Archive for February, 2008
Documental de hackers chinos
Thursday, February 28th, 2008Chopstick hacking technique
Tuesday, February 26th, 2008La receta fría para vender palillos chinos
Sin duda la impunidad debe ser reducida, y como lo señala un editor del JaCkNews en la noticia Nro. 17 del boletín JaCkNews Vol. 2, Nro.6: fue una acción ejemplar contra la violación de privacidad. Pero, en un mundo donde las leyes no atraviesan siempre el ciber-espacio, las empresas y las personas debemos extender nuestra comprensión del ataque (y no sólo la defensa) gracias al conocimiento. Como lo señalaba otro editor del JaCkNews, ya no basta con “procesos, personas, y tecnología”, ahora también se requiere conocimiento. Sin conocimiento, podemos estar tapando algunos hoyos en la pista, cuando en realidad debajo de la misma hay unos abismos inmensos. Para entender esta abstracción medio filosófica, siga leyendo este sencillo post de cómo obtener números telefónicos, sin siquiera pagar un dólar.
Cabe citar que la noticia citada arriba refiere estrictamente a la vente de registros de llamadas entrantes y salientes de números telefónicos. No obstante la misma compañía que delinquió con esto, también ofrece otro tipo de servicios de búsqueda menos criminales, pero igualmente selectos.
Aquí un pantallazo, de una búsqueda de personas cuyo primer nombre es George (segundo nombes es Bush) y viven en Washington, DC. Supongamos que Laura Bozo, quiere invitarlos a su TalkShow con el tema: Los Georges (algo feúcho, nada malévolo, pero bastante comercial para las pantallas).
Sin embargo, vía Google es posible hacer algo similar. Pongamos un ejemplo por otra senda. Supongamos que acabamos de ingresar como vendedores a una compañía que fabrica chopsticks (palitos chinos, en Perú) en Maryland, y el dueño nos ha retado a encontrar nuestra propia cartera. Se trata de una venta en frío. Bien pudieramos coger las páginas amarillas, pero no, usaremos algo más electrónico, usaremos Google Maps. Vía conocimiento de Google Hacking, decidimos operar el comando “phonebook” y Voilá!, la lista está en un click, incluso con mapa. El resultado, se observa en la siguiente imagen.
La receta fría tiene 01 sentencia de búsqueda:
phonebook: “chinese food” maryland
Este fue un inofensivo (porque tener los números telefónicos publicados es un mal necesario) e incipiente (por no ofender a una víctima específica) ejemplo de cómo la curiosidad y Google puede dar resultados interesantes. Si quisiera aprender la técnica de Google Hacking, no olvide que ese beneficio extra está presente en los cursos que JaCkSecurity viene promoviendo en el 2008 (descargue Brochure Cursos 2008).
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría
Aviso a ciber-ciudadanos de Perú, Policías Informáticos sin WWW
Monday, February 25th, 2008La semana pasada recibimos una llamada de un cliente nuestro, en el que se nos informara de la falla en la resolución de dominio del sitio web de la Policía Informática. Hasta allí, no creíamos que pudiera significar mayor problema que no pudiera resolver la DIRINCRI o el auspiciador de su dominio y sitio web, el cual tampoco responde, por una falla aparentemente diferente. No obstante, luego de ver lo que le sucedió al sitio web del Scotland Yard (véa más abajo), era importante denunciar y/o advertir el posible riesgo al que pudiera estar expuestos aquellos ciber-ciudadanos -más neófitos- que fueran conocedores del sitio web www . policiainformatica . gob . pe (Copia en 4law).
Debido a la advertencia legal en el sitio web www.nic.pe, no es posible colgar el pantallazo donde se indica la no existencia del dominio citado, como para perpetuar este post.
Por otro lado, un colega y alumno de esa entidad ya fue notificado para ponernos al corriente de cualquier cambio y solución pronta que se dé a este problema.
La única URL disponible pero sin información oportuna es la citada por ahora en la web de PNP.
Tome especial cuidado de este aviso no lo subestime. En uno de los últimos post del auspiciador de la citada web, el autor retó a los crackers limeños y amigos de cracker CiberAlexis a que lo hackeen.
Idealmente la mejor recomendación para no terminar visitando el sitio web de algún cracker -enemigo de la Policía Informática (DIRINCRI) y enemigo del auspiciador (citado arriba), sería el enlazar a través de los recursos de la web oficial de la PNP cuyo URL es: http://www.pnp.gob.pe/enlaces.html, PERO, por el momento, eso podría ser igual de terrible, debido a que la misma página sigue apuntando a la web que no responde (www . policiainformatica . gob . pe)
Visíte nuestro blog, en cuanto tengamos más información, y le proveeremos el nuevo recurso web de la DIRINCRI.
Staff
JaCkSecurity
Conocomiento, Conciencia, Consultoría
Cuando instale cosas como Goolag Scanner, oiga bien
Saturday, February 23rd, 2008
Nueva herramienta de cDc
A primera vista, Goolag Scanner no parece contener nada ilegales a la sombra Google. Sin embargo, el mismo software hace la siguiente advertencia, al momento de instalarse (y hasta en forma audible: así que encienda sus parlantes mientras lo instala):
This software was developed by the cDc. It’s issued under the terms of the GPL. If the software does something bad to your computer or network or provides information that you have no legal right to see, then that’s your problem. In some countries this software might be illegal. Don’t be stupid, and don’t come whining to us if you get into trouble. You’ve been warned.
Por otro lado, muchas de las firmas, como es obvio, algo viejas, pero igualmente útiles si se quiere hacer demasiado ruido a los motores de Google (y terminar siendo bloqueado: algo que no le va a agradar a su ISP). De cualquier forma, una herramienta cómoda y práctica para absorver buena parte de la base de datos de Jhonny “I Hack Stuff” Long. Son 1418 dorks para probar.
Igualmente, algo resaltable es el buscador de dorks en el menú de la herramienta. Así, por ejemplo, si quiere buscar todas las sentencias que impliquen vulnerabilidades en Wordpress, Voilà!, sólo escribe “wordpress” y hallará las dorks que Ud. necesita.
Finalmente, aunque el anunció formal de cDc indica que la herramienta ha sido creada para fines de testing personal (su propio sitio web), la misma no tiene una forma de grabar un perfil de dorks, que permita personalizar las 1418 dorks, de tal forma que pueda correrse rutinariamente en su sitio web.
Disk encryption, el último Samurai
Friday, February 22nd, 2008Para quienes ya son concientes de los peligros a los que se ve expuesta la información en los equipos portátiles, y que por ello han adquirido herramientas de cifrado de datos desde el disco, ahora deben sobreponerse a una nueva amenaza: “Cold boot attacks” contra las llaves de cifrado.
Aquí una video, desarrollado por los autores de éste nuevo tipo de amenaza “real”.
Hacking para gente jóven
Thursday, February 21st, 2008
Es indudable que todos queremos aprender, y esto es más acentuado sobre la gente más jóven, especialmente si el tema de fondo es el hacking. Sin embargo a pesar de que está demostrado que esto se puede lograr con mucha paciencia y buen rato en la red, es evidente que el aprendizaje individual de hacking adolesce de algo que conocemos como “formación”.
En nuestro reciente viaje a Brasil, nuestro deseo de conocer cómo se mueve el mundo de hacking indagamos por todos lados, quizás algunos menos indicados, como los abundantes y voluminosos puestos de revistas, varios de los cuales ofrecían información de temas informáticos específicos, pero ninguno sobre hacking.
Uno de los puestos más próximos a nuestra residencia, cuyo dueño era amigo de nuestro interlocutor, nos contó que alguna vez había vendido revistas que enseñaban cómo hackear, pero dejó de hacerlo cuando se enteró que era un delito.
No obstante a esa premisa (cierta o no), en el presente existe -al menos- una organización que sí lo viene haciendo. Se trata de HackerTeen. A quienes conocimos por la web de Campus Party 2008, y personalmente también en uno de los domos de la Bienal de Sao Paulo.
El modelo de es sencillo en concepto, enseñar a los jóvenes a hackear con un propósito, procurar el bien. Una filosofía que amerita una formación. Quizás por ello, la enseñanza es mitad virtual y mitad presencial.
Si alguna vez planea compartir conocimiento hacker “digamos más profundo” de manera abierta, piense que ese conocimiento sin un propósito claro puede ser peligroso y perjudicial. Quizás el eslógan de HackerTeen le de una idea digna de imitar “profesionalizando jóvenes para el bien“.
Javier Romero
JaCksecurity, CTO
Conocimiento, Conciencia y Consultoría
PD: Complementa bien, este post de HaCKsPy
Manejo de incidentes, la paranoia natural
Friday, February 15th, 2008Recientemente, Bruce Schneier publicó en su blog más de tres noticias curiosas con el rótulo la guerra a lo desconocido. Aunque no es la primera vez que Bruce registra este tipo de -hasta ahora- curiosos eventos, una de ellas, en peculiar, describe muy bien la polémica paranoia detrás del manejo de incidentes, en este caso desde la figura policial contra la civil. La noticia muestra la proceder de la policia inglesa luego que una mujer denunciara a un de un jóven que supuestamente portaba un revolver en bolsillo. La respuesta de la policía provocó un inmediato despligue de hombres armados, para apresar al sospechoso. El equivocado testimonio oral de la mujer produjo un detestable mal rato al portador de la supuesta arma qusien en realidad llevaba un reproductor mp3 de color negro.
Aunque es evidente que a nadie le agrade esta clase de maltratos sorpresivos, especialmente si se trata de una sospecha y no de nada concluyente, lo cierto es que esta clase de eventos van a tender a incrementarse.
Los manejadores de incidentes diligentes saben que cualquier evento sospechoso amerita una acción rápida, y a pesar de la duda deben actuar aunque ello implique una equivocación. No es posible subestimar los eventos, menos si es reportado por un tercero. En el caso de una compañía, el prestar atención a un reporte de un tercero (ajeno al team de manejo de seguridad), llámese un empleado, incrementa la fluidez de información de incidentes a la que estas tienen acceso y amplía el rango de visión del team de seguridad.
En la medida que el compromiso por la seguridad, vaya incrementándose en las instituciones del orden, así como en los teams de seguridad de las corporaciones, se verá más frecuentemente este tipo de guerra a lo desconocido. Sólo vaya acostumbrándose, mientras, una buena recomendación podría ser el informarse mejor de sus derechos constitucionales, para que las probabilidades no lo cojan ignorante.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
Ejercicio de un ciber-incidente en la industria alimenticia
Tuesday, February 12th, 2008Sin importar si esta imagen es real o montada, sería un buen ejercicio el pregúntarse si un incidente similar tendría o no algún impacto de valor en sus operaciones y/o en su cadena de producción?
Chequea dos veces a quien envías el mail
Monday, February 11th, 2008¿Cuán a menudo hubieras querido verificar “dos veces” tu destinatario?
Entrevista a un auditor interno de app-web
Thursday, February 7th, 2008Jeremías Grossman, CTO de WhiteHat, publicó un interesante post acerca de la proporción o, mas bien, el número de personas in-house a cargo de las labores de evaluación de vulnerabilidades en sitios web corporativos. Aunque el escenario descrito por Jeremías y su amigo pareciera una meta muy ilusioria en su organización, desmiéntala al leer la entrevista que le hiciéramos -hace unos meses- a Raúl Velarde, auditor interno de aplicaciones web de una importante institución del estado peruano.
JaCkSecurity: ¿Por qué fueron encomendados a especializarse en esta labor (revisar código de programación)?
Raúl: La institución necesitaba detectar y prevenir posibles vulnerabilidades que afectaran sus intereses. Eso implicaba personal (con conocimientos de programación y seguridad de información) que revisara el código de todos los sistemas desarrollados por los proveedores de software, que nos brindan sus servicios.
JaCkSecurity: Desde que fue encomendado a esta labor, ¿cuánto tiempo pasó para hallar por primera vez una vulnerabilidad?
Raúl: Luego de 2 semanas hallé primera vulnerabilidad con ayuda de un software especializado, en este caso un web vulnerability scanner.
JaCkSecurity: ¿Cuál fue la primera vulnerabilidad que descubrió en un sistema, tan solamente leyendo código?
Raúl: Fue aquella donde se halló visible -desde el código fuente- el usuario y password, lo que exponía la base de datos. Inclusive se podía ejecutar un trigger en la base de datos, menoscabando la confidencialidad, disponibilidad e integridad de la información en toda la institución.
JaCkSecurity: ¿Cuánto cree usted que ha beneficiado la seguridad de su institución al hacer conocer las deficiencias de programación en el desarrollo de sus sistemas?
Raúl: Pienso que considerablemente, no sólo al prevenir ataques existosos, sino por el beneficio posterior. Verá, producto de estos hallazgos se han desarrollado y enriquecido los lineamientos de seguridad de información de todos los sistemas que vienen siendo desarrollados por nuestros proveedores.
JaCkSecurity: Desde que tu labor es una forma sana de evitar el Full-Disclosure ¿Qué opina tú de proyectos como WabiSabiLabi?
Raúl: Me parece un proyecto interesante, y llegará a ser beneficioso para las empresas “siempre y cuando” la venta de la vulnerabilidades se hagan para fines lícitos, como por ejemplo el utilizar dicha información para que los profesionales de seguridad de las empresa tengan mayores recursos para poder prevenir ataques por la explotación de las vulnerabilidades de sus sistemas.
Análisis de pharming AV-Speedy
Friday, February 1st, 2008En unas de mis cuentas personales, con fecha 09 de enero 2008, recibí un falso aviso de Telefónica que contenía un enlace hacia un supuesto antivirus importante para mi seguridad.
Nombre: AV-Speedy.exe
Tamano archivo: 192512 bytes
MD5: 2196150802bc7b9d5448f918ef0c4e04
SHA1: 16c486e892e41876210992d1544b40d9ba0fcbaf
Al correrlo en máquinas virtuales, primero con bajos privilegios (con resultado inexitoso para el malware), y luego con altos privilegios, capturé lo siguiente:
Vía netstat
Conexiones activas
Proto Dirección local Dirección remota Estado PID
TCP 192.168.131.65:1039 67.159.45.52:80 ESTABLISHED 248
[AV-Speedy.exe]
Vía windump
Tráfico de la captura autómata
Iniciado inmediatamente después de ejecutar el código AV-speed.exe, se observaron los siguientes datos importantes:
Guest virtual: 192.168.131.65
1er. destino: 200.48.225.130 (DNS de Telefónica) - dato ligeramente irrelevante
2do. destino: 67.159.45.52 (www.proxymafia.net) - comando central del malware
Data dentro del tráfico autómata
Al revisar, someramente, el contenido de la captura, se observó los siguientes datos importantes:
1er. dato: www.proxymafia.net (consultado vía DNS, al DNS por defecto de la PC virtual)
2do. dato: GET./surf.php (primer pedido del malware al comando central)
q=aHR0cDovL2JyaWFuc2VhZ3JhdmVzLmNvbS9wcm9maWxlcy9ob3N0LnR4dA%3D%3D&hl=3ed
3er. dato: host.txt (información enviada por comando central al malware)
66.49.193.228 www.hotmail.com
66.49.193.228 hotmail.com
66.49.193.228 www.viabcp.com
66.49.193.228 viabcp.com
Análisis de los datos extraidos
A) Proxymafia.net (67.159.45.52)
Perteneciente a una compañía inglesía y registrado vía GoDaddy.
Consulta vía www.netsol.com
Registrant:
Jack Cator
BCM Netco Solutions
London, WC1N3XX
United Kingdom
Created on: 30-Nov-06
Expires on: 30-Nov-08
Last Updated on: 30-Nov-07
B) anonr.com (DNS Provider)
Perteneciente a la misma compañía inglesía, vea la dirección IP (incluso).
Consulta vía DNS y www.netsol.com
proxymafia.net nameserver = ns1.anonr.com
proxymafia.net nameserver = ns2.anonr.com
ns1.anonr.com internet address = 75.126.48.147
ns2.anonr.com internet address = 67.159.45.52
Created on: 18-Oct-06
Expires on: 18-Oct-08
Last Updated on: 18-Oct-07
C) 66.49.193.228 (pharming)
Vía un get a http://66.49.193.228/, responde la comunidad Cardcaptor Redeemer. Curiosamente el argumento de CardCaptor se basa en que la protagonista tiene que capturar cierto número de tarjetas. Tal parece que quien hace esto, lo ve en cierto modo cómico o en juego.
Conclusiones tempranas
El código del comando central del malware, que no es una botnet, sigue activo en el web www.proxymafia.net. No es determinable el precisar, si la principal institución afectada por este pharming hizo o no algo por eliminar el código surf.php de la web de www.proxymafia.net. Sin embargo, si es concluyente que desde el 09/01/2008 hasta 21 días luego de mi análisis, el comando central sigue activo. Resta aún analizar otros componentes como la visita simulada a la web medicada www.viabcp.com desde esta PC virtual infectada.
Jimmy Villanueva
JaCkSecurity, Staff
conocimiento, conciencia y consultoría
