Crónica de la RootedCON · Día 2

(La foto es de Miguel Gesteiro, @mgesteiro en Twitter)

Seguimos con la crónica de la RootedCon 2012 con el segundo día de charlas. Después de una tarde-noche donde hubo algunos ataques de denegación de servicio contra varios asistentes (ya sabéis, el alcohol siempre será un 0day), empezó la jornada de la mano de Gerardo García Peña con Enfoque práctico a la denegación de servicio en la que nos habló sobre diferentes tipos de ataques de denegación de servicios y cómo evitarlos. Una de las soluciones que planteaba era la de migrar servicios a Akamai. A mí me gustó mucho uno de los comentarios que realizó uno de los asistentes, ya que puntualizó, que recibir un DoS estando alojado en Akamai se puede convertir en un gran problema económico, ya que Akamai cobra por tráfico.

[Read more…]

Crónica de la RootedCON · Día 1

Como cada año desde 2010, ha tenido lugar una de las conferencias más importantes (si no la más) del panorama de la seguridad española. Imagino que si sois asiduos al blog no hará falta que explique qué es RootedCon, pero por si hay algún despistado, decir que son unas conferencias de seguridad de 3 días de duración con contenidos altamente técnicos que se celebran en Madrid.

Security ArtWork estuvo allí y nos gustaría comentar nuestra experiencia para los que no tuvieron la suerte de poder asistir.

[Read more…]

Tool: XSSer “The Mosquito”

Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos.

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

[Read more…]

Juegos en redes sociales

Empezamos el año y la semana con la serie de entradas sobre videojuegos cuya información está basada en el Informe sobre Seguridad en Juegos Online 2011 [PDF, 1.2MB] publicado hace unos días.

Las redes sociales han sido un fenómeno de masas en los últimos años. Desde su aparición, el crecimiento en forma de número de usuarios ha sido prácticamente exponencial, llegando hasta el punto actual, donde es extraño que alguna persona no tenga cuenta en alguna red social.

Las redes sociales también han sido para los desarrolladores de videojuegos un nuevo espacio en el cual desarrollar su negocio, más aún cuando las diferentes redes han puesto los medios para poder desarrollar juegos colaborativos mediante la publicación de interfaces públicos de programación (API).

El aumento de juegos disponibles para jugar en las redes sociales ha hecho que la industria del malware también intente utilizar estos juegos para distribuir virus y troyanos. Un ejemplo de esto lo tenemos en la reciente aparición de un supuesto juego en Facebook que permitía jugar a Mario Kart:

[Read more…]

Permisos en los juegos de Android (II)

Para acabar la semana, continuamos con la serie de entradas sobre videojuegos cuya información está basada en el Informe sobre Seguridad en Juegos Online 2011 [PDF, 1.2MB] publicado hace unos días. El lunes publicaremos más entradas de esta temática especialmente relevante en estas fechas.

Continuando con el post de ayer, vamos a seguir hablando de los permisos que requieren las diferentes juegos de Android. Si ayer se habló de las aplicaciones del Market, hoy le toca el turno a las descargadas de sitios no oficiales.

Como hemos indicado, Google realiza un control sobre las aplicaciones que se exponen en el Market, pero debido a lo fácil que resulta para los desarrolladores de malware modificar las aplicaciones de Android, han aparecido “Markets” alternativos con aplicaciones modificadas para no tener que pagar por ellas.

Al igual que ocurre con los cracks para los PCs, no tenemos la certeza de que las aplicaciones descargadas no cometan acciones ilícitas aparte de las que son visibles por el usuario. Ha sido nuestra voluntad establecer si existen diferencias notables entre los permisos que requieren las aplicaciones del Market y los permisos que requieren las aplicaciones descargadas de Internet. Para ello, se ha realizado una descarga masiva de aplicaciones de una web de descargas y se ha realizado un análisis similar al mostrado anteriormente con las aplicaciones del Market.

[Read more…]

Permisos en los juegos de Android (I)

Hoy miércoles comenzamos con una serie de entradas sobre videojuegos, que desarrollaremos a lo largo de estos días, y cuya información está basada en el Informe sobre Seguridad en Juegos Online 2011 [PDF, 1.2MB] publicado hace unos días.

Android ha implementado diversos mecanismos para garantizar la seguridad de su sistema operativo. Por ejemplo, Android obliga a que las aplicaciones deban estar firmadas digitalmente y que los desarrolladores compartan el certificado con Google para que puedan publicar la aplicación en el Market. También incorpora un mecanismo para aislar las diferentes aplicaciones entre ellas, evitando así que una aplicación pueda obtener datos de otra. Esto ocurre gracias al sistema de permisos por el cual, solo se puede acceder a los recursos que explícitamente se requieran.

Aunque el modelo de seguridad de Android es una gran mejora respecto a los sistemas operativos tradicionales de escritorio, este tiene dos grandes inconvenientes:

  • El sistema que utiliza Android para obtener el origen de una aplicación podría permitir a un usuario malintencionado crear y distribuir malware anónimamente.
  • El sistema de permisos que utiliza, aunque extremadamente potente, deja en último lugar las decisiones de seguridad al usuario. Desafortunadamente, la mayoría de los usuarios no son técnicamente capaces de tomar esas decisiones, provocando que se instalen aplicaciones que requieren más permisos de los necesarios.

[Read more…]

Navidad y videojuegos

Llega la Navidad, y con ella los reencuentros familiares, las comidas, las cenas, los excesos, el cuñado “gracioso”, las abuelas que no paran de llenarte el plato, los niños y como no, los regalos.

Como se puede ver en las noticias estos últimos días, parece que el regalo que más están demandando los niños y niñas españoles a los Reyes Magos y Papá Noel son los dispositivos tipo tablet (con el permiso de las muñecas High Monster).

Pero no solo los más pequeños de la casa están interesados en las nuevas tecnologías, sino que los más mayorcitos también esperan ver junto al árbol o el belén un tablet con su nombre escrito en un papelito.

La mayoría de estos dispositivos, especialmente los destinados a los más pequeños, serán utilizados no como herramientas ofimáticas sino como dispositivos de entretenimiento, donde los juegos ocuparán la mayoría de ciclos de CPU y prácticamente todo el disco.

[Read more…]

Everybody is RUSSIAN!

…o como las mafias roban dinero de los móviles y lavan ese dinero en Rusia.

El otro día escuché un podcast del investigador Denis Maslennikov hablando sobre este tema y me gustaría compartir con vosotros los aspectos mas importantes de su podcast.

Comencemos diciendo que la gran mayoría de tarjetas SIM en Rusia son de tipo prepago, y que uno de los mayores operadores de Rusia, Beeline, ofrece un servicio totalmente legal que permite a cualquiera que use una de sus tarjetas SIM transferir saldo a una tarjeta de crédito, cuenta corriente, a una cuenta Unistrem (parecido a Western Union) o a otro número de teléfono enviando un SMS a un número gratuito. Por ejemplo, para enviar dinero a la tarjeta SIM del atacante habría que teclear: *145*nº_de_tlf*cantidad# y enviarlo al 145.

[Read more…]

Page collector

pageHoy me gustaría presentaros un módulo de Metasploit que he descubierto hace poco tiempo. Se llama Page collector y ha sido desarrollado por Spencer McIntyre. El módulo en concreto nos ayuda a descubrir páginas web de un rango de ips y nos las muestra de forma gráfica. Vamos a plantear un posible escenario en el nos resultaría útil este módulo: Estamos realizando un pentest de una red corporativa que tiene un rango 192.168.0.0/24 y nos interesa conocer rápidamente, si existen interfaces de administración (phpMyAdmin, páginas de login por defecto, consolas JBoss…).

La instalación del módulo es muy sencilla y funciona out-of-the-box en una metasploit4:

dlladro@bt:/# wget http://www.securestate.com/Documents/page_collector.rb
dlladro@bt:/# cp page_collector.rb /opt/metasploit/modules/auxiliary/scanner/http/

Su uso también es muy sencillo. Para un uso básico (si no, show options ;), no tenemos más que cargar el módulo, fijar la variable RHOST y lanzarlo. Aquí hay un ejemplo de cómo funcionaría el módulo:

msf > use auxiliary/scanner/http/page_collector
msf auxiliary(page_collector) > show options

Module options (auxiliary/scanner/http/page_collector):

Name Current Setting Required Description
---- --------------- -------- -----------
LPATH /root/report.html yes The local filename to store the html file
PORTS 80,443,8080,8443 yes Ports to scan (e.g. 22-25,80,110-900)
Proxies no Use a proxy chain
RHOSTS yes The target address range or CIDR identifier
THREADS 1 yes The number of concurrent threads
VHOST no HTTP server virtual host

msf auxiliary(page_collector) > set RHOSTS 192.168.0.0/24
RHOSTS => 192.168.0.0/24
msf auxiliary(page_collector) > exploit

[*] Starting HTTP Page Collector
[+] Found HTTP On Server: http://192.168.0.1:80/
[+] Found HTTPS On Server: https://192.168.0.1:443/
[*] Found Invalid SSL Cert: IP:192.168.0.1 CN:maquina-1
[+] Found HTTP On Server: http://192.168.0.1:8080/
[+] Found HTTP On Server: http://192.168.0.14:80/
[+] Found HTTPS On Server: https://192.168.0.24:443/
[*] Found Invalid SSL Cert: IP:192.168.0.24 CN:maquina-2
[*] Scanned 026 of 256 hosts (010% complete)
[+] Found HTTP On Server: http://192.168.0.34:80/
[+] Found HTTP On Server: http://192.168.0.36:80/
[+] Found HTTP On Server: http://192.168.0.43:80/
[+] Found HTTP On Server: http://192.168.0.43:8080/
[+] Found HTTPS On Server: https://192.168.0.44:443/
[*] Found Invalid SSL Cert: IP:192.168.0.44 CN:maquina-3
[+] Found HTTP On Server: http://192.168.0.48:80/
[*] Scanned 052 of 256 hosts (020% complete)

Una vez terminado el escaneo, se han guardado los resultados en el archivo /root/report.html; si lo abrimos, veríamos algo parecido a lo siguiente:

page2

En los resultados anteriores se muestran los servicios HTTP/HTTPS encontrados, dentro de un iframe, con lo que ganamos bastante en comodidad para analizar, por ejemplo, usuarios triviales o por defecto en estos servicios…

Espero que este módulo os sea tan útil como a mí. ¡Un saludo!

¿Ayudando al cliente?

Hoy me gustaría hablar de un caso que me ocurrió este pasado verano relacionado con estafas en cajeros electrónicos. Gracias al FSM no me estafaron, pero esto es adelantarme a los hechos. Como todos hemos visto en las noticias y en Internet, las estafas y robos de tarjetas de crédito están a la orden del día. Una de las técnicas más usadas en los cajeros, es la de instalar un dispositivo, conocido como “skimmer”, que se encarga de leer la banda magnética de nuestra tarjeta y de conseguir nuestro PIN.

Como ejemplo, aquí tenéis una fotos de estos dispositivos:

[Read more…]