Diario de un H4ck3r

Acerca de Rooted CON

2010-03-25T11:29:00.001Z

Para todos aquellos que no tuvieron oportunidad de visitar y asistir al congreso rooted con voy a publicar mis primeras impresiones sobre las conferencias a las que pude asistir en este primer congreso sobre hacking en Madrid. Comenzaré explicando que al ser la primera edición celebrada, debemos ser un poco más tolerante con los contenidos y organización del mismo. Sin embargo, a pesar de la calidad de muchas de las conferencias, debo decir que careció de gran variedad en los temas tratados, mostrando mucha más persistencia en temas como análisis de aplicaciones, reverse engineering, desensamblaje y debugging que en otros interesantes como redes, protocolos y ruptura que siempre son de agradecer en este tipo de congresos.

Leer más en diariodeunhacker.com

Programa treintaminutos en TeleMadrid

2010-01-29T14:50:00.001Z

El domingo 31 de Enero, podreis ver a los compañeros de Mundo Hacker Radio participando en el programa treintaminutos de la cadena autonómica Telemadrid en el que tratarán sobre la seguridad informática y el hacking. Este programa de está titulado “la huella digital” y se emitirá también el día sábado a las 23:45 en el canal “La otra” de TeleMadrid. El domingo se emite el mismo programa en el canal de “Telemadrid” a las 20:30. Para aquellos que no dispongan de Telemadrid en su televisor, lo podrán ver en directo en la web de Telemadrid en esta dirección: http://www.telemadrid.es/contenidos/html/carpeta/emision_sat.html# y cuando esté disponible, lo colgaré en diariodeunhacker.

Leer más en diariodeunhacker.com...

El sorteo se celebrará el 6 de Enero de 2010

2010-01-01T11:05:00.000Z

El esperado sorteo de un Back|Track4 Appliance se celebrará definitivamente el próximo día 6 de Enero de 2010 (por eso del regalo de los Reyes Magos para quienes se hayan portado mal). He decidido inscribir a todos los usuarios registrados en diariodeunhacker.com que al menos hayan entrado alguna vez tras su registro y que tengan los datos del perfil más o menos rellenos. He estado estudiando un método más o menos seguro e independiente para la celebración del sorteo y he descubierto una página Web que no está mal para estos asuntos: sortea2.com.

Leer más en diariodeunhacker.com...

Nuevo repositorio de exploits

2010-01-01T11:03:00.001Z

Hace aproximadamente un mes se publicó una nueva página web en la que podemos encontrar todo tipo de exploits para realizar tests de intrusión en equipos y sistemas. Si bien ya conocíamos la archi-clásica página ("la Página") de exploits de la que hemos tirado siempre: Milw0rm; ya podemos contar con otra alternativa. Esta base de datos de exploits que se mantendrá actualizada de forma continua, ha sido creada por los autores de la distribución Linux para la intrusión BackTrack (Offensive-Security) y por Gerix.it, otros colaboradores en la creación de esta distribución.

Leer más en diariodeunhacker.com...

Twitter víctima hoy del ciberterrorismo

2009-12-18T20:14:00.000Z

Twitter vuelve a ser víctima de un ataque de tipo defacing mostrando esta mañana durante unas horas una imagen con el logotipo de un grupo de ciberterroristas autodenomidados "Iranian Cyber Army". Este ataque no ha afectado a todos los servicios de Twitter ni a las conexiones de todo el mundo, sino que se ha mostrado esta página en la conexión de algunos usuarios a algún servidor de Twitter.

Leer más en diariodeunhacker.com...

Hacker detenido en Tenerife (toda la noticia)

2009-11-30T08:23:00.001Z

Esta semana se publicaba la noticia de un hacker que ha sido detenido en Tenerife. La noticia ha sido publicada en todos los medios y ha tenido gran difusión, pero como suelo hacer siempre, voy a intentar recabar la mayor cantidad de información real sobre la noticia (tanto sobre los hechos, como técnica) y voy a intentar explicarlo de la forma más facilmente comprensible para todos, además de mostrar mi opinión personal sobre lo acaecido.

Web del PP defaceada

2009-10-31T15:26:00.002Z

Este tipo de noticias no es que nos parezcan buenas noticias, pero sí que representan un termómetro del nivel de general de preocupación por la seguridad IT que existe en empresas y organismos públicos. Esta semana la página Web del Partido Popular en Valencia fue defaceada y powned! (apoderada) aparentemente por parte de un hacker con alias kr0no y con su propio blog en un muy buen portal comunitario de hackers con cantidad de documentación interesante sobre hacking llamado diosdelared.com. Ayer en su blog se mostraba la página del PP de Valencia con la foto de Camps como powned y owned!

Leer en diariodeunhacker.com

R.I.P. Geocities

2009-10-27T10:59:00.002Z

En el presente año en el que se ha hecho notar mucho más que en anteriores, pasan continuamente cosas como estas: son recortes de personal, recortes de gastos, de servicios prescindibles, etc. Ahora le ha llegado el turno a el portal Geocities, que para los que lleven mucho en esto de la Informática, les sonará bastante. El pasado 26 de Octubre Yahoo, propietaria de Geocities desde 1999 (año en el que la compró por 400 millones de dolares) echó el cierre "definitivo" a Geocities, en la que ya no se permite la creación de nuevas cuentas.

Leer más en diariodeunhacker.com

Sorteo de un BackTrack4 Appliance

2009-10-19T07:01:00.002+01:00

En diariodeunhacker.com hemos creado un producto innovador basado en el desarrollo de un proyecto en el que llevamos trabajando casi un año.Un equipo tipo Appliance de reducido tamaño ideal para auditoría de sistemas y test de penetración, para los profesionales de la seguridad. Este equipo que se pondrá pronto a la venta, se sorteará entre los miembros inscritos en esta comunidad (diariodeunhacker.com) antes de las 24 horas del 31 de Diciembre de 2009 y será enviado en la primera semana del 2010 al ganador.

Leer más en diariodeunhacker.com

Google detecta código malicioso

2009-10-17T07:18:00.002+01:00

El gran gigante Google ha agregado un nuevo servicio en su extenso catálogo de prácticas herramientas y servicios. Se trata de un sistema de detección de scripts y códigos maliciosos en los sitios Web a través de sus robots de indexación de contenidos. Google está actuando por tanto de forma consciente y activa en uno de los problemas qué más daño está causando a Internet: el malware.

Leer más en diariodeunhacker.com

Otro equipo desinfectado de malware

2009-10-15T20:21:00.000+01:00

Ayer me conecté a uno de mis clientes que se quejaba de tener un virus en su equipo, debido a los típicos síntomas como una reducción de velocidad, cuelgues habituales, y finalmente una pantalla de advertencia del antivirus que detecta un intento de acceder a una Web para descargar un archivo que aparentemente es malicioso. Tomo nota del error del antivirus y me pongo manos a la obra para intentar solucionar el problema sin tener que llegar a la típica solución de reinstalar el sistema operativo, que aunque buena, conlleva muchas horas de trabajo y otros problemas añadidos.

Leer más en diariodeunhacker.com

Blog Action Day 2009

2009-10-15T08:39:00.001+01:00

Hoy 15 de Octubre es el Blog Action Day del año 2009, un día en el que más de más de 7800 blogueros en todo el mundo, apoyamos una acción social mediante las palabras escritas en nuestros blogs. Este año el centro de nuestra acción de conciencia social es el cambio climático, algo que todavía no es reconocido por muchas personas, pero que se vuelve cada año más evidente.

Cada año se celebra este día con una acción diferente contra los problemas mundiales, entre los que cuentan: la pobreza, los derechos humanos, el cambio climático, la injusticia, etc. En esta acción participan gran parte de las ONG importantes, además de otros colaboradores como Google, Opera e incluso partidos políticos.

Leer más en diariodeunhacker.com

Backrack 4 PreFinal es casi perfecto

2009-10-08T15:27:00.001+01:00

La semana pasada hicimos un taller en Madrid sobre el uso y optimización de BackTrack 4 prefinal en unay una Alfa / Bosslan RTL8187 para el análisis de penetración en redes inalámbricas Wi-Fi. La motivación principal de este curso / Lab fue la de crear un entorno de análisis de penetración en redes (inalámbricas) lo más estandar posible para que posteriormente todos los asistentes (expertos en seguridad) pudieramos utilizar las mismas herramientas con las mismas configuraciones y/o problemas.

Leer más en diariodeunhacker.com

Así te infecta una Web maliciosa (I)

2009-09-29T08:49:00.000+01:00

Tras darnos cuenta de que algo raro está ocurriendo en nuestros ordenadores (lentitud, correos electrónicos tipo SPAM devueltos sin haber sido enviados por nosotros, conexiones a Internet...) y que posiblemente hayamos sido infectados por algún tipo de virus o troyano o malware, nuestro ordenador empieza a realizar sospechosas actividades. Comenzamos a dudar de su integridad: ya no nos obedece solamente a nosotros, ahora también recibe ordenes externas sin nuestra autorización. ¿Qué está pasando? Pero, sobre todo ¿cuándo comenzó a pasar, y cómo nos infectamos sin habernos dado cuenta?

Leer más en diariodeunhacker.com

Hemos actualizado los enlaces Web

2009-09-29T08:47:00.001+01:00

Acabamos de actualizar todos los enlaces en la sección de Enlaces Web del menú Servicios de este portal. Por supuesto que ésta es una sección viva y que tiene que mantenerse actualizada día a día con nuevas aportaciones nuestras y de los miembros de la Comunidad Diariodeunhacker.com, pero he hecho un primera aportación, en la que simplemente he incluido algunos de los enlaces de los favoritos de mi navegador web, o por lo menos aquellos que considero politicamente correctos para ser publicados. He incluido una breve descripción en cada uno de ellos y el enlace. En un futuro intentaré mejorar el diseño de la presentación, pero el contenido principal ya está. Espero, como siempre, que os guste esta aportación.

Ver los enlaces en diariodeunhacker.com

No es hacking pero entretiene

2009-09-18T07:21:00.002+01:00

Esta sociedad occidental en la que vivimos, padece graves síntomas de estar perdiendo importantes valores morales, sociales y familiares. Cada día se escuchan sucesos y noticias que no son más que demostración de ello, que simplemente se podrían haber evitado si existieran cierto tipo de valores implícitos en nuestra educación moral. El siguiente vídeo que me han "espameado" presenta ...

Leer más en www.diariodeunhacker.com...

Los hackers se manifiestan a veces

2009-09-15T22:31:00.001+01:00

Curioso artículo, el que me encontré ayer, hojeando los blogs de otros colegas en busca de información.

La fuente está en el blog de S21sec, empresa dedicada a la seguridad cibernética y a la forénsica, que cuando estaban analizando el código de un troyano bancario (yo suelo hacerlo siempre off-line), se les conectó remotamente mediante una botnet su programador para pedirle explicaciones sobre lo que estaban haciendo, caso que aprovecharon para consultarle sobre su creación y sobre su red o botnet de troyanos.

Leer más... (en diariodeunhacker.com, la comunidad)

Aircrack-ng de estreno

2009-09-15T22:28:00.002+01:00

La suite aircrack-ng está de estreno completo. Después de casi dos años de desarrollo (1 de ocubre de 2007: primera versión beta 1), se acaba de publicar la versión 1.0 estable con algunas correcciones en el código desde su última release candidate. No cabe duda de que se trata de la única y por tanto, mejor, suite de programas de auditoría de penetración en redes inalámbricas, y nos ha dado a todos los que nos dedicamos a esto muchas horas de estudio y pruebas de concepto.

Leer más... (en diariodeunhacker.com, la comunidad)

Todos los programas de Radio en formato Podcast

2009-09-13T16:45:00.003+01:00

Desde el año 2007, mis colegas Antonio Ramos Varón y Jean Paul García Morán dirigen un programa de Radio On-Line dedicado a todos los temas relativos al hacking y seguridad en entornos IT. Este programa llamado "Mundo Hacker" ha sido desde sus comienzos grabado y emitido en la emisora de Radio on-line Radiouniverso.es con gran difusión. Desde sus inicios este programa cuenta con otros muchos colaboradores, como Rubén, Maikel, Yanko, Alberto y finalmente yo.

Leer más en diariodeunhacker.com

Google se protege contra los hacks

2009-09-07T21:12:00.001+01:00

Durante el último año he estado observando como aparece una página de error de Google en algunos de los ordenadores de mis clientes y amigos. Y me ha extrañado bastante el estilo poco trabajado (casi parece un fake) del logo de Google que incorpora y la poca información que ofrece. Por eso he estado investigando en diferentes foros y blogs, sobre las explicaciones oficiales y las extraoficiales que se dan por Internet.

Leer más en diariodeunhacker.com

Nos hemos adelantado a todos

2009-09-02T22:59:00.002+01:00

Ayer martes, publicamos la noticia del fraude del correo electrónico a Hacienda y hoy miércoles me la acabo de encontrar en 20 minutos y ha sido comunicada según ellos por el Ministerio de Hacienda.

Esto significa dos cosas básicamente:

1) que estoy bastante al día con las noticias que recabo.
2) qué desgraciadamente estoy en las listas de correo de todos estos desgraciados.

Procuraremos seguir dando noticias día a día para manteneros informados.

Referencia: http://www.20minutos.es/noticia/508437/0/timo/impuestos/hacienda/

Hacienda llama a tu correo

2009-09-01T17:05:00.006+01:00

Que grata sorpresa, abrir mi correo electrónico y encontrarme un email en la bandeja de entrada de Hacienda (que somos todos), comunicándome que soy "elegible" para recibir una compensación de 186.80 euros.

Vamos mejorando en la composición e imitación de estos correos maliciosos, ya no los escriben monos que no saben ni escribir en castellano, por lo que resultaban totalmente inverosímiles. Pero indicarme que soy "elegible", "elegible" ¿de qué?, no he sido seleccionado para un concurso o algo así. Además si soy "elegible", no he sido elegido, sino que estoy en el bombo simplemente. Bueno, sin darle más importancia al tema, veamos las propiedades del correo, miremos en su interior:

Cabecera de datos:

Delivered-To: asf@sadfaec.com Received: from misiva24.acens.net (localhost [127.0.0.1]) by localhost (Postfix) with SMTP id 382BA296F3D for sadfaec.com>; Tue, 1 Sep 2009 17:44:57 +0200 (CEST) Received: from correo12.acens.net (rs-0-218.acens.net [217.116.0.218]) by misiva24.acens.net (Postfix) with ESMTP id CC32A296F39 for <asf@sadfaec.com>; Tue, 1 Sep 2009 17:44:56 +0200 (CEST) Received: (qmail 21571 invoked from network); 1 Sep 2009 15:44:56 -0000 Received: from unknown (HELO smtp.cantina1511restaurant.com) ([98.21.125.138]) (envelope-sender ) by correo12.acens.net (qmail-ldap-1.03) with SMTP for <asf@sadfaec.com>; 1 Sep 2009 15:44:56 -0000 Received: from User ([72.17.174.90]) by smtp.cantina1511restaurant.com with Microsoft SMTPSVC(6.0.3790.3959); Tue, 1 Sep 2009 11:44:53 -0400 Reply-To: From: "Agencia Tributaria" Subject: Reembolso de Impuestos Date: Tue, 1 Sep 2009 11:44:53 -0400 MIME-Version: 1.0 Content-Type: text/html; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Return-Path: impuestos@aeat.es Message-ID: X-OriginalArrivalTime: 01 Sep 2009 15:44:54.0101 (UTC) FILETIME=[2659C850:01CA2B1B] To: undisclosed-recipients:; X-PMX-Version: 5.5.7.378829, Antispam-Engine: 2.7.2.376379, Antispam-Data: 2009.9.1.153318 X-PMX-Spam: Gauge=X, Probability=12%, Report=' CTYPE_JUST_HTML 0.848, HTML_70_90 0.1, CHARSET_CYRILLIC_NO_CYRILLIC 0.05, BODY_SIZE_5000_5999 0, BODY_SIZE_7000_LESS 0, CHARSET_W1251_NOT_CYRILLIC 0, FORGED_MUA_OUTLOOK 0, LINK_TO_IMAGE 0, RDNS_GENERIC_POOLED 0, RDNS_POOLED 0, RDNS_STATIC 0, RDNS_SUSP 0, RDNS_SUSP_SPECIFIC 0, SPF_NONE 0, TO_UNDISCLOSED_RECIPIENTS 0, USER_AGENT_OE 0, __CHARSET_IS_CP1251 0, __CT 0, __CTE 0, __CTYPE_HTML 0, __CTYPE_IS_HTML 0, __HAS_HTML 0, __HAS_MSGID 0, __HAS_MSMAIL_PRI 0, __HAS_XOAT 0, __HAS_X_MAILER 0, __HAS_X_PRIORITY 0, __HTML_BOLD 0, __MIME_HTML 0, __MIME_HTML_ONLY 0, __MIME_VERSION 0, __OUTLOOK_MUA 0, __OUTLOOK_MUA_1 0, __PHISH_SPEAR_STRUCTURE_1 0, __RDNS_POOLED_9 0, __RECEIVED_FROM_USER 0, __RUS_HASHBUSTER_1251 0, __SANE_MSGID 0, __STOCK_PHRASE_7 0, __TAG_EXISTS_HTML 0, __TO_MALFORMED_3 0, __URI_NS , __USER_AGENT_MS_GENERIC 0'

Podemos ver varios detalles en la cabecera. Muy bien lo de envelope-sender (impuestos@aeat.es) o el campo "From" y "Reply". Pero el X-Mailer es Outlook Express 6 y no creo yo que este tipo de correos automatizados se envien mediante este software uno a uno. Lo más simpático es lo de smtp.cantina1511restaurant.com, aquí ya la hemos armado gorda. El SMTP de hacienda se llama cantina1511restaurant (AEAT se dedica a la restauración).

Pero el fin de la cuestión no es el diseño, ni el estilo, ni la cabecera, ni la cantina (por cierto ya he avisado a los de la cantina que tienen un problema de seguridad con el servidor de correo smtp), sino el link, que es a donde se le van los dedos a uno "http://mail.oceanic-fruits.com/", tiene toda la pinta de ser un servidor legítimo pero comprometido.

Miremos en whois a ver de quién es:
[owner-c] handle: 9390906
[owner-c] type: PERSON
[owner-c] title:
[owner-c] fname: Ulrike
[owner-c] lname: Nasri
[owner-c] org: Oceanic
[owner-c] address: Brooktor
[owner-c] city: Hamburg
[owner-c] pcode: 20457
[owner-c] country: DE
[owner-c] state: DE
[owner-c] phone: +49-40-2100790
[owner-c] fax: +49-40-30384399
[owner-c] email:

Además posiblemente el dominio principal no lo esté, sino el subdominio mail. Ahora toca abrir el VMware con mi Windows sin actualizar para ver lo que pasa cuando entro, imagino que es un troyano, pero veamos... Mala suerte, el index no está activo, quizás lo descubrieron y lo borraron o quizás no está todavía activo. Probemos con el teleport. El teleport es un software muy utilizado por los hackers y por los "buenos" para clonar páginas Web, como en este caso la de AEAT. Le pedimos que reciba el contenido de ese dominio y ... ¡Bingo! el contenido del portal malicioso ya está aquí.

No es como pensaba un inyectador de troyano basado en vulnerabilidades, sino un formulario que nos pide datos como el número de la tarjeta de crédito y el PIN y valida el tipo de datos mediante funciones javascript. Tras rellenar el formulario y darle a enviar datos, utiliza una función de envío de datos a un email y nos devuelve una página amable de agradecimiento por parte de Hacienda (http://0126.013624501/ss/submit.php) y nos lleva a la página real de AEAT. Algo muy común para dar en Internet: el PIN de la tarjeta. Esto ya resulta demasiado, pero este tipo de páginas funcionan gracias a la estadística. A millones de envíos de email, alguno pica.

Esto es un ejemplo de como se realiza a groso modo una auditoría de un correo malicioso que nos lleva a descubrir los dominios comprometidos y los receptores de correo del fraude. Estudiando el código fuente de la página o del correo podemos descubrir todos los datos necesarios para abrir una investigación o para alertar a las partes comprometidas, que probablemente el único mal que han hecho es no mantener sus servidores actualizados y seguros.

Los ordenadores más pequeños del mundo

2009-08-29T19:55:00.013+01:00

En este artículos, vamos a repasar los últimos avances en miniaturización para la fabricación de ordenadores. Las posibilidades aplicativas que tienen este tipo de mini-ordenadores son ilimitadas, ya que gracias a su tamaño y su bajo consumo energético se puede implementar en casi cualquier lugar y de forma oculta.

Durante el último año he estado jugando bastante con ordenadores muy pequeños, específicamente estoy trabajando mucho sobre configuración y personalización de Appliances. Un appliance es un pequeño (o no tan pequeño) ordenador que viene preconfigurado para desempeñar una función (normalmente relacionada con el tráfico de red, como cortafuegos, enrutadores, hotspots Wi-Fi, balanceadores de carga, etc.). Este es un mundo muy interesante, puesto que las posibilidades de configuración de un pequeño ordenador con varias interfaces de red, son ilimitadas, sobre todo si lo hacemos sobre sistemas operativos tipo *nix (Linux principalmente).

Se me ocurrió la idea de crear un pequeño appliance, cuya función principal fuera hacer de servidor de RADIUS (basado en FreeRADIUS) para realizar el proceso de autenticación de puntos de acceso inalámbricos Wi-Fi o Wi-Max, o incluso de equipos de una red local cableada, mediante sistema NAC. Este appliance debería funcionar sobre Linux instalado en una tarjeta CF y permitir realizar toda la gestión desde una consola Web segura o mediante SSH. Así lo hice, y quedó perfectamente funcional: éste es uno de esos proyectos que nos mantienen entretenidos y entrenados.
Probé a realizar otros tipos de appliance (algunos sobre los que aún sigo trabajando) para el control e interceptación de tráfico de red inalámbrica, más en concreto sobre una sonda remota de monitorización de redes Wi-Fi. Durante todo este proceso he estado en contacto con un tipo de hardware que hace unos años desconocía, pero que me ha dejado bastante asombrado en cuanto a las prestaciones, precio y calidad. Sin embargo, esto no es más que el principio de lo que se puede encontrar actualmente en el mercado de la microinformática.

Hojeando de vez en cuando el hardware nuevo que va apareciendo, me he encontrado con los ordenadores más pequeños del mundo, y realmente merece la pena dedicarles un artículo aquí. Pero, ¿qué relación tiene esto con el hacking? Pues toda la que se le quiera dar, ya que cuando vean el tamaño de estos ordenadores, se puede ver el potencial de ocultación que tienen. Podemos llegar a meter un ordenador completo en una caja de pared (roseta de un enchufe), con todas las posibilidades que tiene la informática, mediante la construcción de un appliance u ordenador dedicado a tareas de hacking de forma totalmente automatizada mediante scripting.

Encontrar un ordenador en la roseta de un enchufe... hasta allí tendremos que llegar en un cercano futuro para las instalaciones empresariales (e incluso domésticas). Imaginen una empresa con gran cantidad de puestos de trabajo ligeros, de tipo terminal, en la que no existan las típicas torres o semitorres que molestan en todas las mesas o suelo. Todo va conectado a la pared directamente. Resulta un invento que promete un gran futuro. Se llama Jacket PC y está fabricado por una empresa israelí llamada Chip PC Technologies. Sus especificaciones son de las más completas de todos los modelos aquí presentados: Procesador hasta 1,2 Ghz, 4 puertos USBs, conector de audio, microfono y teclado. Su sistema operativo es windows CE .NET 4.2.

Este es el fit-pc y lo que llama directamente la atención de él, es su interface inalámbrica Wi-Fi que siempre es un valor a tener en cuenta a la hora de decidirse por un equipo de este tipo. Se me ocurren mil posibles aplicaciones para este mini equipo. Observe el tamaño de las llaves del coche; impresiona su tamaño. Sus características incluyen un procesador AMD Geode a 500MHz, 512Mb de RAM, disco duro de 60Gb tamaño 2.5 pulgadas, Ethernet, Wi-Fi, tres puertos USB, VGA y entrada y salida de audio para auriculares y micrófono. Se podrá comprar en breve con sistema operativo Ubuntu o Windows preinstalado.

Este es el linutop, un equipo, como su nombre indica, desarrollado sobre y para Linux. Se trata de un equipo totalmente funcional con la versión de Linux Linutop preinstalada con todas las aplicaciones básicas para uso de escritorio (entorno gráfico, navegador de Internet, correo electrónico, calendario, etc.). Es un ordenador transportable, que no portatil, para los entusiastas de Linux.

Especificaciones:
• Processor: AMD Geode LX700 (x86) • Memory RAM: 256 MB
• 4x USB 2.0 ports
• Audio in & out
• Network: 10/100baseT Ethernet (RJ-45)
• Video: VGA output (SUB-D15)
• Size: 9.3 x 2.7 x 15 cm (3.66x1.06x5.9 in)
• Aluminum Case
• Power: DC in 9V - 1,5A (5W)
• Voltage Range: DC in 9V - 16V
• Operating temperature 10°-40°C
• Operating humidity 10%-90%
• Weight: 280 gr (9.9 oz)

Este mini cubo de unos cinco centímetros y medio (2,2"") por lado es prácticamente un llavero ordenador con unas características bastante interesantes para cierto tipo de aplicaciones basadas, como siempre en Linux. Se llama Space Cube y es un completo ordenador que utiliza tarjeta CF como disco duro y que puede mostrar por su tarjeta gráfica una resolución de hasta 1280x1024 pixels. Por su tamaño y forma parece más un hub USB que un completo PC, pero dispone de un procesador de 300MHZ, y 16MB de memoria flash, junto con un slot para tarjetas CF y 64 MB RAM. Viene preinstalado con Linux Red Hat.

El cargador de móvil que ven abajo, no es exactamente un cargador de móvil, pero sí que es un ordenador completo en forma de cargador. Su nombre es Marvell SheevaPlug y es un mini ordenador gestionable desde un entorno Web, ya que no lleva salida de pantalla. Sus especificaciones incluyen un procesador de 1.2GHz ARM, 512 Mbytes de memoria flash dedicada al almacenenamiento y otros 512 Mbytes de memoria RAM, puerto Ethernet de 1 Gigabit y un puerto del USB 2.0. En su configuración inicial hace de servidor de almacenamiento, detectando cualquier disco duro o dispositivo de almacenamiento USB que se conecte a él, para compartirlo en red, tanto desde la red interna como desde Internet. Viene precargado con Linux.

Y en último lugar, fíjense como se puede integrar un ordenador de limitadas prestaciones en un conector de red RJ-45. Se llama picotux y como su nombre indica, está basado en Linux. Aunque sus especificaciones son muy limitadas, impresiona el tamaño y su capacidad de ocultación. Su defecto, a mi parecer, es el hecho de que solo incorpora una interface de red. Si tuviera dos, aunque doblara su tamaño, tendría más posibles aplicaciones prácticas.

Especificaciones:
Procesador 32-bit ARM 7 @ 55 MHz
2 MB RAM Flash
8 MB SDRAM
Ethernet: 10/100 Mbit
Serial (TTL): Up to 230.400 bps
uClinux 2.4.27 Big Endian (native)
Shell: Busybox 1.0 and others File Systems: CRAMFS, JFFS2, NFS Applications: Webserver, Telnet
Size of the Linux Systems in Flash: 720 KB and more
Protected Bootloader for Update over Network: 64 KB
Code Development System: GNU Tool chain Compiler GCC 3.4.4 for C/C++ and Fortran Binutils 2.15 Library: uClibc 0.9.26

Personalmente uno de los principales requerimientos que exijo a la hora de buscar un equipo de este tipo, es que esté basado en procesadores x86, ya que son los más compatibles a la hora de personalizar el sistema operativo y aplicaciones que vayamos a utilizar. Si bien muchos de estos equipos se basan en procesadores ARM, Xscale y similares, cuando se precisa de alguna aplicación concreta para ellos en Linux debemos recompilarla mediante técnicas de crosscompiling, y aunque esto no sea lo más complicado del mundo, es bastante tedioso hacerlo. Sin embargo, al estar basados en x86 o tecnología basada en Intel, todo funciona sin necesidad de tanta pérdida de tiempo. Aun así, debo aclarar que hay repositorios en Internet para muchos sistemas operativos basados en Linux, que ofrecen infinidad de programas y paquetes precompilados para estas plataformas.

Otro gran inconveniente todavía hoy, es la interface utilizada para la salidad de video, o VGA. Tener que utilizar ese conector de 15 pines de gran tamaño para conectarse a una pantalla, es un gran inconveniente para la miniaturización de estos equipos. Ahora algunos monitores disponen de HDMI que es más pequeño, pero algún día podremos disponer de salida de video inalámbrica, o eso espero.

Todo esto que hemos visto en este artículo no es real, y se autodestruirá dentro de 15 segundos. No lo piensen. pero realmente parece sacado de una película de James Bond.

Próximo curso de hacking y seguridad Wi-Fi

2009-08-28T16:32:00.002+01:00

En Septiembre, coincidiendo con la Feria anual ahora llamada SIMO Networks (22-24 Septiembre) , presentamos para esa semana un completo curso en Madrid sobre Wi-Fi, especialmente dedicado a su seguridad y técnicas utilizadas por los hackers para su ruptura.

Este curso, que repetimos de forma periódica, con gran aceptación y prestigio, acerca a los alumnos a los conocimientos generales sobre Redes inalámbricas a nivel técnico, práctico y de infraestructuras, tras lo cual se les muestran todas las técnicas utilizadas por los hackers para la ruptura de la seguridad y penetración en los sistemas. Durante todo el curso se ofrece un gran contenido práctico, utilizando por parte de los alumnos equipos y materiales de última generación que aportamos para la realización del curso.

Más información aquí.

Wi-Fi WPA/TKIP "tocada" de nuevo y casi "hundida"

2009-08-28T10:59:00.003+01:00

Se ha presentado una nueva e importante noticia que vuelve a poner en jaque a las redes inalámbricas Wi-Fi de tipo WPA/PSK TKIP, que todavía se vienen considerando como muy seguras. En el ataque anterior diseñado hace un año por los investigadores Beck y Tews, se daba un gran avance en la ruptura de seguridad de este tipo de redes, consiguiendo en un plazo de unos 15 minutos inyectar falso tráfico, pero construido de tal manera que la red lo considera legítimo. Sin embargo, las limitaciones de este ataque anterior, hacían que en la práctica el ataque de inyección de tráfico no fuera del todo efectivo para causar daños o penetrar en el sistema. Otra gran limitación de este ataque era que el punto de acceso debía tener activado el protocolo de calidad de servicio QoS para que pudiera funcionar, si bien muchos APs lo incorporan activado por defecto.

Gracias a este nuevo ataque diseñado por los científicos japoneses Toshihiro Ohigashi y Masakatu Morii, se mejora cualitativamente el ataque (que sigue consistiendo en inyección de trafico) acortando el tiempo de funcionamiento y éxito de 15 minutos a, en el mejor de los casos, 1 minuto. Además se implementa de modo que ya no es obligatorio estar utilizando un protocolo concreto, como el de calidad de servicio, y al bajar el tiempo de ataque, se evita en gran parte ser detectados por denegar el servicio a una estación cliente durante demasiado tiempo. Este tipo de ataque como el anterior, funciona en modo MiTM (hombre en medio), interceptando y modificando el tráfico entre AP y estación. Ambos ataques se basan en la ruptura del protocolo MIC de correción de errores y protección mediante la técnica CHOP-CHOP.

El resultado final de este ataque sigue consistiendo en falsificar un paquete pequeño (ARP o DNS) para inyectarlo en la red destino, cosa que sigue teniendo una aplicación real no muy amplia, ya que los resultados prácticos de este ataque no son muy elevados, ni muy peligrosos de momento, hasta que a alguien se le ocurra otra aplicación práctica.

En cualquier caso, la seguridad de WPA/TKIP queda de nuevo comprometida, pero todavía no hundida, aunque esto ya está en camino.

Nota: En la siguiente dirección podrán leer el Whitepaper con la información técnica más completa sobre el funcionamiento del ataque: enlace.

El primer Apple "Made in Spain"

2009-08-24T08:20:00.001+01:00

Tampoco es hacking...pero divierte. En la siguiente página Web podrán ver la genialidad de esta empresa de publicidad (Shackleton Group) que en forma de autocampaña publicitaria imitando con gran precisión otras campañas conocidas del gigante Apple, presenta un nuevo producto: el iJam.

La página no tiene desperdicio, al igual que el producto, claro está. Debéis acceder a través de todos los menús y vídeos para ver lo bien elaborada que está. No olvides consultar el manual de usuario de este producto.

Esta es una más, de esas prácticas formas de aprovechar el tiempo y el esfuerzo en los actuales momentos de crisis. Si no se dispone de un suficiente segmento de mercado, o se quiere realizar una estrategia que permita alcanzar mayor penetración, en vez de sentarte a quejarte de la situación actual, puedes trabajar más para ti mismo, obteniendo mayores posibilidades de éxito, ahora o en un futuro cercano. En este caso, una empresa publicitaria utiliza su propio trabajo y su propio esfuerzo en realizar su propia campaña, lo que extrapolado a otras empresas de otros sectores, implica algo más de imaginación para lograr el mismo resultado; pero la imaginación es una más de todas las herramientas para burlar esta crisis.

Así queda una página hackeada

2009-08-18T07:31:00.005+01:00

El otro día navegando por Internet, en busca de plugins para nuestra comunidad hacker, me encontré con esta página (www.tkcoms.co.uk) que aparentemente corresponde a "The dynamic portal engine and content management system For Oxford Bus Photography Club", que pertenece en principio a un club fotográfico.

El mensaje "The dynamic portal engine and content management system" es un slogan estándar del conocido sistema de gestión de contenidos Joomla o Mambo en el que está programado también nuestro portal www.diariodeunhacker.com , lo que demuestra provablemente que la página fue hackeada por una de las vulnerabilidades aparecidas en este CMS (Content Management System) recientemente.

Los hackers se dedican a buscar mediante el buscador Google páginas Web al azar que tengan una característica determinada, como por ejemplo que sean vulnerables a un fallo de seguridad publicado en Joomla que sea relativamente fácil de explotar. Para ello, introducen en Google términos como el Slogan que aparece por defecto en Joomla "The dynamic portal engine and content management system". Un programador poco precavido no ha limpiado esas referencias de la página, y por lo tanto, casi seguro que tampoco ha actualizado la versión de su portal para parchear esas vulnerabilidades publicadas. Se debe limpiar cualquier dato que haga referencia directa al sistema que tienes y especialmente a la versión instalada; en Joomla los hackers buscan el directorio "/administrator" de las páginas, para saber si están hechas en este sistema, ya que utilizan esta denominación para el directorio de Administración del CMS. Así que el hacker prueba los exploits para esas vulnerabilidades y vôila... acceso a su contenido.

En el caso de esta página hackeada, han actuado de forma relativamente ética, ya que han sustituido o modificado la página índice “index” original por otro nuevo en el que se simplemente se muestra mediante el comando HTML (HREF="http://i320.photobucket.com/albums/nn332/aamb92/Flagnicaragua.gif") la bandera de Nicaragua y el nick "NHAXERS TEAM by Charly" de forma que en el código, los buscadores no indexan su nick, ya que está incrustado en la imagen. Lo que sí queda en el contenido de la página es una referencia a la foto en photobucket.com y los términos Nicaragua, Managua y hacked. Esta técnica de hackear páginas web y cambiar su portada, sin ser demasiado agresivos, ni introducir malware en ellas, se denomina"deface" o quitar su cara original.

Si buscais NHAXERS TEAM en Google encontrareis un gran número de páginas "defaceadas" como esta "http://defaced.zone-h.net/defaced/2009/05/14/www.proju.com/php/" o como ésta "http://www.zone-h.org/archive/defacer=Nhaxers%20Team" donde se muestran algunas de sus víctimas y de otros hackers. Este portal es una base de datos con capturas de las páginas "defaceadas" (más de 700) de todo tipo de organizaciones públicas y privadas, además de un blog con sus principales logros. Por cierto, el propio Nhaxer tiene su blog en blogspot: http://nhaxers.blogspot.com/ y un foro de amigos en http://nhaxers.co.cc/.

Este tipo de técnicas como el deface, no se consideran en la comunidad del todo dañinas, ya que alertan a los administradores de los portales sobre sus fallos de seguridad, sin dañar su contenido, aunque en este caso el administrador debe de estar de vacaciones todavía. A los administradores de CMS como Joomla, deben estar suscritos a los boletines periódicos sobre seguridad y vunerabilidades que emiten los propios proyectos y mantenerse actualizados para evitar este tipo de cosas que sin llegar a ser tan dañinas, nos dejan con los colores subidos de la vergüenza.

PS: Hay que hacer copias de seguridad, preferentemente programarlas, y guardar el contenido de esas copias fuera del portal. Recomiendo el Jpack para Joomla que tiene una aplicación remota para realizar copias de seguridad. Hay que actualizar el portal y leer los boletines de seguridad, tanto en el software principal como en los plugins. Borrar las referencias al fabricante y versión, además de instalar un software que nos avise de cambios en la estructura y archivos base del sitio.

La fuente de la felicidad

2009-08-15T20:14:00.004+01:00

No sé si recordais ese anuncio de Coca-Cola cuyo slogan era algo así como la fuente de la alegría. Pues esta marca de refrescos ha dado un paso más allá y ha fundado hace un año el Instituto Coca Cola de la felicidad que cuenta con un plantel de personalidades de las ciencias y de la psicología. Entre ellos cabe destacar la participación de Eduard Punset que ha participado entre otras cosas con un magnífico programa de su serie Redes en TVE que precisamente trata junto con un prestigioso psicólogo de la Universidad de Nueva York (Gary Marcus) sobre la búsqueda y el camino para hallar la felicidad. Creo que ver este documental es una obligación casi, y en mi caso lo he visto varias veces, y lo volveré a ver.

La forma en que está realizado tecnicamente es fantástica, pero el contenido no merece perder un segundo de nuestra atención. No es hacking...pero divierte. Este y otros documentales los podeis encontrar en el blog de Punset.

Haga click para comenzar

Ya tenemos muy avanzado nuestro nuevo portal

2009-08-08T13:55:00.002+01:00

Hemos estado toda la semana trabajando en la creación y puesta en funcionamiento de un nuevo portal de contenidos CMS basado en la estructura de este blog pero con grandes mejoras en cuanto a funcionalidad y contenidos. El trabajo, a pesar de ser muy operativo en este momento, no está más que al principio de sus perspectivas. Pienso introducir un sistema de usuarios tipo red social, que sirva como lugar de encuentro de un grupo de amigos dedicados profesionalmente a estos temas de Seguridad y Hacking ético. Además deberá disponer de un foro de intercambio de información, sobre temas profesionales. Y como tal portal de contenidos, me gustaría (ya está en funcionamiento) establecer una disciplina de publicación de noticias y artículos relacionados con este mundo. El portal dispone también de una agenda de eventos en los que podamos compartir fechas interesantes a nivel profesional (ferias, conferencias, reuniones, cursos, etc...). Compartiremos enlaces, blogs, feeds, referencias importantes, manuales, programas, comentarios, artículos y mensajes entre nosotros. Bienvenidos a nuestro futuro portal.

No dejes de visitar la beta de : http://www.diariodeunhacker.com/

Importantes ataques de DDoS a Twitter, Facebook y Google

2009-08-07T07:46:00.005+01:00

En la madrugada del jueves 6 de Agosto se han producido importantes ataques de denegación de servicio contra los portales de Twitter, Facebook y Google en sus principales sedes. En el caso de Twitter, el ataque causó la perdida de servicio completa, impidiendo a los usuarios acceder a sus cuentas durante varias horas. Facebook causaba importantes retrasos a los usuarios que querían acceder a sus perfiles. A pesar de estar ya operativos, al descubrir el ataque e intentar luchar contra él, siguen con ciertos problemas operativos durante el día. Google simplemente ni confirma ni niega estos ataques, pero ofrece su colaboración para descubrir a los culpables de los mismos. Las páginas populares, especialmente las de Web 2.0, están siendo habitualmente víctimas de este tipo de ataques, dificiles de controlar y probablemente causados por redes de zombies como Botnets. Sin embargo existen muchos otros medios para causar DDoS mediante ataques a enrutadores, servidores Web, cortafuegos, servidores DNS, etc.

La lucha contra este tipo de ataques es muy complicada y especialmente cuando se basan en redes zombies como Botnets, ya que los ataques no se realizan de forma localizada desde una IP o grupo de IPs, sino desde muchas partes del mundo. Está claro que ésta será una de las principales amenazas de los próximos años hacia objetivos seleccionados de todo el mundo (desde intereses económicos, redes militares o gubernamentales, etc.

Por cierto, hoy día 7 por la mañana sigo teniendo ciertos problemas para poder entrar en Twitter. Quizás sea otro de estos ataques de DDoS que sufro desde la ADSL de Telefónica que no me deja trabajar a la velocidad que pago...

El periódico El País ha publicado esta notica en su edición impresa y en la digital: leer mas.

La seguridad criptográfica vuelve a temblar

2009-08-04T13:19:00.002+01:00

Me causa un nudo en el estómago leer noticias como la que acabo de encontrar publicada en Internet: El sistema criptográfico AES empieza a desestabilizarse ante nuevos ataques matemáticos de un equipo formado por las eminencias Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich and Adi Shamir.

Si bién éste no es el primer ataque contra este algoritmo, si que se convierte en uno de los más prácticos que funciona principalmente sobre AES-256 mejor incluso que sobre AES-128, debido a las relaciones matemáticas más intensas sobre tipos de AES utilizados para cifrar datos en bloques que trabajen sobre tipos de AES de 10-11 rounds (iteraciones). Esto hace más vulnerable a datos grabados mediante cifrado, como discos duros, etc... Aunque si se aplica la norma completa de seguridad AES que implica hasta 14 rondas en el proceso e incluso se utiliza AES-128 en vez de 256, se impide el ataque. Aumentando el número de rondas, también se dificulta o impide este ataque (se pueden ampliar hasta 28 rondas).

Otro paso más hacia la ruptura de AES, wow.

Leer más: artículo completo.

Los mejores hackers del mundo casi hackeados

2009-08-04T13:06:00.005+01:00

Dicen que si estás entre la élite del hacking debes estar en la Feria DEFCON en Las Vegas. Yo no sé si, es que realmente no estoy entre los mejores, o simplemente que no me alcanza el dinero para llegar a fin de mes, y mucho menos para darme el lujo de asistir a esa reunión. Pero bueno, desde mi tristeza de no estar allí, contemplo con humor la noticia que he podido leer.

Han instalado un falso cajero automático en el Hotel donde se celebra esta reunión anual (Riviera Hotel Casino) con el fin de robar información (número de tarjeta de crédito y PIN code) de los incautos que lo utilizaron para sacar dinero. Este falso cajero (fake) debía imitar muy bien a los reales, ya que casi no se dan cuenta de la estafa, hasta que alguien notó que el color de sus luces y el brillo de su pantalla no eran exactamente como los originales. Por otra parte, habría que felicitar al personal de seguridad del Hotel que no notó ni su existencia, ni el tiempo que debieron utilizar para su instalación, y todo eso a pesar de estar cerca de la oficina de seguridad del Hotel.

Por otro lado, la profesionalidad de los que lo instalaron queda demostrada por no haber sido registrados por la cantidad de cámaras de vigilancia de las que disponen estas instalaciones. Hay que tenerlos bien puestos para hacerlo durante la semana en la que se celebra la mayor conferencia de seguridad del mundo.

Un regalo para los frikis

2009-08-01T13:26:00.004+01:00

En conmemoración del 40 aniversario de la llegada del hombre a la luna (o de los hombres, ya que fueron más de uno) se ha publicado aquí el código fuente del programa que controlaba el módulo de mando de la nave Apolo XI y ha sido declarado OpenSource. Para aquellos que están estudiando programación es una joya a estudiar, ya que define la programación que fue avanzada hace cuarenta años. Además disponeis de un emulador del ordenador de a bordo para poder ejecutar el código y probar vuestros propios aterrizajes "lunares?".

A ver quién encuentra algún bug o vulnerabilidad en el mismo. Por cierto los comentarios de los usuarios de la página anterior no tienen desperdicio, creo que son mejores que el propio código fuente.

Un gran sistema operativo en Web para todos

2009-08-01T13:01:00.007+01:00

Hablando con un colega de trabajo, me enteré de la existencia del sistema operativo EyeOS que es uno de estos proyectos libres de sistema operativo basado en Web. Si bién no considero que sea totalmente un sistema operativo, sí que se comporta como tal, de forma que los usuarios acceden mediante su propio usuario y contraseña a un escritorio personalizable y disponen de aplicaciones de oficina y de otras muchas utilidades que pueden utilizar, instalar y configurar. Este tipo de sistemas como fueron WebOS o el futuro proyecto Chrome OS son muy prácticos para un perfil de usuario móvil que quiere disponer de su propio entorno operativo con sus documentos y programas disponible desde cualquier ubicación que tenga acceso a Internet. Además EyeOS permite acceder desde cualquier navegador, tanto de escritorio como desde equipos móviles como iPhone. Para todos aquellos que quieran probarlo y jugar un poco con él pueden hacerlo desde la propia Web del proyecto http://www.eyeos.com/ o desde mi página diariodeunhacker.com/eyeOS que estará disponible en línea unos meses.

Este tipo de sistemas se definen por su estructura de red como sistemas "Cloud Computing" ya que permiten crear estructuras descentralizadas tanto públicas como privadas. EyeOs ha sido calificado por la comunidad SourceForge como proyecto del mes por su calidad, premio más que merecido para este desarrollo español gestionado desde Barcelona desde hace ya más de cuatro años.

EyeOS dispone de toolkits específicos para personalizar el sistema para su uso privado o profesional que hacen que sea más facil de integrar y que permiten la programación de nuevas herramientas o gadgets. Además dispone de su propio repositorio de herramientas y traducciones a 20 idiomas, que el nuevo usuario puede seleccionar. Se puede descargar el instalador desde la página web del proyecto e instalarlo muy facilmente en cualquier servidor tipo LAMP privado o en un hosting típico. Gracias a sus desarrolladores y mucha suerte con este proyecto español (Daniel Gil).

Ya tenemos dominio

2009-08-01T12:56:00.002+01:00

Aunque todavía no es del todo un gran salto cualitativo en este blog, ya disponemos del dominio "diariodeunhacker.com" que de momento está redireccionado a blogspot (blogger) para que el que prefiera teclear esta dirección pueda acceder directamente a este blog. Tengo planes de futuro para este dominio, que pretende colgar otros contenidos además del propio blog. Pero esto ya se irá viendo en próximas fechas. Proyectos, proyectos y más proyectos... las ideas me fluyen y espero que el tiempo para llevarlas a cabo me acompañe. Gracias de nuevo a todos los visitantes.

No es hacking, pero divierte...

2009-08-01T12:44:00.002+01:00

Esta semana, a pesar de que ya no acostumbraba ver este programa en la tele, me quedé (mientras zapeaba) viendo un capítulo de la serie "Camera Café", que a mi parecer ya había ido perdiendo cierto encanto, y sin embargo quedé sorprendido de nuevo por la calidad de este capítulo. Quiero pensar que ya se han vuelto a poner las pilas y vuelven a tener guiones bastante entretenidos, y esto es sólo una muestra. Pero el punto álgido de todo el capítulo fue este rap, que de forma especial dirige y guioniza el grupo rapero SFDK de forma espectacular y divertida. El video que incorporo aquí no tiene desperdicio. No se lo pierdan.

Nueva release de aircrack-ng

2009-07-28T14:43:00.009+01:00

Acaba de lanzarse la nueva versión o candidata a versión de la suite aircrack-ng, llamada RC4 (release candidate 4), que según sus desarrolladores será posiblemente la última candidata a la versión definitiva, siempre y cuando no aparezcan muchos más bugs. Esta vez se ha hecho esperar más que en otras ocasiones, pero cuando la pruebe comprobaremos si ha sido el resultado de muchas correcciones necesarias.

Según la página oficial (www.aircrack-ng.org) éste es el registro de cambios de esta versión:

airodump-ng: Decreased time before writing text files to 5 sec (instead of 20).
airodump-ng: New option –output-format option (to replace –nocap): specify output files.
airodump-ng: Fixed encryption tag value in kismet netxml files.
airodump-ng: Sanitize essid before writing it into kismet netxml files.
airodump-ng: Log manufacturer into kismet netxml files.
aireplay-ng: Fake auth: reduce the number of ACKs to 2 per packet.
aireplay-ng: Added possibility to stop sending fake auth requests after n retry failures.
aircrack-ng: Fixed compilation on FreeBSD.
aircrack-ng: Fixed aircrack-ng –help on OSX.
airmon-ng: Updated iw download link (0.9.15).
airmon-ng: Fix chipset detection for iwlagn (show “Intel 4965/5xxx” instead of “Unknown”).
airmon-ng: Display a message when udev rename madwifi-ng VAPs.
airmon-ng: sleep 1s instead of 0.1 (0.1 is not supported by all distro).
airolib-ng: Fixed locked database counter.
airdriver-ng: Updated to rt2570 k2wrlz v1.6.3
airdriver-ng: Updated r8187 patch.
aircrack-ng, airdecap-ng, ivstools, airodump-ng, airbase-ng, aireplay-ng, airtun-ng, packetforge-ng, tkiptun-ng: Added support for PPI captures support (Thanks to dragorn).
airdecap-ng: Fixed segfault on some capture files.
wesside-ng, easside-ng: “ERROR: Packet length changed while transmitting (XX instead of YY)” should finaly be fixed.
All: Added compatibility file for functions like cpu_to_le32. That should fix compilation on a lot of OSes.
All: Temporary fix to allow compilation with recent gcc (Error message: “dereferencing type-punned pointer will break strict-aliasing rules”). I hope it doesn't break anything. A cleaner fix will be applied later.
INSTALLING: OSX patch for Intel CPU isn't required anymore
INSTALLING: Updated instructions to compile sqlite on cygwin for 3.6.16.
patches: Updated sqlite (v3.6.13) patch for cygwin.
patches: Updated wlanng patch for 2.6.28.
patches: Updated madwifi-ng patch to r4073
packages: Fixed spec (RPM) file.
GUI (windows): Use last used directory when selecting another file to crack.
GUI (windows): Allow .pcap files too (next to .cap, …).

Observo que no ha habido correcciones ni cambios en la herramienta airserv-ng y sobre todo en airbase-ng, que tenía grandes necesidades. Veremos a ver, tras probarla. Aquí esté el link de descarga para linux: enlace. Como suelo hacer siempre, gracias al equipo de desarrollo de esta magnífica suite.

¿Quiere ser el dueño de un superordenador?

2009-07-23T09:50:00.003+01:00

En estos días que oimos hablar tanto de supercomputación con la construcción y puesta en funcionamiento de nuevos ingenios con capacidades matemáticas inimaginables, podemos llegar a poseer esa misma capacidad mediante las redes de hackers malvados. Imaginad la capacidad de proceso de un nuevo ordenador... ahora imaginar la capacidad de proceso de tres millones de ordenadores interconectados. Mediante la programación avanzada de scripts, ¿qué podríamos encargarle a nuestra supercomputadora compuesta de más de tres millones de CPU's?

Pués simplemente de eso se trata: existen redes de tipo botnet, que manejan el control de estas cantidades ingentes de CPUs en forma de zombies. Un ejemplo publicado en un artículo de la página www.securitybydefault.com muestra un ejemplo de lás más conocidas:

"Botnet Zeus: Emplea el troyano del mismo nombre y se está empleando por sus funciones de keylogger para sustraer información valiosa. PCs infectados: 3.6 millones

Botnet Koobface: Emplea las redes sociales como Facebook o MySpace para distribuirse y su finalidad es convertir en zombies los equipos. PCs infectados: 2.9 millones

Botnet TidServ: Emplea técnicas clasicas para distribuirse (SPAM) y tiene capacidades de rootkit para ocultarse en el sistema, su objetivo hacer zombies. PCs infectados: 1.5 millones

Botnet Trojan.Fakeavalert: Empleada para distribuir antivirus de tipo 'rogue', PCs infectados: 1.4 millones

Botnet TR/Dldr.Agent.JKH: Empleada para hacer fraudes de tipo click. PCs infectados: 1.2 millones

Botnet Monkif: Empleada para secuestrar navegadores mediante BHO. PCs infectados: 520.000

Botnet Hamweq: Empleada para convertir equipos en zombies, se distribuye mediante dispositivos USB. PCs infectados: 480.000

Botnet Swizzor: Sirve como vehículo para introducir otra clase de malware. PCs infectados: 370.000

Botnet Gammima: Se está empleando para robar cuentas en juegos online. PCs infectados: 230.000

Botnet Conficker: ¡¡ sorpresa !! el tan cacareado Conficker a día de hoy apenas si entra en el top 10. PCs infectados: 210.000"

Esto, como pueden ver, da un ejemplo de los números reales que se manejan por estas redes. En cuanto a su funcionalidad y posibilidades, al ser un tema que está comenzando, dependerá solo de la imaginación de los que programen y controlen estas redes. El futuro puede deparar ataques criminales contra gobiernos, denegación masiva de servicios, ataques dirigidos por intereses políticos o comerciales, etc...

Nueva herramienta de chequeo de código fuente

2009-07-22T10:31:00.005+01:00

Acaba de salir el "prototipo" de una nueva herramienta de escaneo de código fuente de tipo RAT (Rough Auditing Tool for Security) desarrollada en Perl para el chequeo de vulnerabilidades en el código de programación propio o ajeno. Este proyecto se llama GRaTS (Graphical RATS and Taint Scanner) y está dirigido por Dan Crowley.

La versión actual todavía no es gráfica (Graphical RAT) pero en breve lo será. Este software audita el código fuente buscando bugs de programación que puedan causar agujeros de seguridad en forma de vulnerabilidades mediante diferentes tipos de análisis como: Taint analysis (Análisis de posible corrupción de variables o funciones), Static code analysis, Manual code review, revisión del tiempo de vida de variables, etc.

Vamos algo que se debería de hacer de forma concienzuda antes de lanzar actualizaciones y nuevos programas por parte de muchos fabricantes, que posteriormente tras su lanzamiento demuestran tener vulnerabilidades importantes que afectan a desbordamientos de memoria o pila u otros más graves.

Esta herramienta se puede descargar en el siguiente link para su evaluación: GRaT

Este es un ejemplo de la salida del comando actualmente:

H:\grats_prototype>rats source.c

Entries in c database: 310
Analyzing source.c

source.c:10: High: fixed size local buffer
source.c:335: High: fixed size local buffer
Extra care should be taken to ensure that character arrays that are allocatedon the stack are used safely. They are prime targets for buffer overflowattacks.

source.c:49: High: gets
source.c:83: High: gets
Gets is unsafe!! No bounds checking is performed, buffer is easily overflowableby user. Use fgets(buf, size, stdin) instead.

source.c:199: High: strcpy
source.c:342: High: strcpy
Check to be sure that argument 2 passed to this function call will not copymore data than can be handled, resulting in a buffer overflow.

Total lines analyzed: 371
Total time 0.015000 seconds
24733 lines per second

El "milagro" antispam

2009-07-20T11:24:00.005+01:00

Como suele ocurrir con todas las noticias informáticas que se convierten en sensacionalistas (como el final del papel impreso, los vehículos autoconducidos, etc.), cada cierto tiempo aparece en televisión, en algún telediario o noticiero una utopía que va a cambiar nuestras vidas para siempre. Recientemente apareció en los telediarios una maravillosa noticia de estas que nos anunciaba el fin del spam para nosotros, esos pobres usuarios que cada vez que comprobamos nuestro correo electrónico estamos acostumbrados a hacerlo con la tecla SUPR en uno de nuestros dedos como si se hubiera quedado pegado sobre ella. Según esta noticia el fin de la era SPAM está llegando gracias a la creación de una lista en la que nos podemos registrar para no volver a recibir este tipo de mensajes, ni por correo electrónico, ni por SMS, ni por telepatía, ni cualquier otro método.

Por ello he decidido entrar en la página Web susodicha ( http://www.listarobinson.es/ ) que aunque con muy buena voluntad no es más que una página promovida por la FECEMD - Federación de Comercio Electrónico y Marketing Directo, en la que nos podemos registrar como ciudadanos (mayores o menores de 14 años, o incluso si hemos fallecido; espero no tener que usar esta opción) para indicar que no deseamos recibir publicidad directa. También podemos registrarnos como entidades que desean utilizar este servicio de consulta antes de realizar nuestras campañas.

Pero de buena fe está lleno el mundo; y para que esto funcionase debería estar correctamente legislado y ser ésta una lista gubernamental y legalmente establecida, ya que el 95% del correo basura que recibo no proviene de fuentes que respeten esta buena fe y legalidad vigente. Por tanto gracias por las buenas iniciativas, que deberían partir de entidades oficiales y legales, a las que parece que este tema no les interesa demasiado. O sea, que en resumen, a seguir recibiendo spam y a rezar para que no traiga regalitos dañinos incluidos.

Adiós y "hola de nuevo "al proyecto Milw0rm

2009-07-16T09:02:00.007+01:00

Mientras me lamentaba del cierre (quizás definitivo) del proyecto Milw0rm que tanto a aportado a nuestra comunidad underground, llegó algo de luz a mi oscuridad. Cabe decir que este proyecto (repositorio de exploits) ha sido durante los últimos "muchos" años un referente para los hackers y auditores de sistemas que han colaborado y se han alimentado de él. Un adiós triste a esta página que han publicado miles de blogs y que llegó a estar cerrada en algún momento desde que su autor principal (Str0ke) colgó el siguiente mensaje en esta web (www.milw0rm.com)

"Well, this is my goodbye header for milw0rm. I wish I had the time I did in the past to post exploits, I just don’t . For the past 3 months I have actually done a pretty crappy job of getting peoples work out fast enough to be proud of, 0 to 72 hours (taking off weekends) isn’t fair to the authors on this site. I appreciate and thank everyone for their support in the past.
Be safe, /str0ke"

“Bueno, pues esta es mi cabecera de despedida para milw0rm. Ójala contase con el tiempo con el que disponía en el pasado para publicar exploits, pero no lo tengo . Desde los últimos 3 meses la verdad es que he hecho un muy mal trabajo en conseguir que la gente sacase esto adelante lo suficientemente rápido como para estar orgulloso de ello, estar de 0 a 72 horas (arrebatando fines de semana…) no es justo para los autores de este sitio. Aprecio y agradezco a todo el mundo su apoyo en el pasado. Seguid seguros”, /str0ke.

Desde miles de páginas web damos nuestro agradecimiento por su aportación desinteresada a Str0ke por este gran proyecto que como todos imaginamos roba gran parte de su tiempo a su autor.

Tras mi tristeza después de llegar de vacaciones y enterarme de esta noticia por miles de blogs, resulta que finalmente Str0ke ha decidido ceder el control de su sitio a un grupo de amigos, cosa que comunica a través de twitter mediante el siguiente mensaje: leer el mensaje original Gracias Str0ke.

"I have talked with a few friends and I'll be handing the site over so a group of people can add exploits / other things to the site. Hopefully it will be a new good start"

Diez días "casi" off-line

2009-07-16T08:55:00.002+01:00

Dicen que todo el mundo tiene derecho a unas vacaciones, algo así como un derecho universal, que ojalá fuera cierto para todos. Pues eso es lo que yo he hecho durante las últimas dos semanas, unas vacaciones de esas que no haces otra cosa que ir a la playa, comer bien y desconectarte en la medida de lo posible de este mundo electrónico. Pues eso, que regreso ahora renovado, aunque con esa minidepresión de la vuelta al mundo real... No hay bueno sin malo... pero valió la pena haberlo hecho y creo sin duda que lo repetiría tantas veces como fuera posible. Bueno "al tajo" y a volver a escribir en este blog sobre temas que os puedan interesar.

PS: No os olvideis de disfrutar de unas vacaciones, los que podais, a la antigua usanza (o sea sin cibercultura, ni telefonos móviles, ni mucha tecnología).

Que alguién se fije en esta chica...

2009-06-27T08:10:00.006+01:00

Se que este es un blog dedicado al hacking y a la seguridad, pero no puedo más que escribir aunque sea una pequeña reseña sobre el canal que ha montado esta chica en youtube, en el que además de contar "sus cosas del día a día", canta como un ruiseñor. Bueno es capaz de cantar con un estilo suave como un ruiseñor o duro como el punk. Lo cierto es que tiene una voz y una forma de cantar que enganchan. También es una pro del Mac montando video y audio. Vamos que tiene un gran futuro. Se llama Leonor y la encontré curioseando por youtube:

http://www.youtube.com/user/b4mydeath

No creo en los programas como Operación triunfito y similares, pero trabajando y con esfuerzo, espero que consigas lo que buscas, sea lo que sea. Daros un paseo por su página y escuchar un par de temas como "Smile" o "Close to you", vale la pena.

Quién se dedica a programar y propagar esos peligrosos virus?

2009-06-23T22:17:00.004+01:00

Una pregunta reiterativa a lo largo de los años en los que he estado ejerciendo en esta profesión es ésta. Clientes, amigos, conocidos, etc... todos preguntan de dónde parte ese amplio interés por programar y difundir virus por todo el universo. Desde los primeros y arcaicos virus, como el de la pelotita (que todavía debo de tener prisionero en uno de esos antiguos disquetes de 5 1/4), hasta los actuales y sofisticados como Conficker ha transcurrido mucho tiempo y mucha historia en este complejo "mundillo".

No puedo opinar que haya una única razón de todo esto, ni que tenga la respuesta universal a este dilema, pero creo que la motivación ha ido cambiando y evolucionando a lo largo de estas últimas decadas.

Una importante razón de ser de esta evolución, puede haber sido inicialmente un deseo de notoriedad de aquellos, que han esperado obtener beneficios profesionales de sus creaciones, que han obrado siempre en perjuicio de los que se han infectado de ellas. Pero, quizás esto ha sido principalmente en su inicio.

Otros deducían que, quizás, el motivo de todo esto era el de vender más antivirus y medios de protección; que aunque puede ser cierto, no creo del todo, que sea la principal causa, ya que en estos momentos, la batalla del software antimalware ha quedado maltrecha con respecto a la rápida evolución del mismo y su futuro es bastante incierto.

Si existe algo positivo en todo esto, es el descubrimiento constante de brechas de seguridad o vulnerabilidades que afectan al software que se edita comercialmente, que de no ser descubiertas y dadas a conocer por la comunidad hacker en general, estarían solo al alcance de unos pocos pero con mayor poder, que quizás son más peligrosos que todos éstos, y su aprovechamiento podría afectar de manera importante a los que considerasen sus enemigos. El conocimiento nos hace menos vulnerables.

Ahora, sin embargo, lo que mueve toda esta sociedad es el afán de obtener beneficios económicos de cualquier cosa, aunque resulte dañina para los demás. Y no se puede ignorar esta gran verdad, ya que la mayor parte de los virus actuales, no se puede llamar realmente virus, sino que los terminos se mezclan como malware, spyware, troyanos, etc. El tipo de infección actual concentra todo tipo de funciones entre las que se encuentran, el robo de información personal y profesional, datos bancarios, control de grandes redes de equipos comprometidos (botnets y similares), espionaje industrial, control de campañas de marketing a gran escala mediante el robo de información personal, etc.

Se comercia con productos derivados (troyanos indetectables por los antivirus), sistemas de difusión masiva de malware, etc. Y por supuesto mediante la venta o cesión de grandes redes de equipos comprometidos para poder utilizarlos en todo tipo de actividades delictivas (envío de spam masivo, ataques de denegación de servicio a servidores, y cualquier otra actividad que pueda reportar beneficios. Este tipo de negocio denota que actualmente, ésta es la principal finalidad de todo este mercado ilegal.

Y esa, es quizás mi conclusión final: este mundo se mueve principalmente por el beneficio económico de algunos, y los demás tenemos que tratar de limpiar la basura que producen, o incluso tratar de vivir de su reciclaje.

Troyano infecta un cliente (análisis y solución)

2009-06-22T13:48:00.006+01:00

Lunes por la mañana: Llamada urgente de un cliente (Hotel) que nos localiza por un aviso de su antivirus que le alerta sobre la existencia de un troyano en uno de los ordenadores de su red.

Acudo urgentemente, por la importancia de ese equipo en el desempeño de sus funciones. Al llegar compruebo que efectivamente el antivirus no para de informar de conexiones hacia una página Web (http://www.compare-fibre.com/pictures/banners/comprovantes/depositos/comprovante.php?f=xxxxxxxx) tratando de descargar una serie de archivos.

Lo primero que hago es sacar el pendrive con todas mis utilidades portables de seguridad, entre las que se encuentran el práctico programa process-hacker y el autoruns. El process hacker muestra los procesos y servicios activos en este momento, y trato de examinarlos concienzudamente en busca de alguno que llame mi atención por no sonarme su nombre. En principio veo uno al que no acabo de darle la importancia que merece por parecerme un actualizador de Java, pero al volver a avisarme el antivirus, mediante el mismo process-hacker observo los puertos que están abriendo conexiones remotas, y efectivamente el programa llamado "java sun" está abriendo conexiones contra la dirección IP (203.232.224.4, entre otras) cada vez que el antivirus detecta archivos dañinos. Busco el nombre de el ejecutable que lanza ese proceso y descubro appletjava.exe, que se encuentra como es habitual en C:\Windows\System32\ , por lo que procedo a eliminarlo, no sin antes enviarlo a Virus-Total para su análisis y sobre todo para que en poco tiempo sea detectado mediante firmas por los antivirus.

Los resultados son los siguientes:
Resultados en Virustotal

Resultado de NOD32 local:
Hora Módulo Objeto Nombre Amenaza Acción predeterminada Usuario Información22/06/2009 11:34:23 IMON Archivo http://222.24.94.25/icons/init.gif Win32/Qhost (Troyano) Conexión terminada

Podeis ver que tiene pinta de ser un troyano de robo de datos bancarios como Bandook o similares, pero ya lo testearé cuando tenga más tiempo...

Reinicio el equipo y vuelvo a examinar en busca de otros restos, o reaparición del archivo en cuestión. Elimino el punto anterior de restauración del sistema y vuelvo a generar otro nuevo. Observo que también ha modificado los servidores DNS en la configuración TCP/IP del cliente y lo soluciono. Finalmente busco el método de infección del troyano en el ordenador del cliente y encuentro un email muy bien formateado en portugués con el asunto: reservas, "Deposito em conta, confirmado." que al cliente no le pareció fuera de lo habitual. Esto es lo que vengo observando en los últimos tiempos: una profesionalización en los correos electrónicos basados en phishing o infección de troyanos, de tal manera que ya no parecen simples trampas escritas por analfabetos.

Esto no es más que una historia habitual, que incluyo en este blog puesto que este es el fin principal de este blog: Contar el día a día de un hacker ético.

Backtrack 4 Pre-final ya está disponible

2009-06-22T13:23:00.007+01:00

Tal y como anunciamos ya está disponible para su descarga la versión Pre-Final de la mejor distribución de auditoría de penetración en redes: Backtrack Linux. El cambio realizado entre la versión 3 y la 4 ha sido muy importante, de tal manera que se ha cambiado el S.O. base desde Slackware hacia Ubuntu Linux. De esta manera se pueden utilizar los repositorios basados en debian, aunque se dispone de los propios de remote-exploit (el desarrollador). No cabe duda que este cambio profesionaliza todavía si cabe más esta distribución, que considero actualmente la mejor y más profesional para realizar todo tipo de tests de seguridad sobre redes inalámbricas y Ethernet cableadas. Además de este cambio de SO se incluyen algunas nuevas herramientas, entre las que estoy deseando probar el soporte para procesador gráfico o GPU mediante CUDA para realizar potentes ataques basados en fuerza bruta contra sistemas basados en claves.

En próximos días iremos contando en este blog algunas de las nuevas características disponibles en esta distribución, que no defraudará a nadie.

El link para la descarga es:
http://www.remote-exploit.org/cgi-bin/fileget?version=bt4-prefinal-iso
(Se podrá descargar en formato ISO para grabar en DVD arrancable, en pendrive en disco duro mediante instalación en formato no live).

El MD5-Sum es b0485da6194d75b30cda282ceb629654. No olvide consultar el foro para ver los bugs o problemas de integración que pueda tener:
http://forums.remote-exploit.org/

Hemos grabado un nuevo programa de Radio

2009-06-20T16:40:00.017+01:00

Aprovechando mi visita profesional a Madrid hemos vuelto a convocar la grabación de un nuevo capítulo del programa de radio Mundo Hacker en la emisora de Radio online http://www.radiouniverso.es/. Este programa goza desde sus inicios hace ya dos años de una gran aceptación en forma de audiencia online y de descargas en formato MP3. Desde prácticamente sus inicios, cuando acudo a Madrid con mis amigos de StackOverflow (http://www.stackoverflow.es/) suelo participar en algún capítulo sobre temas de seguridad en redes inalámbricas de forma habitual. En este programa participamos Antonio Ramos Varón, Jean Paul García-Morán, nuestro amigo Netbios y yo.

En este caso, cambiamos mi tema habitual, por otro de más actualidad que es la seguridad y la protección de datos en las Redes Sociales o Web 2.0. El motivo para hacer este cambio, es que la noche anterior pude ver el documental que se emitió en TV sobre este mismo tema y que junto con otros documentales anteriores que he recomendado, despiertan ampliamente mi curiosidad e interés. Podeis escuchar el programa aquí o ir a la Web de RadioUniverso.es y descargarlo en cuanto esté disponible. Os iré informando en el futuro de nuevos programas que vayamos grabando. He introducido una novedad en el blog, que es un canal de radio (en los widgets de la derecha) con los programas que hemos ido grabando organizados por temas. Espero que os guste.

Hackers en proyectos de acción social y solidaria

2009-06-18T13:03:00.005+01:00

Me he suscrito al proyecto "Informer" de "Hackers for charity" en el que mediante una donación anual de 54$ al año, mediante los cuales se financian proyectos de ayuda y acción social en los paises menos desarrollados. Estos proyectos van dedicados principalmente a la ayuda hacia los niños más desfavorecidos mediante proyectos de alimentación y educativos. Siempre considero una buena idea ayudar de forma desinteresada mediante ONGs a aquellas personas que no han tenido simplemente la suerte de "caer" en una familia y una sociedad de bienestar como la nuestra. Pero además este proyecto (Informer) nos da a los hackers éticos la posibilidad de mantenernos actualizados en las novedades sobre hacking que van apareciendo en la Red, antes que los demás. Por si no se acaba de entender correctamente, la idea de Informer es que podamos recibir noticias, herramientas y versiones de software antes que los demás mortales, antes de que sean publicadas en sus respectivas Web, gracias a la donación de programadores y proyectos de su código. Un buen ejemplo de esto es BackTrack Linux 4 que estará pronto disponible en su versión pre-final antes que en la propia Web de Remote Exploit o Offensive Security.

Gracias a todos los que tienen conciencia y voluntad de ayudar a los demás y no dejen de suscribirse lo antes posible.

http://www.hackersforcharity.org/hackers-for-charity/about-us/

Esta web forma parte de Johny I hack stuff. IHS.

Dos encuentros de amigos en Madrid

2009-06-12T20:29:00.006+01:00

Aunque ya se que este blog, lleva demasiado poco tiempo activo para que sirva de medio de contacto con la comunidad interesada en el aprendizaje de técnicas de auditoría de seguridad y del conocimiento de las nuevas herramientas utilizadas por los malignos, voy a intentar que cualquiera que viva en Madrid y desee asistir (por un módico precio para pagar los gastos del viaje) pueda hacerlo. Y si no es en este próximo viaje (Miercoles 17 y Viernes 19 de Junio de 2009 a las 19:30), me quedaré con sus datos y en el próximo contactaré con el interesado para ofrecerle la misma posibilidad.

Nosotros somos un grupo de amigos y colegas de intereses y profesión, a los que nos gusta reunirnos habitualmente un par de horas en horario no laboral para (tras habernos preparado alguno una exposición práctica, mostrársela a todos los demás asistentes. Entre nosotros nos denominamos "hackers high school" y cada uno está especializado en ciertos temas. Los mios son principalmente "Seguridad en redes inalámbricas" y algunos temas sobre troyanos, ocultación, explotación de vulnerabilidades, etc. Otros están más especializados en programación de código, inyección SQL, etc. En fin, simplemente, nos lo pasamos muy bien haciendo lo que nos gusta. Tras la reunión, caerá alguna copichuela.

Circula por ahí este documental sobre FaceBook

2009-06-12T18:20:00.007+01:00

Me ha llegado uno de esos correos que envían los amigos fomentando (sin ser muy conscientes de ello) el desagradable spam, con un enlace a youtube que muestra un video documental llamado "La cara oculta de Facebook". Como casi todos estos documentales, trata de ser un poco sensacionalista en la forma de tratar la realidad, pero ni que decir tiene, que el fondo es del todo certero.

Vale la pena pararse siete minutos y medio a ver y escuchar este documental sobre la privacidad y el tráfico de información personal (datos de caracter personal) para tener otra perspectiva sobre lo que solemos hacer, sin darnos cuenta de las consecuencias posteriores. No es que tengamos mucho que ocultar, ya que en esta sociedad donde habitamos, solemos estar totalmente abiertos a contar o compartir información de caracter personal con los demás, sin pensar en lo que se podría hacer con esa información.

Y aquí es donde todo esto tiene mucho que ver con el hacking. El hacking actualmente persigue principalmente la obtención masiva de información personal para poder comerciar con ella...y esto es lo que hacen de forma legal grandes compañías que cotizan en bolsa y están bien vistas. No pensemos que lo hacen por ayudarnos o por hacernos un favor, o sin ánimo de lucro. En el mundo que estamos construyendo (muchas veces de forma inconsciente) se permite mediante leyes que los grandes poderes económicos hagan ciertas cosas, que a otros más pequeños no les está permitido. (Si robas, no robes un pan para comer, roba las arcas públicas, que no te pasará nada o casi nada). Esta es la moraleja de esta entrada del blog. Meditad sobre ello, que no hace daño a nadie utilizar alguna neurona.

http://www.youtube.com/watch?v=QHsYYxUtdHw

Letra pequeña en la informática

2009-06-11T07:09:00.018+01:00

(Texto enviado a la sección de Luis Piedrahita en "El Hormiguero")

Desde hace mucho tiempo he estado deseando contarle esta traducción del inglés al español, que aparace al encender, en miles de ordenadores del la marca HP (Hewlett Packard), concretamente en la BIOS. No se a que mono castellano contrataron para su traducción, pero me puedo imaginar que esto es el resultado del uso de esos "perfectos" traductores automáticos. Parece mentira que esta "pequeña"" empresa de ordenadores que no debe tener a nadie contratado en España, no sea capaz de encargar a alguien cualificado estas traducciones.

1. "El menú de la bota que carga...". Traducción de "Loading boot menu..." que bien traducido es "Cargando el menú de arranque...", pero que para el humanoide que lo tradujo está relacionado con un restaurante que en su carta sirve botas de vino que emborrachan...

2. "Escoja una Bota Primero dispositivo" que se debe de referir a "Escoja el primer dispositivo de arranque", pero que sigue en sintonía con la bota de vino esa.

3. "Restaure Perdida del Poder CA" que bien traducido sería "Reiniciar tras una pérdida de alimentación CA", pero que suena en plan de Star Trek como "debemos restaurar el Poder del Imperio CA"...

4. Bueno sobre esto anterior...no hay por donde cogerlo... Sigue con el plan Star Trek sobre el uso del Poder. "¡Cuidado con el botón del Poder!"...

5.Soy técnico de informática, pero creo que no me voy ni a molestar en intentar traducir esto. Eso de la estela espacial que deja la nave de Star Trek o algo así.

6. Lo del proceso que va en autobús al centro entre un pueblo llamado VID donde vive un señor llamado physcial que también entra... Bueno, no sé que decir, me sobrepasa.

En estos casos, siempre es mejor dejar los textos en inglés, señores. Accedan al menú de inicio del ordenador y por favor...déjenlo en inglés.

Fdo. Yago Fernández Hansen

Gracias por las fotografías del blog de Miguel Abril (miguelabril.com)

PS: Si HP desea unas buenas traducciones, que me mande unos eurillos y se las hago con placer.

Nueva versión del analizador NFAT NetworkMiner 0.88

2009-06-10T13:00:00.006+01:00

Tras mi impaciente espera hasta que saliera la nueva versión de NeworkMiner, acaba de aparecer en estos días. Mucho se puede hablar de este software desarrollado sobre entorno dotnet, ya que es uno de los programas openSource más completos para forénsica de tramas capturadas de red. Este software además es capaz de analizar en tiempo real mediante winpcap o airpcap (en caso de redes inalámbricas) las capturas de tramas de red. Cuando se captura y analiza la captura, ésta es además firmada mediante hash, como se hace en análisis forense. Este programa es tan completo que debería convertirse en un estándar que permitiera desarrollar e introducir plugins para todo tipo de análisis específicos de protocolos y sesiones, como hacen proyectos del tipo ettercap. Mientras captura o analiza la captura, guarda en un directorio los componentes o archivos de la reconstrucción de sesiones (como páginas web y archivos relacionados). Un gran trabajo que deseo que siga adelante.

Link del proyecto:
http://sourceforge.net/projects/networkminer/

Changes: New functionalities in the v 0.88 release are: * Support for the Cisco HDLC (cHDLC) layer 2 protocol * Support for Linux cooked captures (a layer 2 packet format often generated by tcpdump) * Support for IPv6 * Parsing of SSH (only to extract SSH version and application banner to “host details”, I’m not trying to bruteforce the SSH encryption key or Diffie-Hellman handshake) * Parsing of the Spotify authentication protocol to extract the Spotify username (displayed under “credentials”) * Parsing of the SIP protocol (used in VoIP) to extract the SIP username (often an email address) and display it under “host details”

Google cerró este blog por subversivo ;-)

2009-06-10T12:52:00.005+01:00

El viernes pasado Blogger cerró este Blog por fomentar el spam y otras actividades subversivas. No fue provablemente un cierre estudiado, sino una respuesta de sus motores de busqueda de contenidos ilegales. Se debió a que publiqué el código (aunque sustituyendo la dirección del ataque por hxxp://) del ataque a la web de un colega y alguna araña de blogger lo detectó (correctamente) como dañino. Sin embargo, tras la reclamación enviada, fue inmediatamente abierto. Esto es un comportamiento bastante correcto por parte de Blogger que evita el fraude a sus lectores, pero en este caso un error de concepto.

Todo esto me hace pensar en lo facil que es inyectar código tipo script en las entradas de los blogs, que deberían estar mejor protegidos en su propio editor de entradas. No obstante, el código no duró más que uno o dos días publicado.

Felicidades al equipo de Blogger por su servicio y gracias de todos los que somos sus usuarios.

Nuevo script en PERL para ruptura de claves WEP

2009-06-09T10:19:00.004+01:00

Aunque todavía no está del todo maduro, me he entretenido la tarde probando y depurando un script en lenguaje PERL para ruptura de claves WEP. Es el WEPbuster 1.0 beta 1.03 que, en la plataforma Linux, es capaz de realizar un escaneo de redes Wi-Fi con seguridad WEP y proceder de forma automática a la ruptura de cada una de las claves de las redes localizadas. Este tipo de scripts totalmente automatizados no son del agrado de muchos auditores de seguridad en redes inalámbricas por poner en manos de script-kiddies las herramientas necesarias para hacking no ético. Sin embargo, personalmente disfruto del tiempo que paso probándolos, estudiando su código y depurando sus errores.

Como comento el script todavía precisa de horas de depuración y corrección de errores, además de la introducción de algunas mejoras. En este momento este script es solo capaz de hacerlo sobre redes WEP y mediante ataque sencillo ARP reply. Personalmente creo que debería utilizar otras técnicas más avanzadas como ataque de fragmentación o chop-chop como alternativa al siempre efectivo ARP-reply.

Solo con arrancar el script, empieza un escaneo por los canales (1,6,11 si no especificamos otros) y procede a atacar las redes encontradas. Pienso que el programador se ha armado un lio de concepto con lo de los canales sin solapamiento puesto que en el script, la selección de canales se basa en este concepto, que no tiene mucho sentido, si no es para planificar y construir una infrastructura. Pero a la hora de romper redes, el hecho que los canales estén solapados o no, no tiene ninguna importancia. Una ventaja es que wepbuster es capaz de mostrar automáticamente el ssid de redes con ssid oculto que tengan clientes conectados.

Por otra parte el script clásico airoscript sigue siendo uno de los más completos y profesionales a la hora de realizar auditorías, pero el concepto de poder hacerlo en plataformas que no dispongan de consolas gráficas X, es algo que estoy persiguiendo desde hace mucho tiempo. Wepbuster lanza las diferentes ventanas para el ataque en segundo plano y airoscript está empezando a programarse sobre el comando screen que es una mejor alternativa.

Felicidades a todos estos programadores por dedicar su tiempo a realizar scripts como estos.

Vaya semanita con los hackers rusos

2009-06-09T10:17:00.006+01:00

El miercoles pasado una de las páginas Web que mantengo fue atacada y comprometida desde una página rusa llamada reddii.ru que actuaba mediante un escaneador de vulnerabilidades. Voy a intentar explicar lo que pasó con un poco de detalle y de una forma no muy complicada para los lectores menos iniciados. Todo comenzó cuando el titular de la página de fotografía (un amigo) me llamó para informarme que algo no funcionaba bien y que las imágenes no se mostraban. Me conecté tan rápido como pude y observé que tenía razón y que además cuando presionaba CTRL+F5 para actualizar el caché en la barra de estado del navegador me estaba enlazando con: reddii.ru/sploit1/.... Esto me dio la pista definitiva para observar que la página había sido de alguna forma modificada.

Mi primera impresión por el mal funcionamiento en la carga de las imágenes era que se debía a algún tipo de ataque basado en inyección de código SQL contra la base de datos. Por todo esto, comencé a realizar una auditoría forénsica de la página. Lo primero que hay que hacer es copiar o clonar todo el contenido de la página web mediante conexión, preferiblemente ssh, o ftp. Hice un volcado (dump) de la base de datos MySQL y comencé a buscar posibles cadenas de texto peligrosas que pudieran haber inyectado.

Tras descartar este tipo de ataque, por no encontrar aparentemente ninguna traza peligrosa en la base de datos, me dediqué a revisar el código PHP de las páginas que componen este sitio, con la intuición de que las claves de acceso mediante ftp pudieran haber sido comprometidas. Y finalmente así fue, el código de programación de varias páginas había sido modificado de tal manera que se redireccionaba antes de cargar el index completamente a esta página de Rusia que escaneaba el software de las víctimas (pobres personas que accedían al sitio de mi amigo) en busca de vulnerabilidades para finalmente (en caso de haberlas) inyectar un troyano.

El código modificado que crea el ataque es el siguiente: (muy bien ideado y efectivo)

La parte codificada, descodificándola de hexadecimal a ASCII (mediante la gran página: http://www.elhacker.net/sneak.php) queda así:

Procedí a revisar el código y limpiarlo, para volver a comprobarlo todo de nuevo. Terminé la forénsica, informando a mi amigo de lo ocurrido. Pero ahora es tiempo de reflexión... A que se debió el ataque? Fue algo personal contra él? Como obtuvieron las claves? Se debió a alguna vulnerabilidad en el propio servidor de Dreamhost donde está alojada la página, como informé a este ISP? Cúal es el fin de este tipo de ataques mediante troyanos?

My empirical experience with new Ubiquiti Products

2009-05-31T11:55:00.008+01:00

(Perdonad los hispano-hablantes porque publico este artículo que tenía escrito para un foro inglés y no lo he traducido de momento al español...)

My name is Yago Fernandez Hansen, and I am a computer IT security specialist, and before this, I am a 802.11 technologies’ enthusiast. I’ve been working for years (since the beginning of these technologies) in implementations, equipment and security. I work very actively learning, deploying and teaching. I have also to say that I am a fan of Ubiquitis’ products, and therefore I buy every new equipment deployed by them. The main reason for this, is that one can find the best quality products for a relative good price by Ubiquiti. So I have known every product branded “Ubiquiti” from their beginnings. The last products they have created are the result of well done things in the past, and the way they are working is very creative. This article is not only good publicity for the brand; I am an independent consultant, so I have to value not just the positive things, also the negative ones. My opinion is that Ubiquiti is growing so quickly that they have to take care of the consequences of this. They have to maintain not just the stocks (now difficult to get some products), also the qualified technical support and forum. I know that this is a difficult thing in the actual years, but do not let it go down.

So, I was testing in my lab the new products I’ve bought from this brand (RouterStation with SR2, XR2 and XR5 minipci cards installed, Bullet2HP, and two boards from another manufacturers). The reason why I am testing these parts is that I am trying to deploy an appliance as a practice for a new book that I am beginning to write, about Wi-Fi security auditing. What I am going to describe here is not the full process of deploying it, but just my personal opinion about the products, and mostly the problems I found, and the way to solve them. As they are very new products, maybe not as tested as they should be, there are many unanswered support questions about them. Because I could find myself some of the answers to solve that problems, I have to share them as usually the people do with the Internet community.

Ubiquiti Bullet2HP

This was my best option for doing my small appliance, as it is small, powerful, very good quality components, rugged, and outdoor prepared. This is a very innovative product that I will use as outdoor AP and PPP Wi-Fi station, and the price is also acceptable for this kind of product. I did read in someone’s blog, and also in Ubiquiti help support forum, that it was possible to reflash it with OpenWRT, as it comes with AirOS operating system and Web configurator. AirOs is a good option; I use it for every “normal” Wi-Fi deployment. It is very light, stable and powerful OS for Ubiquiti products based on Linux. But that’s not what I wanted, so I heard about OpenWRT compatibility and I decide to reprogram its memory with this OpenSource Linux and so I did it. Based on some manuals I got about reflashing Ubiquiti products, I did it, but what was the problem? I could make it work and boot with a very light OpenWRT prepared for Ubiquiti hardware, but after doing this I had no extra free memory space for anything. I could not free any memory (Bullet includes 4/16Mb ROM/RAM) and they have not momentary plans to upgrade it. That was the end of my practices with Bullet, and I was very sad about it. The next test will be with PicoStation2HP that includes a board with more memory in. As conclusion: nice product to use it “as is”.

Ubiquiti RouterStation

This is a relatively new product, similar to others you can find from Mikrotik, and I do not want to compare both, as they have their own market and maybe (not now) in the future they will compete in the same segment of the market. But as RouterStation and future RouterStation Pro are both in their beginnings, Ubiquiti have to work more in the software (OS) for them as they are factory flashed with OpenWRT OS. This is not a problem, either is a positive thing, but please, do not just flash it and include it in the OpenWRT site. You have to work a little more in optimizing it and doing a stable repository for it. After knowing well its hardware and reading a ton of manuals, Wikis, forums and blogs I began to work in my new RouterStation based Appliance and everything worked as thought (alright). I used to have some pain about configuring OS and software packages without a local keyboard and monitor, not just having one Ethernet port (and a RS-232 without converter and cable). I was scared about loosing LAN connectivity in one of my tests. But there wasn’t any problem. In first place, I installed in the three slots: a Ubiquiti SR2, a XR2 and a XR5 minipci card. I did install some OpenWRT repository IPK packages and they worked well. As it was finished for the moment, and I was happy enough for it’s functionality and power. So I decided, as I usually do, to update and upgrade its Linux (here with “opkg update” and “opkg upgrade” and I saw a big list of system packages upgrade coming from the stable repository. After some minutes, as it was finished, I decided to reboot (I come from Windows OS) and … It was the last time I could log into RouterStation. Oh dear! Now I could feel what was the problem of not having a monitor connected to it… I tried with every default IP address named in manuals or blogs, but no connectivity. I began to read more and more documentation about debricking this boards (JTAG was not a good solution, sending to USA also not…). I found very strange procedures using about three consoles to do different things at the same time, but I think I was not as quick as I should. The thing that I could notice with Wireshark connected and sniffing is that every time that I booted up it was sending three ARP requests asking for 192.168.1.20 address. But after that: nothing. It is the ROM preloader module that is announcing itself. I opened an instance of the TFTP32 wonderful software and I putted it in TFTP client mode pointing to the 192.168.1.20 address, I explored for the RS-OpenWRT.bin file in the file box and I took out LAN POE connector. After that I pressed with one hand the reset button and introduced the until some of the lights (specially RF) lighted on. Very quick I pushed the “put” button in TFTP32 to send the file, and … Bingo! It began to send the new binary ROM to the RouterStation. It’s very important not to use the OpenWRT Atheros AR71xx binary file of the repository: you have to use the bigger one that’s in the Ubiquiti support forum or you will be for days installing modules and packages needed, for example, for the Atheros cards.

The other problem with Ubiquiti Wi-Fi cards is something that is affecting many other professional Wi-Fi products. I understand the importance of the legality in the use of the Wi-Fi products, but there must be a limit in the application of these laws for the hardware and software manufacturers. As in the DVD films industry there are some Regulatory Domains that regulate the use of frequencies and TX power limits in the different countries and regions. But if I am deploying a product to be sold in many different countries I have to have the keys to software programming it to be used in all the places I could sell them. In the precedent years it didn’t matter if I bought a card in UK, Spain US, or China. I could use it wherever, but now with the actual madwifi-ng, ATH5K or ATH9K it is difficult to do it. I know I can hack the source code of the modules patching them and then compiling them. But Ubiquiti cards that I had came from factory with 00h Regdomain (Not Enumrd) that used to work for every country. Now in Spain I could not get working the 13 permitted channels. And when I talk about Wi-Fi auditory we have to get the full spectrum analyzed in both 2.4 and 5 Ghz to know if there’s a transmitting station in these channels that are not allowed. So please, work a little more in the drivers include in the flashed distribution. I had to change card’s regdomain to Japan to get the 14 channels working.

Conclusion: Ubiquiti RouterStation is very young product with possibly a great future. We’ll keep watching them grow.

PS: After some of these upgrade problems Ubiquiti has released a new wiki manual for the RouterStation explaining what happens with the upgrade and other interesting things. I know that one have to read everything to be informed, but that was a big failure with the bootloader from Ubiquiti/openWRT.

I have received an email of Ubiquiti Tech Support (Mike Ford) department explaining that they don't give any support for Open-WRT, and I have criticized this actitude because they announce the OpenWRT distribution as a part of their products. I don't aprove that private enterprise use the openSource community for their interest without helping it.

(Sorry for my mistakes when I write in english language)

Bienvenidos todos los que entrais con buen pie en mi blog

2009-05-31T08:27:00.007+01:00

Llevaba meses mascullando la idea de crear un blog para poder transmitir a los demás esas interesantes experiencias que voy viviendo cada día gracias a mi trabajo, mis amigos, mis conocidos y mis ganas de experimentar, etc. No se si a alguien le podrá interesar lo que tengo que contar, pero a mí si que me va a gustar contarlo aquí. Me voy a tomar este blog como un método psicológico para desahogar mi alma y liberarme de esas frustraciones que a veces me atenazan, pensando en lo desaprovechado que a veces me siento, cuando no puedo ocupar o comunicar mi conocimiento y experiencia.

Soy una persona de esa antigua generación que se inicio en la informática de pre-adolescente, mediante aquellas arcaicas pero entretenidas máquinas de la época del commodore 64 o el spectrum. Mi primer PC fue un 8088, y aprendí todo sobre MS-DOS, Novell Netware, DATALAN, Cobol, Basic... algo que ahora a muchos le suena como artículos de museo. Pero desde entonces no he parado de estudiar y aprender todo lo relacionado con la informática profesional, y desde hace ya unos buenos años especialmente con la seguridad. Es por eso que hablo de mi experiencia que veo bien empleada, cuando me dedico a dar cursos o conferencias o a escribir artículos o libros. Pero cuando no hago nada de esto durante días, semanas... siento "el mono" de transmitir o colaborar con otros profesionales y de hacer algo productivo. Durante estos periodos de tiempo, lo que hago es estudiar y aprender nuevas cosas para mantenerme al día.

La famosa "Crisis" nos quita, pero también nos da. Nos da otra visión de las cosas, de la vida y a mí, también ha dado bastante más tiempo libre para poder aumentar mis conocimientos en el mundo de la seguridad informática, que es mi trabajo, pero también mi pasión.

Mi intención en este blog es contar un poco mi experiencia semanal con temas relacionados con la seguridad y el hacking, pero también mis pensamientos y mis vivencias. Que sean de interés general o no, que lo decida cada uno, pero por lo menos daré la bienvenida desde aquí a mis amigos y colegas de profesión.

Yago Fernández Hansen