sábado, 27 de junio de 2009

Que alguién se fije en esta chica...

Se que este es un blog dedicado al hacking y a la seguridad, pero no puedo más que escribir aunque sea una pequeña reseña sobre el canal que ha montado esta chica en youtube, en el que además de contar "sus cosas del día a día", canta como un ruiseñor. Bueno es capaz de cantar con un estilo suave como un ruiseñor o duro como el punk. Lo cierto es que tiene una voz y una forma de cantar que enganchan. También es una pro del Mac montando video y audio. Vamos que tiene un gran futuro. Se llama Leonor y la encontré curioseando por youtube:

http://www.youtube.com/user/b4mydeath

No creo en los programas como Operación triunfito y similares, pero trabajando y con esfuerzo, espero que consigas lo que buscas, sea lo que sea. Daros un paseo por su página y escuchar un par de temas como "Smile" o "Close to you", vale la pena.

martes, 23 de junio de 2009

Quién se dedica a programar y propagar esos peligrosos virus?

Una pregunta reiterativa a lo largo de los años en los que he estado ejerciendo en esta profesión es ésta. Clientes, amigos, conocidos, etc... todos preguntan de dónde parte ese amplio interés por programar y difundir virus por todo el universo. Desde los primeros y arcaicos virus, como el de la pelotita (que todavía debo de tener prisionero en uno de esos antiguos disquetes de 5 1/4), hasta los actuales y sofisticados como Conficker ha transcurrido mucho tiempo y mucha historia en este complejo "mundillo".

No puedo opinar que haya una única razón de todo esto, ni que tenga la respuesta universal a este dilema, pero creo que la motivación ha ido cambiando y evolucionando a lo largo de estas últimas decadas.


Una importante razón de ser de esta evolución, puede haber sido inicialmente un deseo de notoriedad de aquellos, que han esperado obtener beneficios profesionales de sus creaciones, que han obrado siempre en perjuicio de los que se han infectado de ellas. Pero, quizás esto ha sido principalmente en su inicio.


Otros deducían que, quizás, el motivo de todo esto era el de vender más antivirus y medios de protección; que aunque puede ser cierto, no creo del todo, que sea la principal causa, ya que en estos momentos, la batalla del software antimalware ha quedado maltrecha con respecto a la rápida evolución del mismo y su futuro es bastante incierto.


Si existe algo positivo en todo esto, es el descubrimiento constante de brechas de seguridad o vulnerabilidades que afectan al software que se edita comercialmente, que de no ser descubiertas y dadas a conocer por la comunidad hacker en general, estarían solo al alcance de unos pocos pero con mayor poder, que quizás son más peligrosos que todos éstos, y su aprovechamiento podría afectar de manera importante a los que considerasen sus enemigos. El conocimiento nos hace menos vulnerables.


Ahora, sin embargo, lo que mueve toda esta sociedad es el afán de obtener beneficios económicos de cualquier cosa, aunque resulte dañina para los demás. Y no se puede ignorar esta gran verdad, ya que la mayor parte de los virus actuales, no se puede llamar realmente virus, sino que los terminos se mezclan como malware, spyware, troyanos, etc. El tipo de infección actual concentra todo tipo de funciones entre las que se encuentran, el robo de información personal y profesional, datos bancarios, control de grandes redes de equipos comprometidos (botnets y similares), espionaje industrial, control de campañas de marketing a gran escala mediante el robo de información personal, etc.


Se comercia con productos derivados (troyanos indetectables por los antivirus), sistemas de difusión masiva de malware, etc. Y por supuesto mediante la venta o cesión de grandes redes de equipos comprometidos para poder utilizarlos en todo tipo de actividades delictivas (envío de spam masivo, ataques de denegación de servicio a servidores, y cualquier otra actividad que pueda reportar beneficios. Este tipo de negocio denota que actualmente, ésta es la principal finalidad de todo este mercado ilegal.


Y esa, es quizás mi conclusión final: este mundo se mueve principalmente por el beneficio económico de algunos, y los demás tenemos que tratar de limpiar la basura que producen, o incluso tratar de vivir de su reciclaje.

lunes, 22 de junio de 2009

Troyano infecta un cliente (análisis y solución)

Lunes por la mañana: Llamada urgente de un cliente (Hotel) que nos localiza por un aviso de su antivirus que le alerta sobre la existencia de un troyano en uno de los ordenadores de su red.

Acudo urgentemente, por la importancia de ese equipo en el desempeño de sus funciones. Al llegar compruebo que efectivamente el antivirus no para de informar de conexiones hacia una página Web (http://www.compare-fibre.com/pictures/banners/comprovantes/depositos/comprovante.php?f=xxxxxxxx) tratando de descargar una serie de archivos.

Lo primero que hago es sacar el pendrive con todas mis utilidades portables de seguridad, entre las que se encuentran el práctico programa process-hacker y el autoruns. El process hacker muestra los procesos y servicios activos en este momento, y trato de examinarlos concienzudamente en busca de alguno que llame mi atención por no sonarme su nombre. En principio veo uno al que no acabo de darle la importancia que merece por parecerme un actualizador de Java, pero al volver a avisarme el antivirus, mediante el mismo process-hacker observo los puertos que están abriendo conexiones remotas, y efectivamente el programa llamado "java sun" está abriendo conexiones contra la dirección IP (203.232.224.4, entre otras) cada vez que el antivirus detecta archivos dañinos. Busco el nombre de el ejecutable que lanza ese proceso y descubro appletjava.exe, que se encuentra como es habitual en C:\Windows\System32\ , por lo que procedo a eliminarlo, no sin antes enviarlo a Virus-Total para su análisis y sobre todo para que en poco tiempo sea detectado mediante firmas por los antivirus.

Los resultados son los siguientes:
Resultados en Virustotal

Resultado de NOD32 local:
Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información22/06/2009 11:34:23 IMON Archivo http://222.24.94.25/icons/init.gif Win32/Qhost (Troyano) Conexión terminada

Podeis ver que tiene pinta de ser un troyano de robo de datos bancarios como Bandook o similares, pero ya lo testearé cuando tenga más tiempo...

Reinicio el equipo y vuelvo a examinar en busca de otros restos, o reaparición del archivo en cuestión. Elimino el punto anterior de restauración del sistema y vuelvo a generar otro nuevo. Observo que también ha modificado los servidores DNS en la configuración TCP/IP del cliente y lo soluciono. Finalmente busco el método de infección del troyano en el ordenador del cliente y encuentro un email muy bien formateado en portugués con el asunto: reservas, "Deposito em conta, confirmado." que al cliente no le pareció fuera de lo habitual. Esto es lo que vengo observando en los últimos tiempos: una profesionalización en los correos electrónicos basados en phishing o infección de troyanos, de tal manera que ya no parecen simples trampas escritas por analfabetos.

Esto no es más que una historia habitual, que incluyo en este blog puesto que este es el fin principal de este blog: Contar el día a día de un hacker ético.

Backtrack 4 Pre-final ya está disponible

Tal y como anunciamos ya está disponible para su descarga la versión Pre-Final de la mejor distribución de auditoría de penetración en redes: Backtrack Linux. El cambio realizado entre la versión 3 y la 4 ha sido muy importante, de tal manera que se ha cambiado el S.O. base desde Slackware hacia Ubuntu Linux. De esta manera se pueden utilizar los repositorios basados en debian, aunque se dispone de los propios de remote-exploit (el desarrollador). No cabe duda que este cambio profesionaliza todavía si cabe más esta distribución, que considero actualmente la mejor y más profesional para realizar todo tipo de tests de seguridad sobre redes inalámbricas y Ethernet cableadas. Además de este cambio de SO se incluyen algunas nuevas herramientas, entre las que estoy deseando probar el soporte para procesador gráfico o GPU mediante CUDA para realizar potentes ataques basados en fuerza bruta contra sistemas basados en claves.

En próximos días iremos contando en este blog algunas de las nuevas características disponibles en esta distribución, que no defraudará a nadie.

El link para la descarga es:
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-prefinal-iso
(Se podrá descargar en formato ISO para grabar en DVD arrancable, en pendrive en disco duro mediante instalación en formato no live).

El MD5-Sum es b0485da6194d75b30cda282ceb629654. No olvide consultar el foro para ver los bugs o problemas de integración que pueda tener:
http://forums.remote-exploit.org/

sábado, 20 de junio de 2009

Hemos grabado un nuevo programa de Radio

Aprovechando mi visita profesional a Madrid hemos vuelto a convocar la grabación de un nuevo capítulo del programa de radio Mundo Hacker en la emisora de Radio online http://www.radiouniverso.es/. Este programa goza desde sus inicios hace ya dos años de una gran aceptación en forma de audiencia online y de descargas en formato MP3. Desde prácticamente sus inicios, cuando acudo a Madrid con mis amigos de StackOverflow (http://www.stackoverflow.es/) suelo participar en algún capítulo sobre temas de seguridad en redes inalámbricas de forma habitual. En este programa participamos Antonio Ramos Varón, Jean Paul García-Morán, nuestro amigo Netbios y yo.

En este caso, cambiamos mi tema habitual, por otro de más actualidad que es la seguridad y la protección de datos en las Redes Sociales o Web 2.0. El motivo para hacer este cambio, es que la noche anterior pude ver el documental que se emitió en TV sobre este mismo tema y que junto con otros documentales anteriores que he recomendado, despiertan ampliamente mi curiosidad e interés. Podeis escuchar el programa aquí o ir a la Web de RadioUniverso.es y descargarlo en cuanto esté disponible. Os iré informando en el futuro de nuevos programas que vayamos grabando. He introducido una novedad en el blog, que es un canal de radio (en los widgets de la derecha) con los programas que hemos ido grabando organizados por temas. Espero que os guste.


jueves, 18 de junio de 2009

Hackers en proyectos de acción social y solidaria

Me he suscrito al proyecto "Informer" de "Hackers for charity" en el que mediante una donación anual de 54$ al año, mediante los cuales se financian proyectos de ayuda y acción social en los paises menos desarrollados. Estos proyectos van dedicados principalmente a la ayuda hacia los niños más desfavorecidos mediante proyectos de alimentación y educativos. Siempre considero una buena idea ayudar de forma desinteresada mediante ONGs a aquellas personas que no han tenido simplemente la suerte de "caer" en una familia y una sociedad de bienestar como la nuestra. Pero además este proyecto (Informer) nos da a los hackers éticos la posibilidad de mantenernos actualizados en las novedades sobre hacking que van apareciendo en la Red, antes que los demás. Por si no se acaba de entender correctamente, la idea de Informer es que podamos recibir noticias, herramientas y versiones de software antes que los demás mortales, antes de que sean publicadas en sus respectivas Web, gracias a la donación de programadores y proyectos de su código. Un buen ejemplo de esto es BackTrack Linux 4 que estará pronto disponible en su versión pre-final antes que en la propia Web de Remote Exploit o Offensive Security.

Gracias a todos los que tienen conciencia y voluntad de ayudar a los demás y no dejen de suscribirse lo antes posible.




Esta web forma parte de Johny I hack stuff. IHS.




viernes, 12 de junio de 2009

Dos encuentros de amigos en Madrid

Aunque ya se que este blog, lleva demasiado poco tiempo activo para que sirva de medio de contacto con la comunidad interesada en el aprendizaje de técnicas de auditoría de seguridad y del conocimiento de las nuevas herramientas utilizadas por los malignos, voy a intentar que cualquiera que viva en Madrid y desee asistir (por un módico precio para pagar los gastos del viaje) pueda hacerlo. Y si no es en este próximo viaje (Miercoles 17 y Viernes 19 de Junio de 2009 a las 19:30), me quedaré con sus datos y en el próximo contactaré con el interesado para ofrecerle la misma posibilidad.

Nosotros somos un grupo de amigos y colegas de intereses y profesión, a los que nos gusta reunirnos habitualmente un par de horas en horario no laboral para (tras habernos preparado alguno una exposición práctica, mostrársela a todos los demás asistentes. Entre nosotros nos denominamos "hackers high school" y cada uno está especializado en ciertos temas. Los mios son principalmente "Seguridad en redes inalámbricas" y algunos temas sobre troyanos, ocultación, explotación de vulnerabilidades, etc. Otros están más especializados en programación de código, inyección SQL, etc. En fin, simplemente, nos lo pasamos muy bien haciendo lo que nos gusta. Tras la reunión, caerá alguna copichuela.


Circula por ahí este documental sobre FaceBook

Me ha llegado uno de esos correos que envían los amigos fomentando (sin ser muy conscientes de ello) el desagradable spam, con un enlace a youtube que muestra un video documental llamado "La cara oculta de Facebook". Como casi todos estos documentales, trata de ser un poco sensacionalista en la forma de tratar la realidad, pero ni que decir tiene, que el fondo es del todo certero.

Vale la pena pararse siete minutos y medio a ver y escuchar este documental sobre la privacidad y el tráfico de información personal (datos de caracter personal) para tener otra perspectiva sobre lo que solemos hacer, sin darnos cuenta de las consecuencias posteriores. No es que tengamos mucho que ocultar, ya que en esta sociedad donde habitamos, solemos estar totalmente abiertos a contar o compartir información de caracter personal con los demás, sin pensar en lo que se podría hacer con esa información.

Y aquí es donde todo esto tiene mucho que ver con el hacking. El hacking actualmente persigue principalmente la obtención masiva de información personal para poder comerciar con ella...y esto es lo que hacen de forma legal grandes compañías que cotizan en bolsa y están bien vistas. No pensemos que lo hacen por ayudarnos o por hacernos un favor, o sin ánimo de lucro. En el mundo que estamos construyendo (muchas veces de forma inconsciente) se permite mediante leyes que los grandes poderes económicos hagan ciertas cosas, que a otros más pequeños no les está permitido. (Si robas, no robes un pan para comer, roba las arcas públicas, que no te pasará nada o casi nada). Esta es la moraleja de esta entrada del blog. Meditad sobre ello, que no hace daño a nadie utilizar alguna neurona.



http://www.youtube.com/watch?v=QHsYYxUtdHw

jueves, 11 de junio de 2009

Letra pequeña en la informática

(Texto enviado a la sección de Luis Piedrahita en "El Hormiguero")

Desde hace mucho tiempo he estado deseando contarle esta traducción del inglés al español, que aparace al encender, en miles de ordenadores del la marca HP (Hewlett Packard), concretamente en la BIOS. No se a que mono castellano contrataron para su traducción, pero me puedo imaginar que esto es el resultado del uso de esos "perfectos" traductores automáticos. Parece mentira que esta "pequeña"" empresa de ordenadores que no debe tener a nadie contratado en España, no sea capaz de encargar a alguien cualificado estas traducciones.


1. "El menú de la bota que carga...". Traducción de "Loading boot menu..." que bien traducido es "Cargando el menú de arranque...", pero que para el humanoide que lo tradujo está relacionado con un restaurante que en su carta sirve botas de vino que emborrachan...


2. "Escoja una Bota Primero dispositivo" que se debe de referir a "Escoja el primer dispositivo de arranque", pero que sigue en sintonía con la bota de vino esa.


3. "Restaure Perdida del Poder CA" que bien traducido sería "Reiniciar tras una pérdida de alimentación CA", pero que suena en plan de Star Trek como "debemos restaurar el Poder del Imperio CA"...


4. Bueno sobre esto anterior...no hay por donde cogerlo... Sigue con el plan Star Trek sobre el uso del Poder. "¡Cuidado con el botón del Poder!"...


5.Soy técnico de informática, pero creo que no me voy ni a molestar en intentar traducir esto. Eso de la estela espacial que deja la nave de Star Trek o algo así.


6. Lo del proceso que va en autobús al centro entre un pueblo llamado VID donde vive un señor llamado physcial que también entra... Bueno, no sé que decir, me sobrepasa.

En estos casos, siempre es mejor dejar los textos en inglés, señores. Accedan al menú de inicio del ordenador y por favor...déjenlo en inglés.
Fdo. Yago Fernández Hansen
Gracias por las fotografías del blog de Miguel Abril (miguelabril.com)
PS: Si HP desea unas buenas traducciones, que me mande unos eurillos y se las hago con placer.

miércoles, 10 de junio de 2009

Nueva versión del analizador NFAT NetworkMiner 0.88

Tras mi impaciente espera hasta que saliera la nueva versión de NeworkMiner, acaba de aparecer en estos días. Mucho se puede hablar de este software desarrollado sobre entorno dotnet, ya que es uno de los programas openSource más completos para forénsica de tramas capturadas de red. Este software además es capaz de analizar en tiempo real mediante winpcap o airpcap (en caso de redes inalámbricas) las capturas de tramas de red. Cuando se captura y analiza la captura, ésta es además firmada mediante hash, como se hace en análisis forense. Este programa es tan completo que debería convertirse en un estándar que permitiera desarrollar e introducir plugins para todo tipo de análisis específicos de protocolos y sesiones, como hacen proyectos del tipo ettercap. Mientras captura o analiza la captura, guarda en un directorio los componentes o archivos de la reconstrucción de sesiones (como páginas web y archivos relacionados). Un gran trabajo que deseo que siga adelante.

Link del proyecto:
http://sourceforge.net/projects/networkminer/

Changes: New functionalities in the v 0.88 release are: * Support for the Cisco HDLC (cHDLC) layer 2 protocol * Support for Linux cooked captures (a layer 2 packet format often generated by tcpdump) * Support for IPv6 * Parsing of SSH (only to extract SSH version and application banner to “host details”, I’m not trying to bruteforce the SSH encryption key or Diffie-Hellman handshake) * Parsing of the Spotify authentication protocol to extract the Spotify username (displayed under “credentials”) * Parsing of the SIP protocol (used in VoIP) to extract the SIP username (often an email address) and display it under “host details”

Google cerró este blog por subversivo ;-)

El viernes pasado Blogger cerró este Blog por fomentar el spam y otras actividades subversivas. No fue provablemente un cierre estudiado, sino una respuesta de sus motores de busqueda de contenidos ilegales. Se debió a que publiqué el código (aunque sustituyendo la dirección del ataque por hxxp://) del ataque a la web de un colega y alguna araña de blogger lo detectó (correctamente) como dañino. Sin embargo, tras la reclamación enviada, fue inmediatamente abierto. Esto es un comportamiento bastante correcto por parte de Blogger que evita el fraude a sus lectores, pero en este caso un error de concepto.

Todo esto me hace pensar en lo facil que es inyectar código tipo script en las entradas de los blogs, que deberían estar mejor protegidos en su propio editor de entradas. No obstante, el código no duró más que uno o dos días publicado.

Felicidades al equipo de Blogger por su servicio y gracias de todos los que somos sus usuarios.

martes, 9 de junio de 2009

Nuevo script en PERL para ruptura de claves WEP

Aunque todavía no está del todo maduro, me he entretenido la tarde probando y depurando un script en lenguaje PERL para ruptura de claves WEP. Es el WEPbuster 1.0 beta 1.03 que, en la plataforma Linux, es capaz de realizar un escaneo de redes Wi-Fi con seguridad WEP y proceder de forma automática a la ruptura de cada una de las claves de las redes localizadas. Este tipo de scripts totalmente automatizados no son del agrado de muchos auditores de seguridad en redes inalámbricas por poner en manos de script-kiddies las herramientas necesarias para hacking no ético. Sin embargo, personalmente disfruto del tiempo que paso probándolos, estudiando su código y depurando sus errores.

Como comento el script todavía precisa de horas de depuración y corrección de errores, además de la introducción de algunas mejoras. En este momento este script es solo capaz de hacerlo sobre redes WEP y mediante ataque sencillo ARP reply. Personalmente creo que debería utilizar otras técnicas más avanzadas como ataque de fragmentación o chop-chop como alternativa al siempre efectivo ARP-reply.

Solo con arrancar el script, empieza un escaneo por los canales (1,6,11 si no especificamos otros) y procede a atacar las redes encontradas. Pienso que el programador se ha armado un lio de concepto con lo de los canales sin solapamiento puesto que en el script, la selección de canales se basa en este concepto, que no tiene mucho sentido, si no es para planificar y construir una infrastructura. Pero a la hora de romper redes, el hecho que los canales estén solapados o no, no tiene ninguna importancia. Una ventaja es que wepbuster es capaz de mostrar automáticamente el ssid de redes con ssid oculto que tengan clientes conectados.

Por otra parte el script clásico airoscript sigue siendo uno de los más completos y profesionales a la hora de realizar auditorías, pero el concepto de poder hacerlo en plataformas que no dispongan de consolas gráficas X, es algo que estoy persiguiendo desde hace mucho tiempo. Wepbuster lanza las diferentes ventanas para el ataque en segundo plano y airoscript está empezando a programarse sobre el comando screen que es una mejor alternativa.

Felicidades a todos estos programadores por dedicar su tiempo a realizar scripts como estos.

Vaya semanita con los hackers rusos

El miercoles pasado una de las páginas Web que mantengo fue atacada y comprometida desde una página rusa llamada reddii.ru que actuaba mediante un escaneador de vulnerabilidades. Voy a intentar explicar lo que pasó con un poco de detalle y de una forma no muy complicada para los lectores menos iniciados. Todo comenzó cuando el titular de la página de fotografía (un amigo) me llamó para informarme que algo no funcionaba bien y que las imágenes no se mostraban. Me conecté tan rápido como pude y observé que tenía razón y que además cuando presionaba CTRL+F5 para actualizar el caché en la barra de estado del navegador me estaba enlazando con: reddii.ru/sploit1/.... Esto me dio la pista definitiva para observar que la página había sido de alguna forma modificada.

Mi primera impresión por el mal funcionamiento en la carga de las imágenes era que se debía a algún tipo de ataque basado en inyección de código SQL contra la base de datos. Por todo esto, comencé a realizar una auditoría forénsica de la página. Lo primero que hay que hacer es copiar o clonar todo el contenido de la página web mediante conexión, preferiblemente ssh, o ftp. Hice un volcado (dump) de la base de datos MySQL y comencé a buscar posibles cadenas de texto peligrosas que pudieran haber inyectado.

Tras descartar este tipo de ataque, por no encontrar aparentemente ninguna traza peligrosa en la base de datos, me dediqué a revisar el código PHP de las páginas que componen este sitio, con la intuición de que las claves de acceso mediante ftp pudieran haber sido comprometidas. Y finalmente así fue, el código de programación de varias páginas había sido modificado de tal manera que se redireccionaba antes de cargar el index completamente a esta página de Rusia que escaneaba el software de las víctimas (pobres personas que accedían al sitio de mi amigo) en busca de vulnerabilidades para finalmente (en caso de haberlas) inyectar un troyano.

El código modificado que crea el ataque es el siguiente: (muy bien ideado y efectivo)

La parte codificada, descodificándola de hexadecimal a ASCII (mediante la gran página: http://www.elhacker.net/sneak.php) queda así:

Procedí a revisar el código y limpiarlo, para volver a comprobarlo todo de nuevo. Terminé la forénsica, informando a mi amigo de lo ocurrido. Pero ahora es tiempo de reflexión... A que se debió el ataque? Fue algo personal contra él? Como obtuvieron las claves? Se debió a alguna vulnerabilidad en el propio servidor de Dreamhost donde está alojada la página, como informé a este ISP? Cúal es el fin de este tipo de ataques mediante troyanos?