miércoles, 30 de enero de 2013

Fotos de Instagram sin ningún tipo de privacidad

No sé muy bien como empezar la entrada... el caso es que hoy un amigo me dijo que se había registrado en Instagram y yo le comenté que decidí borrarlo porque todas las fotos se hacían publicas, sí o sí. A lo que él me constó que todo eso había cambiado y que ahora tenías la posibilidad de ocultar las fotos a quienes no te siguieran.

Y allá que fui yo a ver hasta que punto era cierto eso. Me picó la curiosidad y lo primero que hice fue volver a registrarme en Instagram a través de mi móvil. Me metí en la configuración del perfil y activé la opción de "Las fotos son privadas".

Img.1: Configuración de privacidad en Instagram

Una vez que hice eso le pregunté a mi amigo -que en ese momento no me seguía en Instagram-  que intentara ver alguna foto. Y efectivamente no podía ver ninguna foto a no ser que él le diera al botón de seguir y yo le aceptara.

Pero es curioso, porque al meterme en mi perfil a través de la web, me fijé en la url donde se almacenaba la foto, y ésta si se podía ver desde cualquier navegador sin necesidad de estar registrado en la página y mucho menos de haber iniciado sesión.

Por defecto las imágenes se almacenan en distintos servidores de Amazon. Y luego por otro lado Instagram les añade su propio "Link".

Si intentamos ver la foto desde el Link que nos ofrece Instagram, veremos como no nos lo muestra.

URL: http://instagram.com/p/VFEWn-zb3M/
Img.2: Mensaje de que Instagram no puede mostrar la página

Ahora bien, si cogemos la URL entera desde los servidores de amazon veremos la imágen tal cual.

URL: http://distilleryimage4.s3.amazonaws.com/f37e42c86a4811e28ed022000a1fbc58_7.jpg
Img.3: Foto de Instagram
Ésta URL la cogí en la típica opción del navegador de "ver imagen de fondo" dentro de mi propio perfil.

Haciendo un poco de análisis forense decidí ver la información que guardaría la propia aplicación dentro del teléfono. Como era de esperar la aplicación guardaba en una carpeta caché las imágenes separadas por carpetas. En cada carpeta se almacenan dos imágenes, una la de la imagen en miniatura, y otra la foto original.

El nombre de cada carpeta es la url donde almacena la imagen, y las fotos son nombradas igual con terminaciones distintas dependiendo del tamaño.

Si la terminación es en 7: la imagen es la original, es decir la de mayor tamaño.
Si la terminación es en 6: es una miniatura de tamaño medio que se usará para la versión web.
Si la terminación es el 5: (supongo) que será para la miniatura de la versión móvil.

http://distilleryimage4.s3.amazonaws.com/f37e42c86a4811e28ed022000a1fbc58_7.jpg

http://distilleryimage4.s3.amazonaws.com/f37e42c86a4811e28ed022000a1fbc58_6.jpg

http://distilleryimage4.s3.amazonaws.com/f37e42c86a4811e28ed022000a1fbc58_5.jpg

En esa misma carpeta encontramos un archivo llamado kDSCacheExpireInfoDictionary

Que no es ni mas ni menos que un listado de las fotos almacenadas en la caché del teléfono.
Img.4: URLs de las fotos que almacenan en la caché.


Como ya me entró curiosidad, le eché un vistazo a la Cookie que almacena y que se envía a los servidores de Instagram y que contiene info tan valiosa como el nombre del usuario el user_Id y el ID de la sesión.

Img.5: Cookie de Instagram

Ahora solo nos falta saber de que manera se asigna un ID a un usuario y descubrir como decide Instagram en que servidores guarda las imágenes. Teniendo esos datos podríamos llegar a ver las fotos de cualquier usuario.

Otra manera es sniffar el tráfico. Pero por lo pronto ya tendríamos que estar en su misma red.

De momento dejo el análisis forense aquí y cuando descubra algo más os voy contando.

lunes, 28 de enero de 2013

Buscando vulnerabilidades en Joomla with joomscan

Llevo ya unos días buscando la manera de encontrar fallos en Joomla que hagan un sitio más vulnerable a un ataque. Está claro que si tenemos un sitio web montado con Joomla y lo tenemos actualizado, no tendremos tanto riesgo a tener vulnerabilidades.

Sin embargo los administradores no son conscientes de ello. Cuando se monta un web site en Joomla, rara vez se deja "tal cual". Por norma general se suelen instalar módulos, componentes y plugin que hagan un sitio más vistoso o más a nuestro gusto y funcionalidades.

Ya hemos visto en el anterior articulo que Acunetix es capaz de mostrar todas las carpetas de un sitio web, dejando al descubierto los componentes y módulos instalados en él.

Ahora he utilizado Joomscan, una herramienta que viene por defecto en Backtrack y Backbox. Quería ver cómo funcionaba la herramienta, cómo era de buena y sus posibilidades. Y... sinceramente, esperaba algo más. Las opciones son bastante limitadas, no hay nada que no se puede hacer con cualquier otro escaner. A diferencia de el resto, Joomscan es capaz de averiguar la versión de Joomla que hay instalada y a raíz de ahí va buscando posibles vulnerabilidades ya encontradas.

joomscan -sp -u http://www.sitioweb.com/ -oh

Éste fue el comando que utilicé:

-sp Para que me mostrara el porcentaje del escaneo
-u Para indicar la página
-oh Guarda un reporte del escaneo en .htm

Lo lancé contra un sitio cualquiera y encontré que tenía un Joomla 1.5.2 el cual tenía 4 vulnerabilidades, y una de ellas bastante grave.

Info -> CorePlugin: TinyMCE TinyBrowser addon multiple vulnerabilities
Versions effected: Joomla! 1.5.12
Check: http://www.website.com/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/ 
Exploit:
While Joomla! team announced only File Upload vulnerability, in fact there are many. See: http://www.milw0rm.com/exploits/9296
Vulnerable? Yes


Fui a ver dicho exploit a Milw0m, peor ya no estaba... así es, que lo busqué en exploit-db.

Img.1: Buscada de exploits en www.exploit-db.com


El exploit en cuestión era capaz de subir archivos al servidor. Lo más curioso es que junto al exploit que explotaba la vulnerabilidad se encontraba otro exploit para crear una shell remota. 



Creo que esto es muy serio como par no tenerlo en cuenta. Por eso es de suma importancia que los administradores sean conscientes de ello, y que tengas sus sistemas actualizados.

domingo, 27 de enero de 2013

Joomla al descubierto con Acunetix

Conocía Acunetix creo que desde la primera versión que salió, allá por el 2005 fue mi primera toma de contacto con él. Sin embargo cuando dejé el mundo de la seguridad y lo volví a retomar, no me acordaba de esta poderosa herramienta. Siempre se me venían otro tipo de aplicaciones similares como Shadow Security Scanner, o GFI Languard.
Pero el otro día leyendo el Blog de enelpc.com uno de los programas que utilizaron fue este mismo, el Acunetix. Entonces se me vino a la cabeza volver a utilizarlo para analizar un sitio Joomla. Ya que por aquella época en la que yo lo conocí no existía Joomla. y quería ver que tal funcionaba.

Para mi sorpresa fue que después de tanto tiempo han mejorado y de que manera! Me quedé boquiabierto cuando vi que al lanzar el escaneo sobre Joomla, Acunetix mostraba todo el árbol de directorios de los que estaba compuesto Joomla, incluidos los que el usuario Admin había instalado.

Img.1: Árbol de directorios Joomla encontrados por Acunetix
Para que os hagáis una idea de lo poderosa que es esta herramienta, deciros, que es capaz de listar directorios que el propio .htaccess no muestra. Además de que podemos saber que componentes o módulos tiene instalados, y podríamos buscar su versión para después buscar una vulnerabilidad y explotarla.
Quedé bastante sorprendido por el escaneo tan exaustivo que hizo con la configuración por defecto. Estuvo unos 50 min. escaneando el sitio. En él no se encontró ninguna vulnerabilidad. Peor si podiamos tener una buena estructura del sitio. además recolectó muchísimos datos.

Img.2: Resumen de datos obtenidos
 Eso sí, a mi me pareció excesivo estar 50 min esperando en un escaneo con una configuración por defecto, en la que se supone que no se hace un análisis en profundidad. Pero bueno, en resumidas cuentas me gustó bastante.

Backtrack y Backbox

Bien es sabido por todos que existen varias alternativas para realizar auditorías de seguridad pero por algún casual siempre se elijen las mismas herramientas o los mismos Live CD.

La mayoría de los hacker suelen utilizar Backtrack, que es una herramienta muy, pero muy potente para realizar todo tipo de auditorías. Desde el clásico pentesting a buscadores de vulnerabilidades en RFID.

Img.1: Entorno de escritio Gnome 2 en Backtrack 5r3


Por una mala experiencia que tuve decidí buscar alguna alternativa a Backtrack -yo soy de los que suele instalar una distribución, más que utilizar un live cd cada vez que quiera hacer algo.- Por eso estube buscando alguna informacon sobre más alternativas similares a Backtrack. Pero las que encontré llevaban poco tiempo en desarrollo y buscaba algo que ya tuviera unas "tablas". Algo firme en lo que poder confiar, y ahí, apareció Backbox, que es una alternativa a Backtrack, con menos herramientas que éste último, pero muy bien cuidado.

Img.2: Entorno de escritior xfce de Backbox 3


En la mala experiencia que tuve lo que me sucedió fue que al intentar instalar las actualizaciones en Backtrack, éste siempre terminaba por dejar de funcionar. Así es, que me puse a buscar algo que me diera la sensación de ser más estable. Y me encontré con Backbox, que ha diferencia de Backtrack me ha soportado todas las actualizaciones. -Comentar que ambas distros están basadas en Ubuntu.-

Eso es una de las caracteristicas que más me gusta de Bacbox, su estabilidad. La otra es su entorno gráfico, que es xfce, muy similar a gnome 2, pero más ligero.

Además de todo eso, viene con algunas herramientas fuera del tema de la seguridad que ayudan bastante a trabajar a diario haciendo auditorias. Además por defecto ya viene con Vidalia.

Más info:
www.backtrack-linux.org/
www.backbox.org

jueves, 24 de enero de 2013

CEH, CISA, CISSP, OSCP

Ahora que estoy dispuesto a certificarme en seguridad, no sabía muy bien qué certificaciones existen en el mercado. Algunos pensarán que la seguridad está abandonada, pero la verdad es que hay un gran abanico de certificaciones relacionadas con la seguridad. Después de buscar mucha info por todas partes, parece que las más conocidas son:
 
 
 Como ya he dicho, existen más alternativas. La diferencia entre éstas 4 se podría dividir en 2 grupos:

  • Auditior de seguridad
    • CISA
    • CISSP 
  • Hacker Ético
    • OSCP
    • CEH
Digamos que en la parte de auditor de seguridad se detalla más la parte teorica de las situaciones, mientras que en la parte de hacker ético, entra más en detalle sobre tipos de ataque y métodos en práctica. Además los requisitos para obtenerlas también son muy distintas. Tanto para CISA como para CISSP se requieren haber obtenido al menos 5 años de experiencia como auditor de seguridad. Sin embargo para hacer OSCP y CEH no hace falta ese requisito, aunque si necesitas tener unos conocimientos altos de técnicas de hacking y pentesting.

miércoles, 23 de enero de 2013

La visión de un Hacker: Hacker Épico

Img.1: Imagen que representa el Libro de Hacker Épido
Yo no suelo leer mucho, soy más de cine, sin embargo si que suelo leer todo lo que tenga que ver relacionado con la informática y en especial con la seguridad y los Hacker.

Ha excepción de libros que he podido leer hasta ahora -que creo que sólo ha sido uno, y ha sido "el arte de la intrusión", por Kevin Mitnik- Decidí leerme este otro libro de un amigo conocido como es Alex de www.securitybydefault.com

El Libro tardé un fin de semana en leerlo y me dejó con un muy buen sabor de boca, ya que no es solo un libro con una historia entretenida y que te tiene enganchado en todo momento, si no que es la manera de pensar de un hacker.

Y es que, la finalidad de este libro que es una novela, no es otra que la de hacer que el lector se ponga en la piel de un hacker y sepa como pensar, como actuar y que hacer ante cada situación.

Si buscamos en los libros técnico encontraros cientos de manuales y de partes técnicas que seguramente queden obsoletos porque el software ya no existe o porque actualizó y dejo de ser funcional.

Sin embargo este libro te abre un poco los ojos. Se enfoca más en lo que puedes hacer con las herramientas que dispones que en herramientas y versiones concretas.

 Yo podría arriesgarme a decir que es un libro en el que te ayuda a desarrollar tu ingenio a la hora de hacer peripecias.

Por otra parte tienes la historia/novela de un informático dedicado a la seguridad el cual tiene que ayudar a Yolanda, la chica desde la que lleva enamorado desde el instituto. Ambos se ven envueltos en una trama con mucha acción.

Podéis encontrar más info en su web www.hackerepico.com

lunes, 21 de enero de 2013

Así es la seguridad en Mega: no es tan buena como dice ser.


El sábado, Mega, el sucesor de Megaupload, salió al público. Una de las características más llamativa es lo seguro que dicen que es. Los archivos se cifran en tu ordenador, Mega no sabe qué estás guardando, estás totalmente protegido… Al menos, eso es lo que podríamos adivinar. Pero, ¿qué nivel de seguridad tiene Mega en realidad? ¿Es todo palabrería o estamos hablando de un salto que nadie más ha hecho?

Antes de nada, me gustaría aclarar que de lo que vamos a hablar aquí es de la seguridad del diseño. Ya en las primeras horas se han descubierto fallos en el cliente web de Mega: es vulnerable a XSS con los nombres de archivo, no tiene HSTS, una cabecera que fuerza que todas las conexiones al sitio sean por HSTS; ni tampoco usa DNSSEC. También se ha detectado que el generador de claves no es precisamente aleatorio: usa el generador de números aleatorios de Javascript, que es predecible. Sin embargo, estos son fallos relativamente sencillos de corregir, y hay que tener en cuenta que Mega salió ayer y habrá que darles tiempo a cambiar cosas. Lo que es permanente es el diseño, y esto es lo que vamos a explorar.

¿Cómo funciona el cifrado simétrico y asimétrico?

Esquema de funcionamiento del cifrado asimétrico
Para poder entender bien cómo funciona el cifrado de Mega, antes voy a explicar brevemente qué es el cifrado simétrico y asimétrico. En el cifrado simétrico, ciframos el archivo con una clave X. Para descifrarlo y obtener el archivo original, utilizamos la misma clave X. Es un concepto muy sencillo y básico.

El cifrado asimétrico es más complicado. Aquí no tenemos una sola clave común. En su lugar, cada persona tiene dos claves, una pública y una privada. Para enviarle un archivo a un amigo, lo cifras con su clave pública. De esta forma, sólo lo puede descifrar él con su clave privada. Es más seguro que el cifrado simétrico, ya que la clave de descifrado (la privada) nunca se comparte, siempre la tiene el receptor.

Lo malo de esto es que el cifrado asimétrico es mucho más caro en términos de computación. Por eso, se suele usar cifrado híbrido. Primero, combinas tu clave privada y la clave pública del receptor para obtener la clave de cifrado X. El receptor hace lo mismo con su clave privada y tu clave pública, obteniendo la misma clave X. Entonces, se usa esa clave X para cifrar de forma simétrica el archivo. Este sería el concepto básico, aunque por supuesto hay algoritmos más elaborados, como el intercambio de claves Diffie-Hellman para dos usuarios puedan generar la misma clave a partir de las claves públicas y privadas.

¿Cómo funciona el cifrado de Mega?

Vamos ahora con Mega. Lo primero que hace cuando os registráis es generar un par de claves pública/privada RSA de 2048 en vuestro ordenador. Se guardan en vuestro espacio de almacenamiento del navegador (HTML5), pero también se envían a los servidores de Mega. También se genera una clave simétrica maestra, que permanece en los servidores de Mega. Esta clave está cifrada con un hash derivado de vuestra contraseña. Esta es la clave que se usa para proteger tu clave privada.

Bien, ahora, ¿qué ocurre cuando subes un archivo? Según la documentación de desarrolladores de Mega, el proceso (básico, resumido y obviando detalles que no son demasiado relevantes, como los chequeos de integridad) es el siguiente:

Se genera una clave simétrica aleatoria de 128 bits para el archivo.
Se cifra el archivo con esa clave.
Se genera otra clave para enviar el archivo. La documentación no especifica de dónde sale la clave, aunque probablemente se use el intercambio de claves Diffie-Hellman con tu par de clave pública/privada y un secreto compartido.
Se envía el archivo cifrado a Mega, junto con la clave de cifrado del archivo, todo ello protegido con la clave que habíamos generado antes.
Mega guarda el archivo cifrado (sin descifrar sus contenidos) por un lado. Por otro, guarda la clave del archivo cifrada con tu clave maestra.
En la documentación no se discute cómo se descarga el archivo. Probablemente Mega envíe el archivo y su clave de cifrado al cliente protegidos de nuevo con tu par clave pública/privada, pero esto es sólo especulación ya que no se especifica nada.

¿Cómo se comparten los archivos?
Lo que he explicado es lo básico del funcionamiento de Mega. Sin embargo, hay más detalles que añaden complejidad. Una de ellas es la posibilidad de compartir ficheros con otros usuarios.

Cuando permites a otros usuarios que accedan a alguna de tus carpetas, las claves de cifrado de cada uno de los archivos que tienes ahí también se comparten con ellos. Así pueden acceder al contenido que esté almacenado, y también podrán cargar ficheros nuevos, compartiendo su clave con todos los que tengan acceso a esa carpeta.

Por otro lado está la posibilidad de enviar ficheros usando enlaces. Un enlace a un archivo de Mega tiene el formato http://mega.co.nz/#[ID de archivo]![Clave de cifrado (opcional)]. Si simplemente envías un enlace con el ID de archivo, Mega te pedirá la clave de cifrado de 43 caracteres para descargar el archivo. Si el enlace tiene contiene la clave, con sólo acceder ya podrás descargarlo.

Lo bueno de usar esta forma de compartir es que sólo distribuyes las claves de los archivos que compartes. El resto de tus ficheros permanecen cifrados con claves a las que nadie más puede acceder.

Duplicación de archivos, un punto comprometido
Cotilleando por los términos de uso, encontré un párrafo interesante (traducción propia):

8. Nuestro servicio puede borrar automáticamente un bloque de datos que subas si determina que es un duplicado exacto de otro bloque ya almacenado en nuestro servicio. En este caso, tendrás acceso al bloque original.
Hasta aquí nada extraño, otros servicios de almacenamiento en la nube también lo hacen para evitar almacenar varias veces el mismo archivo. Pero hay un problema en el caso de Mega. Los archivos se guardan cifrados, y (en teoría) Mega no puede descifrarlos. Por lo tanto, no puede saber si dos archivos son duplicados o no, y sólo podría chequear si ya tiene el mismo bloque de datos cifrados.

El problema es que hacer eso sería bastante ineficiente. Podemos asumir que un bloque de datos cifrados es totalmente aleatorio, así que la probabilidad de que haya una colisión (dos bloques sean iguales) es extremadamente baja. Si tuviésemos cien mil archivos de 1 MB cifrados, la probabilidad de que haya una colisión es de, aproximadamente, 3 por diez elevado a -145. Para que os hagáis una idea, es más probable que os toque el Gordo de la lotería durante veinte años seguidos a que haya una colisión.

Tampoco sería plausible generar el hash (huella digital) del archivo antes de subirlo para evitar duplicados: aunque pudieses detectar que lo tiene ya otro usuario, no podrías acceder a él ya que la clave de cifrado es suya y sólo desbloqueable con su contraseña.

La solución plausible a esto sería el cifrado convergente, que genera una clave a partir del propio archivo que quieres cifrar. De esta forma, puedes mantener el control de duplicados al mismo tiempo que mantienes los archivos seguros. Sin embargo, no parece que Mega está usando esto: las claves de cada fichero son aleatorias, y la documentación no menciona nada relativo a esto.

Quizás sea un fallo en sus términos de servicio (lo más probable, en mi opinión), o quizás un error en la documentación. O, lo más improbable de todo, que nos estén mintiendo y sí tengan mecanismos para descifrar los archivos. Pero como digo, para mí lo más probable es que sea un error de comunicación y no de programación de Mega.

Conclusión: Mega no está blindado, y tampoco tiene seguridad de alto nivel

Con todo esto, parecería que Mega es lo más seguro que te puedas encontrar. En mi opinión, no lo es. Dropbox o SkyDrive, por ejemplo, también cifran los archivos en su servidor con una clave que también está protegida. También cifran las descargas y cargas de archivos desde tu ordenador a sus servidores.

Diréis que Mega tiene la ventaja de que la clave se almacena cifrada en sus servidores y no pueden acceder a ella y por tanto no pueden acceder a vuestros archivos, mientras que Dropbox o SkyDrive sí que pueden hacerlo porque la clave la tienen ellos. En realidad no es una ventaja. Si no os fiáis de que los segundos no accedan a vuestros archivos, ¿por qué fiaros de que Mega entonces? No podéis saber si va a guardar vuestras claves sin cifrar, ni tampoco si los archivos JavaScript de su página cifran correctamente los datos.

Mega, Dropbox, SkyDrive, SugarSync y el resto de servicios de almacenamiento en la nube están protegidos muy bien contra atacantes externos, y llega un momento en el que importa más las protecciones de los servidores que las capas de cifrado que tenga cada archivo. El problema es que si no confías en ellos, ninguno es seguro por muchas claves, capas, algoritmos y demás que haya.

¿Queréis tener un almacenamiento en la nube seguro de verdad? Entonces cifrad vuestros archivos en vuestro ordenador con una clave privada propia que mantengáis oculta, sin transmitirla a nadie y que además la hayáis generado vosotros; y después subidlos a donde queráis. Entonces sí que estarán (bastante) protegidos de cualquier mirada indiscreta del servicio y de quien sea.

Pero si vais a elegir Mega por la “seguridad mejorada”, os estáis equivocando. Quizá tenga muchas ventajas sobre cualquier otro servicio de almacenamiento (por poner una aquí, el precio, por ejemplo) pero ya os adelanto que la seguridad no es una de ellas.

De hecho, tanta preocupación por la privacidad viene más bien del deseo de protegerse ellos mismos. Si no saben qué tienen los usuarios, no pueden recriminarles los contenidos que tengan alojados porque nadie sabe cuáles son, y tampoco pueden establecer un filtro para que nadie suba contenido protegido con copyright. En este caso, la protección es más para ellos que para los usuarios.

Vía | Genbeta

sábado, 19 de enero de 2013

Ataques con nmap

Mucho más que un escáner de red nmap en los últimos timepos se ha convertido en una herramienta muy poderosa hasta incluso para realizar ataques.

Desde nmap se pueden lanzar escaneos de red de una manera muy severa, pero es que, además, viene cargado por defecto con multitud de script para realizar diversos ataques de tipo, fuerza bruta, sqlinjection, etc.

Un ejemplo es un ataque a Joomla buscando usuarios y password mediante fuerza bruta. Carga la siguiente configuración:

Categories: brute, intrusive

Performs brute force password auditing against Joomla web CMS installations.

This script initially reads the session cookie and parses the security token to perfom the brute force password auditing.  It uses the unpwdb and brute libraries to perform password guessing. Any successful guesses are stored using the  credentials library.

Joomla's default uri and form names:
• Default uri:/administrator/index.php

• Default uservar: username

• Default passvar: passwd


Usage
nmap -sV --script http-joomla-brute
--script-args 'userdb=users.txt,passdb=passwds.txt,http-joomla-brute.hostname=domain.com,
http-joomla-brute.threads=3,brute.firstonly=true' <target>
nmap -sV --script http-joomla-brute <target>


Output
PORT     STATE SERVICE REASON
80/tcp open  http    syn-ack
| http-joomla-brute:
|   Accounts
|     xdeadbee:i79eWBj07g => Login correct
|   Statistics
|_    Perfomed 499 guesses in 301 seconds, average tps: 0


http://nmap.org/nsedoc/scripts/http-joomla-brute.html

jueves, 17 de enero de 2013

¿Contraseñas en Mac OS X?

Llevo ya algún tiempo conociendo los sistemas de Apple, tanto los OS X como los iOS y a decir verdad siempre me sorprenden para bien, por su estabilidad y porque lo suelen poner bastante fácil para el trabajo diario.

Pero he de decir que esto no se puede considerar algo que sea muy bueno del todo. Al parecer la única y gran contraseña que podríamos denominar "contraseña master" es la que nosotros mismos le pongamos a EFI (la bios del Mac).

Ya que, aunque nosotros tengamos una cuenta como administrador, con super poderes sobre el resto... siempre se podrá cambiar la contraseña de cualquier Mac entrando la EFI.

Si al arrancar el equipo entramos en la EFI, abrimos un terminal y escribimos:

#sudo resetpassword

Se abrirá de de inmediata una ventana con un menú desplegable en el que podemos seleccionar el usuario al que queremos cambiar la contraseña, incluido los administradores.

Img.1: Menú para resetear la password de cualquier usuario


Esto parece una tontería, pero supón por un momento que tenemos nuestra cuenta como administrador, y que además tenemos el disco duro cifrado. Si llegaramos a la EFI podríamos cambiar la contraseña del administrador y entrar con su propia cuenta al disco duro cifrado.

miércoles, 16 de enero de 2013

Fallo de seguridad crítico en Cisco

Linksys es uno de los mayores fabricantes mundiales de equipos para redes, con 70 millones de routers vendidos.

En un comunicado, Defense Code asegura haber contactado a Cisco hace varios meses con el fin de informarles sobre la vulnerabilidad de acceso root, detectada en la instalación estándar de los routers de Linksys. Defense Code habría entregado a Cisco una descripción detallada de la vulnerabilidad, acompañando ejemplos de la forma en que sería posible explotarla.

Cisco habría respondido que la vulnerabilidad estaba solucionada mediante una actualización de la última versión de su firmware. Defense Code desmiente lo anterior, señalando que la vulnerabilidad continúa presente en la última versión oficial del firmware, versión 4.30.14, recalcando que todas las versiones anteriores también serían vulnerables.

El agujero en cuestión sería demostrado en el siguiente vídeo, en que se ha probado un router Linksys WRT54GL. Aunque Defense Code no lo prueba con ejemplos concretos, la vulnerabilidad también afectaría a otros productores de Cisco.

http://www.youtube.com/watch?feature=player_embedded&v=cv-MbL7KFKE

La empresa de seguridad informática anuncia que publicará todos los detalles técnicos de la vulnerabilidad dentro de las próximas dos semanas, exhortando a Cisco a actuar con rapidez para solucionar definitivamente el problema de seguridad.

Vía | elhacker.net

martes, 15 de enero de 2013

Pastebin ¿Una comunidad de Hacker?

Img.1: Página principal de Pastebin

Un pastebin es una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general.

Así lo dice la Wikipedia...

Sin embargo si das una vuelta por Pastebin podemos encontrar mucho más que "pequeños" textos escritos por desarrolladores con el fin de publicar el código fuente y seguir una filosofía "libre". Entre las grandes joyas que podemos encontrar en Pastebin tenemos cosas como...

Y un sin fin de cosas., como Exploit, manuales, guías etc. Casi se podría decir que se ha convertido en una comunidad donde los hacker pueden colgar todo tipo de información. Y al parecer debe de funcionar bastante bien, ya que esta página nació en el 2002 y a día de hoy cuenta conversiones para todo tipo de dispositivos y plataformas. Y por si eso no fuera poco, cuenta con una versión PRO que cuesta $1,99 en la que te aseguran tu anonimato, navegación segura por https, y algunas cuantas cosas más.

Hay bastantes textos donde el autor cuelga (por ejemplo) una base de datos, pero además te facilita también una herramienta tipo exploit, escaneador o algo así con el que él lo realizó (todo un detalle por su parte). Muchos otros simplemente cuelgan la base de datos de manera anónima y sin decir a que web site pertenece, solo quieren demostrar que esa página web es vulnerable, y que además ellos son capaces...
Es como un juego en el que alguna gente puede salir dañada, ya que en muchas ocasiones esto se hace por el famoso "libertad de información" sin embargo una base datos, o información sensible, puede suponer mucho dinero para una empresa.


domingo, 13 de enero de 2013

Wifite: Un sistema automatiza para crackear Wifi's

No voy a hacer ningún manual sobre como Crackear Wifis, de esos ya hay muchos por internet.

Lo que si os va a venir muy bien... si no queréis perder el tiempo leyendo y buscando en internet sobre como se "Hackea" una Wifi, que tipo de cifrado es wpa o web, cómo se inyecta tráfico para ser capturado y luego conseguir suficientes paquetes como para romper la contraseña...

Es saber de la existencia de Wifite, un programa que nos ahorra el engorro de 1º Saber como hacerlo, y 2º de hacerlo.

Con wifite podemos crackear todo tipo de cifrao wireless  (excepto los router  que tengan habilitado wps en sus contraseñas wpa)

Este programa actúa de "todo en uno". Basta con abrirlo y él solo se encargará de detectar nuestra tarjeta Wifi y ponerla en modo monitor para capturar tráfico, una vez que la encuentra y la habilita para capturar el tráfico, automáticamente muestra en una tabla de los wifis cercanos con el SSID, la MAC, Tipo de clave, señal del wifi, si tiene habilitado wps y si tiene clientes conectados.

Img.1: Tabla de información Wifite
Para continuar cada proceso de Wifite es necesario terminar con el que está en ejecución y basta con hacer un CTRL+C y Wifite finalizará ese paso para seguir con el siguiente.

Así es que una vez que tenemos claro la wifi a la que queremos acceder bastaría con cancelar con el comando con CTRL+C y tendremos la opción de elegir a cual atacar.

Iremos cumpliendo los pasos hasta conseguir la contraseña, que se almacenará por defecto dentro de la Home de nuestro usuario.

Para que no parezca que esto es un poco pesado... he decir que una contraseña wep con Wifite se tarda unos 2 min, y una wpa2 entre unas 2-4 horas.

viernes, 11 de enero de 2013

Ser anonimo en internet

Es posible que en algunas ocasiones nuestras conexiones a internet no queremos que queden reflejadas por ninguna parte. Sin embargo eso no es tarea fácil. No digo que sea imposible pero necesitamos disponer de las herramientas necesarias.

Si que es cierto que en la actualidad tenemos herramientas en los navegadores  tales como Firefox o Chrome que tiene la opción de una Navegación privada. Y que además por lo que he podido ver, el nivel de privacidad es distinto en dichos navegadores. Sin embargo esto no va a ser suficiente para ser anonimos en internet.

Vidalia y la Red Tor

El primer paso para lograr ser anónimos es conectar a la Red Tor y para ello lo vamos a hacer con Vidalia. Un programa que ya viene instalado por defecto con Backbox, o que podemos intalarlo desde sus propios repositorios.

Ya expliqué en el anterioro artículo como funciona la Red Tor, pero por resumir un poco, y simplificándolo, diré que al conectarnos a la red de tor mediante Vidalia lo que conseguimos es, que nuestros datos vayan de un router a otro con los datos cifrados en cada conexión que se establece entre ellos. Más conocido como Enrutamiento encebollado (Onion Router).

Img.1: Panel de control Vidalia


Navegación privada Firefox


Cuando se inicia una navegación privada en Firefox el historial, las cookies, los temporales y el historial, no son guardados. De esta menara conseguimos por una parte que nuestro equipo quede limpio de cualqueier rastro y que además la página web no se quede con ninguna información nuestra gracias a las cookies.

Esto no quiere decir que haya técnicas a parte en las que el servidor web pueda detectar la versión de tu navegador, de tu SO, etc.

Img.2: Advertencia de Firefox: Navegación privada

Img.3: Navegaciónd e incógnito en Chrome


Startpage

Para rizar el rizo podemos utilizar Startpage: un buscador web que no guarda ninguna información de ti. Y que además trabaja con la tecnología de Google. Por lo que los resultados serán los de Google pero sin ser guardados en los servidores del buscador y sin dejar rastro de lo que estuvimos consultando.

Cito una parte de la explicación que dan en la web oficial sobre porqué deben utilizar este buscador.

¿Por qué debo preocuparme?

Los motores de búsqueda más importantes han recolectado en forma silenciosa la base de datos de información personal más grande de la historia. Lamentablemente, esta información puede caer fácilmente en las manos equivocadas. Considere el siguiente caso:

En agosto de 2006, el mundo de Internet quedó terriblemente sorprendido cuando AOL accidentalmente publicó un total de tres meses de datos de búsqueda de 650,000 de sus usuarios, y publicó todos los detalles en una base de datos en Internet.
Esta base de datos es todavía susceptible de busqueda. Es una alerta roja para potenciales pesadillas de intimidad.

jueves, 10 de enero de 2013

La Red Tor y su funcionamiento.

Iba a escribir un artículo sobre lo que es Vidalia y la Red Tor pero por casualidades de la vida me econtré con un artículo en Genbeta añadido hace apenas 1 mes y que explican muy bien, y de manera muy detalla, qué es, cómo funciona, y para que se usa.

Paso a dejar el artículo al completo. He decidido copiarlo y pegarlo antes que dejar el enlace a la fuente (que también lo dejaré) ya que así todos tendremos esta explicación disonible en Kontrol0.



Durante estos días, la red Tor ha saltado a la actualidad a raíz de un escándalo político en España. Fue usada para enviar un correo anónimo y muy difícil de rastrear, pero, ¿cómo funciona realmente esta red? ¿Quién lo usa, y para qué propósitos? Genbeta hoy vamos a responder a todas estas preguntas.


Cómo funciona Tor: el “enrutado cebolla”


Tor es una red que implementa una técnica llamada Onion Routing (enrutado cebolla en castellano, aunque suena bastante peor), diseñada con vistas a proteger las comunicaciones en la Marina de los Estados Unidos. La ideas es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y privacidad de los datos.

El enrutado tradicional que usamos para conectarnos a servidores en Internet es directo. Por ejemplo, si quieres leer Genbeta: tu ordenador se conecta de forma directa a los servidores de Genbeta. La ruta es, a grandes rasgos, sencilla: de tu ordenador a tu router, de ahí a los enrutadores de tu ISP (proveedor de Internet) y después directos a los servidores de Genbeta.

miércoles, 9 de enero de 2013

Denegación de servicios sin darnos cuenta.

El otro día estaba yo en mi casa probando un nuevo programa para mí, y casi sin darme cuenta hice una Denegación de Servicios.

Se lo comentaba a un amigo, dejé lanzando dicho programa, en cuestión, con un ataque de unas 50 conexiones por segundo (que era la configuración por defecto), me puse a hablar con los colegas y cuando volví a mirar a la pantalla pude ver el siguiente resumen: Service=No Status=Down.

Y todo en escasos 2 min.

Para ello utlicé una herramienta de stress testing que  ya viene implementada en Backbox.

Slowhttptest es una herramienta para descubrir vulnerabilidades DDoS.



Y la primera impresión que yo tuve de ella fue bastante buena, capaz de hacer un ataque conectandose a un proxy desde la propia aplicación y con multitud de opciones de configuración.


Este programita lo que hace es mandar (por defecto 50) peticiones por segundo al servidor. Cuando lo lanzamos te va dando un "status" del servicio de la página a la que estamos atacando.

Sus posibilidades son las siguientes:

-a startstart value of ranges-specifier for range header test
-b byteslimit of range-specifier for range header test
-c number of connectionslimited to 65539
-d proxy host:portfor directing all traffic through web proxy
-e proxy host:portfor directing only probe traffic through web proxy
-H, B, R or Xspecify to slow down in headers section or in message body, -R enables range test, -X enables slow read test
-ggenerate statistics in CSV and HTML formats, pattern is slow_xxx.csv/html, where xxx is the time and date
-i secondsinterval between follow up data in seconds, per connection
-k pipeline factornumber of times to repeat the request in the same connection for slow read test if server supports HTTP pipe-lining.
-l secondstest duration in seconds
-n secondsinterval between read operations from receive buffer
-o filecustom output file path and/or name, effective if -g is specified
-p secondstimeout to wait for HTTP response on probe connection, after which server is considered inaccessible
-r connections per secondconnection rate
-s bytesvalue of Content-Length header, if -B specified
-t verbcustom verb to use
-u URLtarget URL, the same format you type in browser, e.g https://host[:port]/
-v levelverbosity level of log 0-4
-w bytesstart of range the advertised window size would be picked from
-x bytesmax length of follow up data
-y bytesend of range the advertised window size would be picked from
-z bytesbytes to read from receive buffer with single read() operation

Sacadas directamente desde la página del autor.

Destacar que yo sin darme cuenta tumbé la página hacia la que hice el ataque. Por tanto es recomendable utilizar programas como Vidalia que viene con la Red de Tor para ser anónimos en internet.

Después de ver la potencia de este programa decidí buscar algo más de información y, me encontré con un artículo bastante bueno sobre como atacar y defenderse a un DDos.


martes, 8 de enero de 2013

Extraer emails con Metasploit GUI

En el anterioro artículo ya expliqué como hacer una búsqueda de mails, subdominios, y v-host con Theharvester.
Para este caso vamos a ayudarnos de Metasploit y un modulo el cual es capaz de estraer los mails del dominio que nosotros le indiquemos.

Es decir, Metasploit se encargará de buscar en google y otros buscadores las cuentas de mails del dominio que nosotros le indicamos anteriormente.

Yo en este caso he utilizado Bacbox que ya viene con metasploit instalado y su versión gráfica. Y dentro de Metasploit he utilizado Auxiliary-->Gather-->search_email_collector






También podemos hacer la búsqueda en el terminal pero hoy en concreto he decidido utilizar la versión gráfica por que tardo menos en llegar hasta la configuración de la extracción de mails.

Como ejemplo voy a hacer una búsqueda de los mails de gmail que google sea capaz de encontrar.


Aunque con Metasploit podemos sacar los mails de los dominios, TheHarvester me parece mucho más potente, ya que ha diferencia de Metasploit es capaz de fitrar también los subdominios y poner un rango de búsqueda, es decir, decirle cuantos resultados queremos que nos muestre.

lunes, 7 de enero de 2013

Sacando información con TheHarvester

TheHarvester es una herramienta muy potente con la que podemos recopilar la información encontrada en distintos buscadores de los subdominios, cuentas de correos y v-host de un dominio. Esta herramienta ya viene integrada por defecto con tanto con Backtrack como con Backbos, que es la disto que vamos a utilizar. Si el termina escribimos TheHarvester podemos ver una amplia cantidad de opciones a configurar a nuestro gusto.

Para un caso practico vamos a introducir lo siguiente:

~$ theharvester -d gmail.com -l 500 -b all -f gmail.html

-d Indica que queremos hacer la búsqueda en un dominio específico.
-l Es la opción para determinar la cantidad de resultamos que queremos que nos devuelva
-b La fuente de donde queremos extraer la información. En este caso hemos puesto all para que busque en todos los buscadores, que son: google,bing,bingapi,pgp,linkedin,google-profiles,people123,jigsaw
-f Es la opción que nos permite guardar los resultados en un fichero en formato HTML y que por defecto se guarda en la carpeta de nuestro usuario. Comentar que el nombre del archivo en el comando tiene que terminal en *.html para después poder abrirlo en el navegador.



Esto es solo un ejemplo de la potencia que puede llegar a tener esta herramienta. En este caso la búsqueda también nos ha devuelto un número de Host:

[+] Hosts found in search engines:
------------------------------------
173.194.34.213:www.gmail.com
173.194.66.109:smtp.gmail.com
173.194.69.108:imap.gmail.com
173.194.66.109:pop.gmail.com
173.194.41.245:Www.gmail.com
173.194.34.213:m.gmail.com
[+] Virtual hosts:


Otra característica es que podemos hacer búsquedas en Shodan. O comenzar la búsqueda desde "el número X" de los resultados, es decir, que si queremos que busque un total de 200 resultamos, podemos indicar que empiece a buscar desde el 127 al 200. Por defecto empieza desde el 0.