude. Estudiando el código fuente de la página o del correo podemos descubrir todos los datos necesarios para abrir una investigación o para alertar a las partes comprometidas, que probablemente el único mal que han hecho es no mantener sus servidores actualizados y seguros.

sábado, 29 de agosto de 2009

Los ordenadores más pequeños del mundo

En este artículos, vamos a repasar los últimos avances en miniaturización para la fabricación de ordenadores. Las posibilidades aplicativas que tienen este tipo de mini-ordenadores son ilimitadas, ya que gracias a su tamaño y su bajo consumo energético se puede implementar en casi cualquier lugar y de forma oculta.

Durante el último año he estado jugando bastante con ordenadores muy pequeños, específicamente estoy trabajando mucho sobre configuración y personalización de Appliances. Un appliance es un pequeño (o no tan pequeño) ordenador que viene preconfigurado para desempeñar una función (normalmente relacionada con el tráfico de red, como cortafuegos, enrutadores, hotspots Wi-Fi, balanceadores de carga, etc.). Este es un mundo muy interesante, puesto que las posibilidades de configuración de un pequeño ordenador con varias interfaces de red, son ilimitadas, sobre todo si lo hacemos sobre sistemas operativos tipo *nix (Linux principalmente).

Se me ocurrió la idea de crear un pequeño appliance, cuya función principal fuera hacer de servidor de RADIUS (basado en FreeRADIUS) para realizar el proceso de autenticación de puntos de acceso inalámbricos Wi-Fi o Wi-Max, o incluso de equipos de una red local cableada, mediante sistema NAC. Este appliance debería funcionar sobre Linux instalado en una tarjeta CF y permitir realizar toda la gestión desde una consola Web segura o mediante SSH. Así lo hice, y quedó perfectamente funcional: éste es uno de esos proyectos que nos mantienen entretenidos y entrenados.
Probé a realizar otros tipos de appliance (algunos sobre los que aún sigo trabajando) para el control e interceptación de tráfico de red inalámbrica, más en concreto sobre una sonda remota de monitorización de redes Wi-Fi. Durante todo este proceso he estado en contacto con un tipo de hardware que hace unos años desconocía, pero que me ha dejado bastante asombrado en cuanto a las prestaciones, precio y calidad. Sin embargo, esto no es más que el principio de lo que se puede encontrar actualmente en el mercado de la microinformática.

Hojeando de vez en cuando el hardware nuevo que va apareciendo, me he encontrado con los ordenadores más pequeños del mundo, y realmente merece la pena dedicarles un artículo aquí. Pero, ¿qué relación tiene esto con el hacking? Pues toda la que se le quiera dar, ya que cuando vean el tamaño de estos ordenadores, se puede ver el potencial de ocultación que tienen. Podemos llegar a meter un ordenador completo en una caja de pared (roseta de un enchufe), con todas las posibilidades que tiene la informática, mediante la construcción de un appliance u ordenador dedicado a tareas de hacking de forma totalmente automatizada mediante scripting.

Encontrar un ordenador en la roseta de un enchufe... hasta allí tendremos que llegar en un cercano futuro para las instalaciones empresariales (e incluso domésticas). Imaginen una empresa con gran cantidad de puestos de trabajo ligeros, de tipo terminal, en la que no existan las típicas torres o semitorres que molestan en todas las mesas o suelo. Todo va conectado a la pared directamente. Resulta un invento que promete un gran futuro. Se llama Jacket PC y está fabricado por una empresa israelí llamada Chip PC Technologies. Sus especificaciones son de las más completas de todos los modelos aquí presentados: Procesador hasta 1,2 Ghz, 4 puertos USBs, conector de audio, microfono y teclado. Su sistema operativo es windows CE .NET 4.2.


Este es el fit-pc y lo que llama directamente la atención de él, es su interface inalámbrica Wi-Fi que siempre es un valor a tener en cuenta a la hora de decidirse por un equipo de este tipo. Se me ocurren mil posibles aplicaciones para este mini equipo. Observe el tamaño de las llaves del coche; impresiona su tamaño. Sus características incluyen un procesador AMD Geode a 500MHz, 512Mb de RAM, disco duro de 60Gb tamaño 2.5 pulgadas, Ethernet, Wi-Fi, tres puertos USB, VGA y entrada y salida de audio para auriculares y micrófono. Se podrá comprar en breve con sistema operativo Ubuntu o Windows preinstalado.


Este es el linutop, un equipo, como su nombre indica, desarrollado sobre y para Linux. Se trata de un equipo totalmente funcional con la versión de Linux Linutop preinstalada con todas las aplicaciones básicas para uso de escritorio (entorno gráfico, navegador de Internet, correo electrónico, calendario, etc.). Es un ordenador transportable, que no portatil, para los entusiastas de Linux.

Especificaciones:
Processor: AMD Geode LX700 (x86) • Memory RAM: 256 MB
• 4x USB 2.0 ports
• Audio in & out
• Network: 10/100baseT Ethernet (RJ-45)
• Video: VGA output (SUB-D15)
• Size: 9.3 x 2.7 x 15 cm (3.66x1.06x5.9 in)
• Aluminum Case
• Power: DC in 9V - 1,5A (5W)
• Voltage Range: DC in 9V - 16V
• Operating temperature 10°-40°C
• Operating humidity 10%-90%
• Weight: 280 gr (9.9 oz)


Este mini cubo de unos cinco centímetros y medio (2,2"") por lado es prácticamente un llavero ordenador con unas características bastante interesantes para cierto tipo de aplicaciones basadas, como siempre en Linux. Se llama Space Cube y es un completo ordenador que utiliza tarjeta CF como disco duro y que puede mostrar por su tarjeta gráfica una resolución de hasta 1280x1024 pixels. Por su tamaño y forma parece más un hub USB que un completo PC, pero dispone de un procesador de 300MHZ, y 16MB de memoria flash, junto con un slot para tarjetas CF y 64 MB RAM. Viene preinstalado con Linux Red Hat.


El cargador de móvil que ven abajo, no es exactamente un cargador de móvil, pero sí que es un ordenador completo en forma de cargador. Su nombre es Marvell SheevaPlug y es un mini ordenador gestionable desde un entorno Web, ya que no lleva salida de pantalla. Sus especificaciones incluyen un procesador de 1.2GHz ARM, 512 Mbytes de memoria flash dedicada al almacenenamiento y otros 512 Mbytes de memoria RAM, puerto Ethernet de 1 Gigabit y un puerto del USB 2.0. En su configuración inicial hace de servidor de almacenamiento, detectando cualquier disco duro o dispositivo de almacenamiento USB que se conecte a él, para compartirlo en red, tanto desde la red interna como desde Internet. Viene precargado con Linux.



Y en último lugar, fíjense como se puede integrar un ordenador de limitadas prestaciones en un conector de red RJ-45. Se llama picotux y como su nombre indica, está basado en Linux. Aunque sus especificaciones son muy limitadas, impresiona el tamaño y su capacidad de ocultación. Su defecto, a mi parecer, es el hecho de que solo incorpora una interface de red. Si tuviera dos, aunque doblara su tamaño, tendría más posibles aplicaciones prácticas.

Especificaciones:
Procesador 32-bit ARM 7 @ 55 MHz
2 MB RAM Flash
8 MB SDRAM
Ethernet: 10/100 Mbit
Serial (TTL): Up to 230.400 bps
uClinux 2.4.27 Big Endian (native)
Shell: Busybox 1.0 and others File Systems: CRAMFS, JFFS2, NFS Applications: Webserver, Telnet
Size of the Linux Systems in Flash: 720 KB and more
Protected Bootloader for Update over Network: 64 KB
Code Development System: GNU Tool chain Compiler GCC 3.4.4 for C/C++ and Fortran Binutils 2.15 Library: uClibc 0.9.26


Personalmente uno de los principales requerimientos que exijo a la hora de buscar un equipo de este tipo, es que esté basado en procesadores x86, ya que son los más compatibles a la hora de personalizar el sistema operativo y aplicaciones que vayamos a utilizar. Si bien muchos de estos equipos se basan en procesadores ARM, Xscale y similares, cuando se precisa de alguna aplicación concreta para ellos en Linux debemos recompilarla mediante técnicas de crosscompiling, y aunque esto no sea lo más complicado del mundo, es bastante tedioso hacerlo. Sin embargo, al estar basados en x86 o tecnología basada en Intel, todo funciona sin necesidad de tanta pérdida de tiempo. Aun así, debo aclarar que hay repositorios en Internet para muchos sistemas operativos basados en Linux, que ofrecen infinidad de programas y paquetes precompilados para estas plataformas.

Otro gran inconveniente todavía hoy, es la interface utilizada para la salidad de video, o VGA. Tener que utilizar ese conector de 15 pines de gran tamaño para conectarse a una pantalla, es un gran inconveniente para la miniaturización de estos equipos. Ahora algunos monitores disponen de HDMI que es más pequeño, pero algún día podremos disponer de salida de video inalámbrica, o eso espero.

Todo esto que hemos visto en este artículo no es real, y se autodestruirá dentro de 15 segundos. No lo piensen. pero realmente parece sacado de una película de James Bond.

viernes, 28 de agosto de 2009

Próximo curso de hacking y seguridad Wi-Fi


En Septiembre, coincidiendo con la Feria anual ahora llamada SIMO Networks (22-24 Septiembre) , presentamos para esa semana un completo curso en Madrid sobre Wi-Fi, especialmente dedicado a su seguridad y técnicas utilizadas por los hackers para su ruptura.

Este curso, que repetimos de forma periódica, con gran aceptación y prestigio, acerca a los alumnos a los conocimientos generales sobre Redes inalámbricas a nivel técnico, práctico y de infraestructuras, tras lo cual se les muestran todas las técnicas utilizadas por los hackers para la ruptura de la seguridad y penetración en los sistemas. Durante todo el curso se ofrece un gran contenido práctico, utilizando por parte de los alumnos equipos y materiales de última generación que aportamos para la realización del curso.

Más información aquí.

Wi-Fi WPA/TKIP "tocada" de nuevo y casi "hundida"

Se ha presentado una nueva e importante noticia que vuelve a poner en jaque a las redes inalámbricas Wi-Fi de tipo WPA/PSK TKIP, que todavía se vienen considerando como muy seguras. En el ataque anterior diseñado hace un año por los investigadores Beck y Tews, se daba un gran avance en la ruptura de seguridad de este tipo de redes, consiguiendo en un plazo de unos 15 minutos inyectar falso tráfico, pero construido de tal manera que la red lo considera legítimo. Sin embargo, las limitaciones de este ataque anterior, hacían que en la práctica el ataque de inyección de tráfico no fuera del todo efectivo para causar daños o penetrar en el sistema. Otra gran limitación de este ataque era que el punto de acceso debía tener activado el protocolo de calidad de servicio QoS para que pudiera funcionar, si bien muchos APs lo incorporan activado por defecto.

Gracias a este nuevo ataque diseñado por los científicos japoneses Toshihiro Ohigashi y Masakatu Morii, se mejora cualitativamente el ataque (que sigue consistiendo en inyección de trafico) acortando el tiempo de funcionamiento y éxito de 15 minutos a, en el mejor de los casos, 1 minuto. Además se implementa de modo que ya no es obligatorio estar utilizando un protocolo concreto, como el de calidad de servicio, y al bajar el tiempo de ataque, se evita en gran parte ser detectados por denegar el servicio a una estación cliente durante demasiado tiempo. Este tipo de ataque como el anterior, funciona en modo MiTM (hombre en medio), interceptando y modificando el tráfico entre AP y estación. Ambos ataques se basan en la ruptura del protocolo MIC de correción de errores y protección mediante la técnica CHOP-CHOP.

El resultado final de este ataque sigue consistiendo en falsificar un paquete pequeño (ARP o DNS) para inyectarlo en la red destino, cosa que sigue teniendo una aplicación real no muy amplia, ya que los resultados prácticos de este ataque no son muy elevados, ni muy peligrosos de momento, hasta que a alguien se le ocurra otra aplicación práctica.

En cualquier caso, la seguridad de WPA/TKIP queda de nuevo comprometida, pero todavía no hundida, aunque esto ya está en camino.

Nota: En la siguiente dirección podrán leer el Whitepaper con la información técnica más completa sobre el funcionamiento del ataque: enlace.

lunes, 24 de agosto de 2009

El primer Apple "Made in Spain"

Tampoco es hacking...pero divierte. En la siguiente página Web podrán ver la genialidad de esta empresa de publicidad (Shackleton Group) que en forma de autocampaña publicitaria imitando con gran precisión otras campañas conocidas del gigante Apple, presenta un nuevo producto: el iJam.

La página no tiene desperdicio, al igual que el producto, claro está. Debéis acceder a través de todos los menús y vídeos para ver lo bien elaborada que está. No olvides consultar el manual de usuario de este producto.

Esta es una más, de esas prácticas formas de aprovechar el tiempo y el esfuerzo en los actuales momentos de crisis. Si no se dispone de un suficiente segmento de mercado, o se quiere realizar una estrategia que permita alcanzar mayor penetración, en vez de sentarte a quejarte de la situación actual, puedes trabajar más para ti mismo, obteniendo mayores posibilidades de éxito, ahora o en un futuro cercano. En este caso, una empresa publicitaria utiliza su propio trabajo y su propio esfuerzo en realizar su propia campaña, lo que extrapolado a otras empresas de otros sectores, implica algo más de imaginación para lograr el mismo resultado; pero la imaginación es una más de todas las herramientas para burlar esta crisis.

martes, 18 de agosto de 2009

Así queda una página hackeada

El otro día navegando por Internet, en busca de plugins para nuestra comunidad hacker, me encontré con esta página (www.tkcoms.co.uk) que aparentemente corresponde a "The dynamic portal engine and content management system For Oxford Bus Photography Club", que pertenece en principio a un club fotográfico.

El mensaje "The dynamic portal engine and content management system" es un slogan estándar del conocido sistema de gestión de contenidos Joomla o Mambo en el que está programado también nuestro portal www.diariodeunhacker.com , lo que demuestra provablemente que la página fue hackeada por una de las vulnerabilidades aparecidas en este CMS (Content Management System) recientemente.

Los hackers se dedican a buscar mediante el buscador Google páginas Web al azar que tengan una característica determinada, como por ejemplo que sean vulnerables a un fallo de seguridad publicado en Joomla que sea relativamente fácil de explotar. Para ello, introducen en Google términos como el Slogan que aparece por defecto en Joomla "The dynamic portal engine and content management system". Un programador poco precavido no ha limpiado esas referencias de la página, y por lo tanto, casi seguro que tampoco ha actualizado la versión de su portal para parchear esas vulnerabilidades publicadas. Se debe limpiar cualquier dato que haga referencia directa al sistema que tienes y especialmente a la versión instalada; en Joomla los hackers buscan el directorio "/administrator" de las páginas, para saber si están hechas en este sistema, ya que utilizan esta denominación para el directorio de Administración del CMS. Así que el hacker prueba los exploits para esas vulnerabilidades y vôila... acceso a su contenido.

En el caso de esta página hackeada, han actuado de forma relativamente ética, ya que han sustituido o modificado la página índice “index” original por otro nuevo en el que se simplemente se muestra mediante el comando HTML (HREF="http://i320.photobucket.com/albums/nn332/aamb92/Flagnicaragua.gif") la bandera de Nicaragua y el nick "NHAXERS TEAM by Charly" de forma que en el código, los buscadores no indexan su nick, ya que está incrustado en la imagen. Lo que sí queda en el contenido de la página es una referencia a la foto en photobucket.com y los términos Nicaragua, Managua y hacked. Esta técnica de hackear páginas web y cambiar su portada, sin ser demasiado agresivos, ni introducir malware en ellas, se denomina"deface" o quitar su cara original.

Si buscais NHAXERS TEAM en Google encontrareis un gran número de páginas "defaceadas" como esta "http://defaced.zone-h.net/defaced/2009/05/14/www.proju.com/php/" o como ésta "http://www.zone-h.org/archive/defacer=Nhaxers%20Team" donde se muestran algunas de sus víctimas y de otros hackers. Este portal es una base de datos con capturas de las páginas "defaceadas" (más de 700) de todo tipo de organizaciones públicas y privadas, además de un blog con sus principales logros. Por cierto, el propio Nhaxer tiene su blog en blogspot: http://nhaxers.blogspot.com/ y un foro de amigos en http://nhaxers.co.cc/.

Este tipo de técnicas como el deface, no se consideran en la comunidad del todo dañinas, ya que alertan a los administradores de los portales sobre sus fallos de seguridad, sin dañar su contenido, aunque en este caso el administrador debe de estar de vacaciones todavía. A los administradores de CMS como Joomla, deben estar suscritos a los boletines periódicos sobre seguridad y vunerabilidades que emiten los propios proyectos y mantenerse actualizados para evitar este tipo de cosas que sin llegar a ser tan dañinas, nos dejan con los colores subidos de la vergüenza.

PS: Hay que hacer copias de seguridad, preferentemente programarlas, y guardar el contenido de esas copias fuera del portal. Recomiendo el Jpack para Joomla que tiene una aplicación remota para realizar copias de seguridad. Hay que actualizar el portal y leer los boletines de seguridad, tanto en el software principal como en los plugins. Borrar las referencias al fabricante y versión, además de instalar un software que nos avise de cambios en la estructura y archivos base del sitio.

sábado, 15 de agosto de 2009

La fuente de la felicidad

No sé si recordais ese anuncio de Coca-Cola cuyo slogan era algo así como la fuente de la alegría. Pues esta marca de refrescos ha dado un paso más allá y ha fundado hace un año el Instituto Coca Cola de la felicidad que cuenta con un plantel de personalidades de las ciencias y de la psicología. Entre ellos cabe destacar la participación de Eduard Punset que ha participado entre otras cosas con un magnífico programa de su serie Redes en TVE que precisamente trata junto con un prestigioso psicólogo de la Universidad de Nueva York (Gary Marcus) sobre la búsqueda y el camino para hallar la felicidad. Creo que ver este documental es una obligación casi, y en mi caso lo he visto varias veces, y lo volveré a ver.

La forma en que está realizado tecnicamente es fantástica, pero el contenido no merece perder un segundo de nuestra atención. No es hacking...pero divierte. Este y otros documentales los podeis encontrar en el blog de Punset.


sábado, 8 de agosto de 2009

Ya tenemos muy avanzado nuestro nuevo portal


Hemos estado toda la semana trabajando en la creación y puesta en funcionamiento de un nuevo portal de contenidos CMS basado en la estructura de este blog pero con grandes mejoras en cuanto a funcionalidad y contenidos. El trabajo, a pesar de ser muy operativo en este momento, no está más que al principio de sus perspectivas. Pienso introducir un sistema de usuarios tipo red social, que sirva como lugar de encuentro de un grupo de amigos dedicados profesionalmente a estos temas de Seguridad y Hacking ético. Además deberá disponer de un foro de intercambio de información, sobre temas profesionales. Y como tal portal de contenidos, me gustaría (ya está en funcionamiento) establecer una disciplina de publicación de noticias y artículos relacionados con este mundo. El portal dispone también de una agenda de eventos en los que podamos compartir fechas interesantes a nivel profesional (ferias, conferencias, reuniones, cursos, etc...). Compartiremos enlaces, blogs, feeds, referencias importantes, manuales, programas, comentarios, artículos y mensajes entre nosotros. Bienvenidos a nuestro futuro portal.

No dejes de visitar la beta de : http://www.diariodeunhacker.com/

viernes, 7 de agosto de 2009

Importantes ataques de DDoS a Twitter, Facebook y Google

En la madrugada del jueves 6 de Agosto se han producido importantes ataques de denegación de servicio contra los portales de Twitter, Facebook y Google en sus principales sedes. En el caso de Twitter, el ataque causó la perdida de servicio completa, impidiendo a los usuarios acceder a sus cuentas durante varias horas. Facebook causaba importantes retrasos a los usuarios que querían acceder a sus perfiles. A pesar de estar ya operativos, al descubrir el ataque e intentar luchar contra él, siguen con ciertos problemas operativos durante el día. Google simplemente ni confirma ni niega estos ataques, pero ofrece su colaboración para descubrir a los culpables de los mismos. Las páginas populares, especialmente las de Web 2.0, están siendo habitualmente víctimas de este tipo de ataques, dificiles de controlar y probablemente causados por redes de zombies como Botnets. Sin embargo existen muchos otros medios para causar DDoS mediante ataques a enrutadores, servidores Web, cortafuegos, servidores DNS, etc.

La lucha contra este tipo de ataques es muy complicada y especialmente cuando se basan en redes zombies como Botnets, ya que los ataques no se realizan de forma localizada desde una IP o grupo de IPs, sino desde muchas partes del mundo. Está claro que ésta será una de las principales amenazas de los próximos años hacia objetivos seleccionados de todo el mundo (desde intereses económicos, redes militares o gubernamentales, etc.

Por cierto, hoy día 7 por la mañana sigo teniendo ciertos problemas para poder entrar en Twitter. Quizás sea otro de estos ataques de DDoS que sufro desde la ADSL de Telefónica que no me deja trabajar a la velocidad que pago...

El periódico El País ha publicado esta notica en su edición impresa y en la digital: leer mas.

martes, 4 de agosto de 2009

La seguridad criptográfica vuelve a temblar

Me causa un nudo en el estómago leer noticias como la que acabo de encontrar publicada en Internet: El sistema criptográfico AES empieza a desestabilizarse ante nuevos ataques matemáticos de un equipo formado por las eminencias Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich and Adi Shamir.

Si bién éste no es el primer ataque contra este algoritmo, si que se convierte en uno de los más prácticos que funciona principalmente sobre AES-256 mejor incluso que sobre AES-128, debido a las relaciones matemáticas más intensas sobre tipos de AES utilizados para cifrar datos en bloques que trabajen sobre tipos de AES de 10-11 rounds (iteraciones). Esto hace más vulnerable a datos grabados mediante cifrado, como discos duros, etc... Aunque si se aplica la norma completa de seguridad AES que implica hasta 14 rondas en el proceso e incluso se utiliza AES-128 en vez de 256, se impide el ataque. Aumentando el número de rondas, también se dificulta o impide este ataque (se pueden ampliar hasta 28 rondas).

Otro paso más hacia la ruptura de AES, wow.

Leer más: artículo completo.

Los mejores hackers del mundo casi hackeados

Dicen que si estás entre la élite del hacking debes estar en la Feria DEFCON en Las Vegas. Yo no sé si, es que realmente no estoy entre los mejores, o simplemente que no me alcanza el dinero para llegar a fin de mes, y mucho menos para darme el lujo de asistir a esa reunión. Pero bueno, desde mi tristeza de no estar allí, contemplo con humor la noticia que he podido leer.

Han instalado un falso cajero automático en el Hotel donde se celebra esta reunión anual (Riviera Hotel Casino) con el fin de robar información (número de tarjeta de crédito y PIN code) de los incautos que lo utilizaron para sacar dinero. Este falso cajero (fake) debía imitar muy bien a los reales, ya que casi no se dan cuenta de la estafa, hasta que alguien notó que el color de sus luces y el brillo de su pantalla no eran exactamente como los originales. Por otra parte, habría que felicitar al personal de seguridad del Hotel que no notó ni su existencia, ni el tiempo que debieron utilizar para su instalación, y todo eso a pesar de estar cerca de la oficina de seguridad del Hotel.

Por otro lado, la profesionalidad de los que lo instalaron queda demostrada por no haber sido registrados por la cantidad de cámaras de vigilancia de las que disponen estas instalaciones. Hay que tenerlos bien puestos para hacerlo durante la semana en la que se celebra la mayor conferencia de seguridad del mundo.

sábado, 1 de agosto de 2009

Un regalo para los frikis

En conmemoración del 40 aniversario de la llegada del hombre a la luna (o de los hombres, ya que fueron más de uno) se ha publicado aquí el código fuente del programa que controlaba el módulo de mando de la nave Apolo XI y ha sido declarado OpenSource. Para aquellos que están estudiando programación es una joya a estudiar, ya que define la programación que fue avanzada hace cuarenta años. Además disponeis de un emulador del ordenador de a bordo para poder ejecutar el código y probar vuestros propios aterrizajes "lunares?".

A ver quién encuentra algún bug o vulnerabilidad en el mismo. Por cierto los comentarios de los usuarios de la página anterior no tienen desperdicio, creo que son mejores que el propio código fuente.

Un gran sistema operativo en Web para todos

Hablando con un colega de trabajo, me enteré de la existencia del sistema operativo EyeOS que es uno de estos proyectos libres de sistema operativo basado en Web. Si bién no considero que sea totalmente un sistema operativo, sí que se comporta como tal, de forma que los usuarios acceden mediante su propio usuario y contraseña a un escritorio personalizable y disponen de aplicaciones de oficina y de otras muchas utilidades que pueden utilizar, instalar y configurar. Este tipo de sistemas como fueron WebOS o el futuro proyecto Chrome OS son muy prácticos para un perfil de usuario móvil que quiere disponer de su propio entorno operativo con sus documentos y programas disponible desde cualquier ubicación que tenga acceso a Internet. Además EyeOS permite acceder desde cualquier navegador, tanto de escritorio como desde equipos móviles como iPhone. Para todos aquellos que quieran probarlo y jugar un poco con él pueden hacerlo desde la propia Web del proyecto http://www.eyeos.com/ o desde mi página diariodeunhacker.com/eyeOS que estará disponible en línea unos meses.

Este tipo de sistemas se definen por su estructura de red como sistemas "Cloud Computing" ya que permiten crear estructuras descentralizadas tanto públicas como privadas. EyeOs ha sido calificado por la comunidad SourceForge como proyecto del mes por su calidad, premio más que merecido para este desarrollo español gestionado desde Barcelona desde hace ya más de cuatro años.

EyeOS dispone de toolkits específicos para personalizar el sistema para su uso privado o profesional que hacen que sea más facil de integrar y que permiten la programación de nuevas herramientas o gadgets. Además dispone de su propio repositorio de herramientas y traducciones a 20 idiomas, que el nuevo usuario puede seleccionar. Se puede descargar el instalador desde la página web del proyecto e instalarlo muy facilmente en cualquier servidor tipo LAMP privado o en un hosting típico. Gracias a sus desarrolladores y mucha suerte con este proyecto español (Daniel Gil).

Ya tenemos dominio

Aunque todavía no es del todo un gran salto cualitativo en este blog, ya disponemos del dominio "diariodeunhacker.com" que de momento está redireccionado a blogspot (blogger) para que el que prefiera teclear esta dirección pueda acceder directamente a este blog. Tengo planes de futuro para este dominio, que pretende colgar otros contenidos además del propio blog. Pero esto ya se irá viendo en próximas fechas. Proyectos, proyectos y más proyectos... las ideas me fluyen y espero que el tiempo para llevarlas a cabo me acompañe. Gracias de nuevo a todos los visitantes.

No es hacking, pero divierte...

Esta semana, a pesar de que ya no acostumbraba ver este programa en la tele, me quedé (mientras zapeaba) viendo un capítulo de la serie "Camera Café", que a mi parecer ya había ido perdiendo cierto encanto, y sin embargo quedé sorprendido de nuevo por la calidad de este capítulo. Quiero pensar que ya se han vuelto a poner las pilas y vuelven a tener guiones bastante entretenidos, y esto es sólo una muestra. Pero el punto álgido de todo el capítulo fue este rap, que de forma especial dirige y guioniza el grupo rapero SFDK de forma espectacular y divertida. El video que incorporo aquí no tiene desperdicio. No se lo pierdan.


martes, 28 de julio de 2009

Nueva release de aircrack-ng

Acaba de lanzarse la nueva versión o candidata a versión de la suite aircrack-ng, llamada RC4 (release candidate 4), que según sus desarrolladores será posiblemente la última candidata a la versión definitiva, siempre y cuando no aparezcan muchos más bugs. Esta vez se ha hecho esperar más que en otras ocasiones, pero cuando la pruebe comprobaremos si ha sido el resultado de muchas correcciones necesarias.

Según la página oficial (www.aircrack-ng.org) éste es el registro de cambios de esta versión:
  • airodump-ng: Decreased time before writing text files to 5 sec (instead of 20).
  • airodump-ng: New option –output-format option (to replace –nocap): specify output files.
  • airodump-ng: Fixed encryption tag value in kismet netxml files.
  • airodump-ng: Sanitize essid before writing it into kismet netxml files.
  • airodump-ng: Log manufacturer into kismet netxml files.
  • aireplay-ng: Fake auth: reduce the number of ACKs to 2 per packet.
  • aireplay-ng: Added possibility to stop sending fake auth requests after n retry failures.
  • aircrack-ng: Fixed compilation on FreeBSD.
  • aircrack-ng: Fixed aircrack-ng –help on OSX.
  • airmon-ng: Updated iw download link (0.9.15).
  • airmon-ng: Fix chipset detection for iwlagn (show “Intel 4965/5xxx” instead of “Unknown”).
  • airmon-ng: Display a message when udev rename madwifi-ng VAPs.
  • airmon-ng: sleep 1s instead of 0.1 (0.1 is not supported by all distro).
  • airolib-ng: Fixed locked database counter.
  • airdriver-ng: Updated to rt2570 k2wrlz v1.6.3
  • airdriver-ng: Updated r8187 patch.
  • aircrack-ng, airdecap-ng, ivstools, airodump-ng, airbase-ng, aireplay-ng, airtun-ng, packetforge-ng, tkiptun-ng: Added support for PPI captures support (Thanks to dragorn).
  • airdecap-ng: Fixed segfault on some capture files.
  • wesside-ng, easside-ng: “ERROR: Packet length changed while transmitting (XX instead of YY)” should finaly be fixed.
  • All: Added compatibility file for functions like cpu_to_le32. That should fix compilation on a lot of OSes.
  • All: Temporary fix to allow compilation with recent gcc (Error message: “dereferencing type-punned pointer will break strict-aliasing rules”). I hope it doesn't break anything. A cleaner fix will be applied later.
  • INSTALLING: OSX patch for Intel CPU isn't required anymore
  • INSTALLING: Updated instructions to compile sqlite on cygwin for 3.6.16.
  • patches: Updated sqlite (v3.6.13) patch for cygwin.
  • patches: Updated wlanng patch for 2.6.28.
  • patches: Updated madwifi-ng patch to r4073
  • packages: Fixed spec (RPM) file.
  • GUI (windows): Use last used directory when selecting another file to crack.
  • GUI (windows): Allow .pcap files too (next to .cap, …).
Observo que no ha habido correcciones ni cambios en la herramienta airserv-ng y sobre todo en airbase-ng, que tenía grandes necesidades. Veremos a ver, tras probarla. Aquí esté el link de descarga para linux: enlace. Como suelo hacer siempre, gracias al equipo de desarrollo de esta magnífica suite.

jueves, 23 de julio de 2009

¿Quiere ser el dueño de un superordenador?

En estos días que oimos hablar tanto de supercomputación con la construcción y puesta en funcionamiento de nuevos ingenios con capacidades matemáticas inimaginables, podemos llegar a poseer esa misma capacidad mediante las redes de hackers malvados. Imaginad la capacidad de proceso de un nuevo ordenador... ahora imaginar la capacidad de proceso de tres millones de ordenadores interconectados. Mediante la programación avanzada de scripts, ¿qué podríamos encargarle a nuestra supercomputadora compuesta de más de tres millones de CPU's?

Pués simplemente de eso se trata: existen redes de tipo botnet, que manejan el control de estas cantidades ingentes de CPUs en forma de zombies. Un ejemplo publicado en un artículo de la página www.securitybydefault.com muestra un ejemplo de lás más conocidas:

  • "Botnet Zeus: Emplea el troyano del mismo nombre y se está empleando por sus funciones de keylogger para sustraer información valiosa. PCs infectados: 3.6 millones
  • Botnet Koobface: Emplea las redes sociales como Facebook o MySpace para distribuirse y su finalidad es convertir en zombies los equipos. PCs infectados: 2.9 millones
  • Botnet TidServ: Emplea técnicas clasicas para distribuirse (SPAM) y tiene capacidades de rootkit para ocultarse en el sistema, su objetivo hacer zombies. PCs infectados: 1.5 millones
  • Botnet Trojan.Fakeavalert: Empleada para distribuir antivirus de tipo 'rogue', PCs infectados: 1.4 millones
  • Botnet TR/Dldr.Agent.JKH: Empleada para hacer fraudes de tipo click. PCs infectados: 1.2 millones
  • Botnet Monkif: Empleada para secuestrar navegadores mediante BHO. PCs infectados: 520.000
  • Botnet Hamweq: Empleada para convertir equipos en zombies, se distribuye mediante dispositivos USB. PCs infectados: 480.000
  • Botnet Swizzor: Sirve como vehículo para introducir otra clase de malware. PCs infectados: 370.000
  • Botnet Gammima: Se está empleando para robar cuentas en juegos online. PCs infectados: 230.000
  • Botnet Conficker: ¡¡ sorpresa !! el tan cacareado Conficker a día de hoy apenas si entra en el top 10. PCs infectados: 210.000"
Esto, como pueden ver, da un ejemplo de los números reales que se manejan por estas redes. En cuanto a su funcionalidad y posibilidades, al ser un tema que está comenzando, dependerá solo de la imaginación de los que programen y controlen estas redes. El futuro puede deparar ataques criminales contra gobiernos, denegación masiva de servicios, ataques dirigidos por intereses políticos o comerciales, etc...

miércoles, 22 de julio de 2009

Nueva herramienta de chequeo de código fuente

Acaba de salir el "prototipo" de una nueva herramienta de escaneo de código fuente de tipo RAT (Rough Auditing Tool for Security) desarrollada en Perl para el chequeo de vulnerabilidades en el código de programación propio o ajeno. Este proyecto se llama GRaTS (Graphical RATS and Taint Scanner) y está dirigido por Dan Crowley.

La versión actual todavía no es gráfica (Graphical RAT) pero en breve lo será. Este software audita el código fuente buscando bugs de programación que puedan causar agujeros de seguridad en forma de vulnerabilidades mediante diferentes tipos de análisis como: Taint analysis (Análisis de posible corrupción de variables o funciones), Static code analysis, Manual code review, revisión del tiempo de vida de variables, etc.

Vamos algo que se debería de hacer de forma concienzuda antes de lanzar actualizaciones y nuevos programas por parte de muchos fabricantes, que posteriormente tras su lanzamiento demuestran tener vulnerabilidades importantes que afectan a desbordamientos de memoria o pila u otros más graves.

Esta herramienta se puede descargar en el siguiente link para su evaluación: GRaT

Este es un ejemplo de la salida del comando actualmente:

H:\grats_prototype>rats source.c

Entries in c database: 310
Analyzing source.c

source.c:10: High: fixed size local buffer
source.c:335: High: fixed size local buffer
Extra care should be taken to ensure that character arrays that are allocatedon the stack are used safely. They are prime targets for buffer overflowattacks.

source.c:49: High: gets
source.c:83: High: gets
Gets is unsafe!! No bounds checking is performed, buffer is easily overflowableby user. Use fgets(buf, size, stdin) instead.

source.c:199: High: strcpy
source.c:342: High: strcpy
Check to be sure that argument 2 passed to this function call will not copymore data than can be handled, resulting in a buffer overflow.

Total lines analyzed: 371
Total time 0.015000 seconds
24733 lines per second

lunes, 20 de julio de 2009

El "milagro" antispam


Como suele ocurrir con todas las noticias informáticas que se convierten en sensacionalistas (como el final del papel impreso, los vehículos autoconducidos, etc.), cada cierto tiempo aparece en televisión, en algún telediario o noticiero una utopía que va a cambiar nuestras vidas para siempre. Recientemente apareció en los telediarios una maravillosa noticia de estas que nos anunciaba el fin del spam para nosotros, esos pobres usuarios que cada vez que comprobamos nuestro correo electrónico estamos acostumbrados a hacerlo con la tecla SUPR en uno de nuestros dedos como si se hubiera quedado pegado sobre ella. Según esta noticia el fin de la era SPAM está llegando gracias a la creación de una lista en la que nos podemos registrar para no volver a recibir este tipo de mensajes, ni por correo electrónico, ni por SMS, ni por telepatía, ni cualquier otro método.

Por ello he decidido entrar en la página Web susodicha ( http://www.listarobinson.es/ ) que aunque con muy buena voluntad no es más que una página promovida por la FECEMD - Federación de Comercio Electrónico y Marketing Directo, en la que nos podemos registrar como ciudadanos (mayores o menores de 14 años, o incluso si hemos fallecido; espero no tener que usar esta opción) para indicar que no deseamos recibir publicidad directa. También podemos registrarnos como entidades que desean utilizar este servicio de consulta antes de realizar nuestras campañas.

Pero de buena fe está lleno el mundo; y para que esto funcionase debería estar correctamente legislado y ser ésta una lista gubernamental y legalmente establecida, ya que el 95% del correo basura que recibo no proviene de fuentes que respeten esta buena fe y legalidad vigente. Por tanto gracias por las buenas iniciativas, que deberían partir de entidades oficiales y legales, a las que parece que este tema no les interesa demasiado. O sea, que en resumen, a seguir recibiendo spam y a rezar para que no traiga regalitos dañinos incluidos.

jueves, 16 de julio de 2009

Adiós y "hola de nuevo "al proyecto Milw0rm

Mientras me lamentaba del cierre (quizás definitivo) del proyecto Milw0rm que tanto a aportado a nuestra comunidad underground, llegó algo de luz a mi oscuridad. Cabe decir que este proyecto (repositorio de exploits) ha sido durante los últimos "muchos" años un referente para los hackers y auditores de sistemas que han colaborado y se han alimentado de él. Un adiós triste a esta página que han publicado miles de blogs y que llegó a estar cerrada en algún momento desde que su autor principal (Str0ke) colgó el siguiente mensaje en esta web (www.milw0rm.com)

"Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t :( . For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke
"

“Bueno, pues esta es mi cabecera de despedida para milw0rm. Ójala contase con el tiempo con el que disponía en el pasado para publicar exploits, pero no lo tengo :(. Desde los últimos 3 meses la verdad es que he hecho un muy mal trabajo en conseguir que la gente sacase esto adelante lo suficientemente rápido como para estar orgulloso de ello, estar de 0 a 72 horas (arrebatando fines de semana…) no es justo para los autores de este sitio. Aprecio y agradezco a todo el mundo su apoyo en el pasado. Seguid seguros”, /str0ke.


Desde miles de páginas web damos nuestro agradecimiento por su aportación desinteresada a Str0ke por este gran proyecto que como todos imaginamos roba gran parte de su tiempo a su autor.

Tras mi tristeza después de llegar de vacaciones y enterarme de esta noticia por miles de blogs, resulta que finalmente Str0ke ha decidido ceder el control de su sitio a un grupo de amigos, cosa que comunica a través de twitter mediante el siguiente mensaje: leer el mensaje original Gracias Str0ke.

"I have talked with a few friends and I'll be handing the site over so a group of people can add exploits / other things to the site. Hopefully it will be a new good start"

Diez días "casi" off-line

Dicen que todo el mundo tiene derecho a unas vacaciones, algo así como un derecho universal, que ojalá fuera cierto para todos. Pues eso es lo que yo he hecho durante las últimas dos semanas, unas vacaciones de esas que no haces otra cosa que ir a la playa, comer bien y desconectarte en la medida de lo posible de este mundo electrónico. Pues eso, que regreso ahora renovado, aunque con esa minidepresión de la vuelta al mundo real... No hay bueno sin malo... pero valió la pena haberlo hecho y creo sin duda que lo repetiría tantas veces como fuera posible. Bueno "al tajo" y a volver a escribir en este blog sobre temas que os puedan interesar.

PS: No os olvideis de disfrutar de unas vacaciones, los que podais, a la antigua usanza (o sea sin cibercultura, ni telefonos móviles, ni mucha tecnología).

sábado, 27 de junio de 2009

Que alguién se fije en esta chica...

Se que este es un blog dedicado al hacking y a la seguridad, pero no puedo más que escribir aunque sea una pequeña reseña sobre el canal que ha montado esta chica en youtube, en el que además de contar "sus cosas del día a día", canta como un ruiseñor. Bueno es capaz de cantar con un estilo suave como un ruiseñor o duro como el punk. Lo cierto es que tiene una voz y una forma de cantar que enganchan. También es una pro del Mac montando video y audio. Vamos que tiene un gran futuro. Se llama Leonor y la encontré curioseando por youtube:

http://www.youtube.com/user/b4mydeath

No creo en los programas como Operación triunfito y similares, pero trabajando y con esfuerzo, espero que consigas lo que buscas, sea lo que sea. Daros un paseo por su página y escuchar un par de temas como "Smile" o "Close to you", vale la pena.