Showing posts with label seguridad. Show all posts
Showing posts with label seguridad. Show all posts
Sunday, December 18, 2016
MrLooquer IPv6 Un buscador de servicios sobre IPv6 en Internet para pentesters hackers y analistas de seguridad
MrLooquer IPv6 Un buscador de servicios sobre IPv6 en Internet para pentesters hackers y analistas de seguridad
Una de las cosas que cualquier aficionado a las redes de computadores conoce es el amplio espacio de direccionamiento disponible en IPv6, concretamente 128 bits. Puede que a alguien le parezca un número pequeño, pero esos bits dan para mucho, tanto, que el IETF, uno de los organismos reguladores de Internet, reconoce que los métodos basados en “fuerza bruta” utilizados en escaneos de reconocimiento en IPv4, no sirven en redes IPv6. Cuando un consultor de seguridad quiere saber qué equipos hay en una determinada subred con direccionamiento IPv4 suele hacer algo como: nmap 192.168.1.0/24
El comando anterior lanzará diversas pruebas sobre cada una de las direcciones IP que existen dentro de esa subred. En este caso, al ser un /24 significa que hay 8 bits destinados a dar direcciones de host, es decir, 2^8=254 direcciones IP. En este tipo de escaneos se aplica el concepto de fuerza bruta, o lo que es lo mismo, probar todas las 254 opciones posibles. Una red IPv6, sin embargo, tiene habitualmente un /64 al final, y eso significa que hay 2^64 direcciones posibles dentro de esa subred, es decir 18.446.744.073.709.551.616, lo que resulta totalmente inviable de escanear. Y no olvidemos de que se trata de una sola red.
El resultado es que mucha gente piensa que usar una dirección IPv6 implica que ésta no podrá ser descubierta por un bot-escáner situado en Internet, lo cual nos lleva al peligroso concepto de seguridad por ocultación. Incluso hay gente que dice que esa supuesta oscuridad que ofrece IPv6 ofrece “a lot of security”.
Pero esto no es del todo cierto. El pasado tres de marzo se presentó oficialmente en la séptima edición de la conferencia RootedCON el servicio online MrLooquer, que recopila y procesa millones y millones de servicios abiertos en máquinas conectadas a Internet en IPv6. El portal web que ofrece MrLooquer, que también es accesible por API, permite recorrer y visualizar millones de puertos y banners de servicios conectados a IPv6, permitiendo a un analista hacer cosas similares a las que está habituado al hacking con buscadores tipo Shodan, pero centrado en el protocolo IPv6.
También permite realizar búsquedas más específicas sobre la infraestructura Big Data que lo soporta para afinar los resultados. Algunos ejemplos de búsquedas::
? Servidores de correo electrónico “Dovecot” escuchando en IPv6: Algunos piensan que todavía no hay muchos servidores de correo conectados a redes IPv6, y esto puede llegar a ser un problema para los mecanismos antispam existentes basados en listas negras. Un usuario con IPv6 podría enviar correos electrónicos utilizando como origen cada una de las 2^64 direcciones IPv6 disponibles. No olvidemos que un usuario residencial con salida a Internet por IPv6 suele tener asignado un /64 como el que hemos visto anteriormente, es decir, tiene 18.446.744.073.709.551.616 direcciones IPv6 públicas para a utilizar a su voluntad. Por tanto, los mecanismos actuales de control basados en listas negras IP no pueden funcionar de la misma forma con IPv6, y necesitan ser revisados para, por ejemplo, filtrar por rangos /64, con las implicaciones que esto conlleva.
? Busqueda de servidores DNS: Podemos encontrar fácilmente servidores DNS escuchando en IPv6 con el filtro “port:53” (para usar este tipo de filtros es necesario registro, también gratuito). Observando los resultados de la búsqueda podemos preguntarnos si estos servidores podrían ser utilizados para lanzar ataques de denegación de servicio amplificados, y si los mecanismos de protección actuales contra este tipo de ataques están preparados para manejar ataques lanzados desde redes IPv6.
? Busqueda de servidores DNS vulnerables: MrLooquer también permite conocer el grado de exposición de servicios afectados por una determinada vulnerabilidad escuchando en IPv6. Por ejemplo, en el caso de servidores DNS, podríamos realizar una búsqueda más dirigida para obtener equipos potencialmente afectados por la vulnerabilidad publicada recientemente relativa al servidor de nombres DNS Bind9 (CVE-2016-2088). Se trata de una vulnerabilidad que permite causar una denegación de servicio (DoS) mediante el envío remoto de un paquete malformado usando DNS Cookies.
Mediante un sencilla búsqueda en MrLooquer podemos obtener un listado de servicios potencialmente afectados por esta vulnerabilidad escuchando en IPv6. De nuevo, nos surge la pregunta de si las políticas de seguridad usadas actualmente para proteger los sistemas de este tipo de ataques en IPv4 se están actualizando para redes IPv6:
? Búsqueda de servicios: También podemos encontrar servicios tecnológicamente más actuales tales como gestores de colas RabbitMQ buscando el puerto 6379. Precisamente Daniel García presentó también en la última edición de RootedCon un ataque de inyección de comandos sobre este tipo de servicios cuando están mal configurados.
? Relación de direcciones IPv4&IPv6: MrLooquer también ofrece una característica muy interesante para cualquier analista de seguridad, que es la capacidad de relacionar entidades IPv6 con direcciones IPv4 y dominios. Esto hace posible descubrir cómo las organizaciones están adoptando IPv6 y cómo en algunos casos las políticas de seguridad no están siendo aplicadas de igual forma para servicios escuchando en cada uno de los protocolos. Esto puede suponer un riesgo elevado y debe ser considerado muy cuidadosamente, ya que como podemos ver, IPv6 no ofrece oscuridad y puede acabar siendo un punto de exposición a ataques.
IPv6 Hoy en día
Por otro lado, respecto la pregunta de cuándo llegará IPv6 a nuestro país, ¿alguien tiene la sensación de que IPv6 no termina de llegar nunca? No sois los únicos, mucha gente lo piensa, pero eso tampoco es del todo cierto. Tenemos direcciones IPv6 mucho más cerca de lo que nos pensamos y ya hay que prepararse para ello. En esta charla de nuestro compañero Rafael Sánchez puedes ver cómo montarte tu propia infraestructura para comenzar en el mundo de la seguridad IPv6.
Figura 10: Montarse un escenario de hacking IPv6 por 2 €
Muchas empresas que quieren tener presencia en Internet se apoyan en infraestructuras provisionadas por proveedores de servidores virtuales o VPS. Muchos de estos proveedores, entre ellos los más importantes (Amazon, Digital Ocean o Google Cloud), ofrecen a sus clientes conectividad IPv6 por defecto. Si además tenemos en cuenta que muchos servicios en sistemas Linux se levantan por defecto tanto en IPv4 como en IPv6 (SSH, por ejemplo), obtenemos que cualquier empresa que contrate estos servicios levantará puertos y servicios en redes IPv6, incluso sin ser consciente de ello. De esta forma, podemos ver que efectivamente muchas empresas españolas ya cuentan con servicios escuchando en IPv6.
MrLooquer surge con la finalidad de ser una herramienta útil para los expertos en seguridad en redes enfocada a IPv6, pero no solo eso, también tiene el objetivo de ayudar a entender las relaciones existentes entre entidades tales como: Dominio-IPv4-IPv6-Puerto. Si quieres más información sobre seguridad y hacking IPv6, tienes los siguientes artículos:
Autores: Fran & Rafa, equipo de https://mrlooquer.com (@mrlooquer)
 |
| Figura 1: MrLooquer. Un buscador de servicios sobre IPv6 en Internet |
El comando anterior lanzará diversas pruebas sobre cada una de las direcciones IP que existen dentro de esa subred. En este caso, al ser un /24 significa que hay 8 bits destinados a dar direcciones de host, es decir, 2^8=254 direcciones IP. En este tipo de escaneos se aplica el concepto de fuerza bruta, o lo que es lo mismo, probar todas las 254 opciones posibles. Una red IPv6, sin embargo, tiene habitualmente un /64 al final, y eso significa que hay 2^64 direcciones posibles dentro de esa subred, es decir 18.446.744.073.709.551.616, lo que resulta totalmente inviable de escanear. Y no olvidemos de que se trata de una sola red.
 |
| Figura 2: Documento de IETF con información sobre escaneos en IPv6 |
El resultado es que mucha gente piensa que usar una dirección IPv6 implica que ésta no podrá ser descubierta por un bot-escáner situado en Internet, lo cual nos lleva al peligroso concepto de seguridad por ocultación. Incluso hay gente que dice que esa supuesta oscuridad que ofrece IPv6 ofrece “a lot of security”.
 |
| Figura 3: Opinión sobre las defensas NO necesarias en IPv6 |
Pero esto no es del todo cierto. El pasado tres de marzo se presentó oficialmente en la séptima edición de la conferencia RootedCON el servicio online MrLooquer, que recopila y procesa millones y millones de servicios abiertos en máquinas conectadas a Internet en IPv6. El portal web que ofrece MrLooquer, que también es accesible por API, permite recorrer y visualizar millones de puertos y banners de servicios conectados a IPv6, permitiendo a un analista hacer cosas similares a las que está habituado al hacking con buscadores tipo Shodan, pero centrado en el protocolo IPv6.
 |
| Figura 4: Servicio online MrLooquer |
También permite realizar búsquedas más específicas sobre la infraestructura Big Data que lo soporta para afinar los resultados. Algunos ejemplos de búsquedas::
? Servidores de correo electrónico “Dovecot” escuchando en IPv6: Algunos piensan que todavía no hay muchos servidores de correo conectados a redes IPv6, y esto puede llegar a ser un problema para los mecanismos antispam existentes basados en listas negras. Un usuario con IPv6 podría enviar correos electrónicos utilizando como origen cada una de las 2^64 direcciones IPv6 disponibles. No olvidemos que un usuario residencial con salida a Internet por IPv6 suele tener asignado un /64 como el que hemos visto anteriormente, es decir, tiene 18.446.744.073.709.551.616 direcciones IPv6 públicas para a utilizar a su voluntad. Por tanto, los mecanismos actuales de control basados en listas negras IP no pueden funcionar de la misma forma con IPv6, y necesitan ser revisados para, por ejemplo, filtrar por rangos /64, con las implicaciones que esto conlleva.
 |
| Figura 5: Lista de servidores Dovecot escuchando sobre IPv6 |
? Busqueda de servidores DNS: Podemos encontrar fácilmente servidores DNS escuchando en IPv6 con el filtro “port:53” (para usar este tipo de filtros es necesario registro, también gratuito). Observando los resultados de la búsqueda podemos preguntarnos si estos servidores podrían ser utilizados para lanzar ataques de denegación de servicio amplificados, y si los mecanismos de protección actuales contra este tipo de ataques están preparados para manejar ataques lanzados desde redes IPv6.
 |
| Figura 6: Servidores DNS sobre IPv6 |
? Busqueda de servidores DNS vulnerables: MrLooquer también permite conocer el grado de exposición de servicios afectados por una determinada vulnerabilidad escuchando en IPv6. Por ejemplo, en el caso de servidores DNS, podríamos realizar una búsqueda más dirigida para obtener equipos potencialmente afectados por la vulnerabilidad publicada recientemente relativa al servidor de nombres DNS Bind9 (CVE-2016-2088). Se trata de una vulnerabilidad que permite causar una denegación de servicio (DoS) mediante el envío remoto de un paquete malformado usando DNS Cookies.
 |
| Figura 7: Bug de DoS en servidores DNS |
Mediante un sencilla búsqueda en MrLooquer podemos obtener un listado de servicios potencialmente afectados por esta vulnerabilidad escuchando en IPv6. De nuevo, nos surge la pregunta de si las políticas de seguridad usadas actualmente para proteger los sistemas de este tipo de ataques en IPv4 se están actualizando para redes IPv6:
 |
| Figura 8: Servidores DNS potencialmente vulnerables |
? Búsqueda de servicios: También podemos encontrar servicios tecnológicamente más actuales tales como gestores de colas RabbitMQ buscando el puerto 6379. Precisamente Daniel García presentó también en la última edición de RootedCon un ataque de inyección de comandos sobre este tipo de servicios cuando están mal configurados.
 |
| Figura 9: Servidores RabbitMQ sobre IPv6 |
? Relación de direcciones IPv4&IPv6: MrLooquer también ofrece una característica muy interesante para cualquier analista de seguridad, que es la capacidad de relacionar entidades IPv6 con direcciones IPv4 y dominios. Esto hace posible descubrir cómo las organizaciones están adoptando IPv6 y cómo en algunos casos las políticas de seguridad no están siendo aplicadas de igual forma para servicios escuchando en cada uno de los protocolos. Esto puede suponer un riesgo elevado y debe ser considerado muy cuidadosamente, ya que como podemos ver, IPv6 no ofrece oscuridad y puede acabar siendo un punto de exposición a ataques.
 |
| Figura 10: Relación de servicios y direcciones IPv4 & IPv6 |
Por otro lado, respecto la pregunta de cuándo llegará IPv6 a nuestro país, ¿alguien tiene la sensación de que IPv6 no termina de llegar nunca? No sois los únicos, mucha gente lo piensa, pero eso tampoco es del todo cierto. Tenemos direcciones IPv6 mucho más cerca de lo que nos pensamos y ya hay que prepararse para ello. En esta charla de nuestro compañero Rafael Sánchez puedes ver cómo montarte tu propia infraestructura para comenzar en el mundo de la seguridad IPv6.
Figura 10: Montarse un escenario de hacking IPv6 por 2 €
Muchas empresas que quieren tener presencia en Internet se apoyan en infraestructuras provisionadas por proveedores de servidores virtuales o VPS. Muchos de estos proveedores, entre ellos los más importantes (Amazon, Digital Ocean o Google Cloud), ofrecen a sus clientes conectividad IPv6 por defecto. Si además tenemos en cuenta que muchos servicios en sistemas Linux se levantan por defecto tanto en IPv4 como en IPv6 (SSH, por ejemplo), obtenemos que cualquier empresa que contrate estos servicios levantará puertos y servicios en redes IPv6, incluso sin ser consciente de ello. De esta forma, podemos ver que efectivamente muchas empresas españolas ya cuentan con servicios escuchando en IPv6.
 |
| Figura 11: Empresas españolas con IPv6 |
MrLooquer surge con la finalidad de ser una herramienta útil para los expertos en seguridad en redes enfocada a IPv6, pero no solo eso, también tiene el objetivo de ayudar a entender las relaciones existentes entre entidades tales como: Dominio-IPv4-IPv6-Puerto. Si quieres más información sobre seguridad y hacking IPv6, tienes los siguientes artículos:
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)En el futuro, MrLooquer evolucionará en este sentido utilizando tecnologías de visualización de relaciones mediante grafos y métodos de análisis avanzados para ofrecer a los usuarios la posibilidad de descubrir el grado de exposición de las organizaciones en el complejo panorama de Internet.
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Hackeado en IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Ataque de Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes IPv6
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6)-HTTPs(IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector
- Evil FOCA liberada bajo licencia Open Source
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Implementación de Iddle Port Scanning con IPv6
- Detección de IPv6 en Internet: Cada vez hay más sitios
- Detección de Happy Eyeballs en la red
- Ataque ICMPv6 Redirect: man in the middle a Android, OS X & iPhone
- Implementación de ataques "Delorean" a HSTS
Autores: Fran & Rafa, equipo de https://mrlooquer.com (@mrlooquer)
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Thursday, December 8, 2016
Calendario en Mayo para estar al día en Seguridad Informática Conferencias Hacking
Calendario en Mayo para estar al día en Seguridad Informática Conferencias Hacking
La segunda quincena de Mayo viene cargada de actividad, así que antes de que se me pase más tiempo os dejo la lista completa de actividades en las que voy a estar yo, o participamos desde Eleven Paths o desde 0xWord, para que estéis informados hasta el último detalle y no os perdáis nada que no queráis perderos. Esta es la lista de cosas que tenemos planificadas.
 |
| Figura 1: Calendario en Mayo para estar al día en Seguridad Informática |
Eleven Paths Talks [Online]
Durante este mes de Mayo tendremos tres sesiones más impartidas por nuestros CSA. Una de ellas será en inglés y las otras dos en español. Estas son a las que te puedes apuntar gratuitamente:
- 12 de Mayo: Defensa en Profundidad
- 19 de Mayo: The ISF Standard of Good Practice for Information Security
- 26 de Mayo: Deep Web
Todas las sesiones quedan grabadas y las puedes ver otra vez online. Yo las voy recopilando en este artículo de la web: Sesiones de Eleven Paths Talks grabadas
Figura 2: Eleven Paths Talks
Masterclass en la UEM [Villaviciosa de Odón & Online]
Como todos los años, dentro de las actividades del Máster de Seguridad de la UEM, yo suelo impartir una conferencia gratuita para todo el mundo en la universidad. Este año será el 18 de Mayo por la tarde en Villaviciosa de Odón, pero podrás seguirla online por streaming como es habitual.
 |
| Figura 3: 18 de Mayo, Masterclass en la UEM |
Para asistir debes registrarte previamente que el número de plazas es limitado. La sesión será sobre la gestión de la seguridad y la función de los responsables de seguridad en las organizaciones.
MGS Seguros [Barcelona]
El 19 de Mayo participaré en un evento con MGS Seguros en Barcelona, dando una charla sobre estafas en Internet y las precauciones que deben seguirse. Este evento creo que es privado, así que no sé si podréis apuntaros. Os informo si hay cambios.
Locard Cyber Security Summit [Estambul]
Como ya se ha publicado, el próximo 20 de Mayo participaré, mediante una charla de Vídeo Conferencia, en la jornada que va a tener lugar en Estambúl. Será el evento Locard Cyber Security Summit, y por desgracia no podrás seguirla vía streaming este año.
X1Red+Segura [Madrid]
También el 20 de Mayo participaré con una charla en las jornadas de X1Red+Segura que organiza el gran Angelucho con pasión, animo de ayudar y energía. El evento será en Madrid y puedes apuntarte en la web de las jornadas.
The Security Sentinel [Online]
Durante el mes de Mayo, el calendario de cursos online de The Security Sentinel, en los que se entrega como material los libros de 0xWord, será el siguiente:
- 23 de Mayo: Curso Online de Hacking Ético Avanzado
- 30 de Mayo: Curso Online de Análisis Forense Informático
Además, sigue abierto la matricula al Curso Universitario Online de Especialización en Perito Forense Informático que se da con la Universidad Europea Miguel de Cervantes.
Seguridad en IoT [Madrid]
El día 25 de Mayo, dentro de la II Feria del empleo en mundo digital 2016, tendrá lugar el Congreso de Inteligencia Artificial i.a.RTe Digital en el que tendrá lugar por la tarde una mesa de debate sobre la seguridad en el mundo IoT donde yo participaré. Tienes toda la información en la web.
Security Day 2016_: Security Evolution [Madrid]
El 26 de Mayo tenemos un día importante en Eleven Paths ya que hacemos una puesta en común con nuestros clientes para enseñarles los avances tecnológicos en los que hemos estado trabajando, las novedades en los servicios ya existentes y alguna sorpresa más. El registro está casi lleno, así que si deseas venir, regístrate cuanto antes.
 |
| Figura 4: Security Day 2016_ |
Tal vez hay algún cambio más durante este tiempo, pero ya os avisaré. Como resumen día a día, esta es la lista completa de las cosas que tenemos por delante. La leyenda es [G] Gratuito y [*] que significa que yo participo.
11 de Mayo: Fundación Rais [Alcobendas] [G][*]Saludos Malignos!
12 de Mayo: Eleven Paths Talks - Defensa en Profundidad [Online] [G]
18 de Mayo: Masterclass UEM [Villaviciosa de Odón & Online] [G][*]
19 de Mayo: MGS Seguros [Barcelona][*]
19 de Mayo: Eleven Paths Talks - The ISF Standard (ENG) [Online][G]
20 de Mayo: Locard Cyber Security Summit [Estambul][*]
20 de Mayo: X1Red+Segura [Madrid][G][*]
23 de Mayo: Curso Hacking Ético Avanzado [Online]
25 de Mayo: Seguridad en IoT [Madrid][*]
26 de Mayo: Eleven Paths Security Day 2016 [Madrid][G][*]
26 de Mayo: Eleven Paths Talks - Deep Web [Online][G]
30 de Mayo: Curso Análisis Forense Informático [Online]
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Tuesday, December 6, 2016
Examen del Máster de Seguridad de la UEM 2016
Examen del Máster de Seguridad de la UEM 2016
Como viene siendo tradición, un año más he vuelto a "torturar" a mis alumn@s con un examen al final del módulo dedicado a la seguridad de las aplicaciones. No me gusta ser excesivamente maligno, así que más o menos pongo siempre los mismos exámenes pero cambiando las preguntas porque, en este módulo de 16 horas, yo quiero que se lleven claros algunos conceptos básicos fundamentales. Estas son las preguntas que les tocó responder ayer a última hora. Anímate a responderlas.
A ver si saco algo de tiempo para responderlas yo - y las del último examen que también las dejé sin responder - para que tengáis la información completa. Al final os dejo la lista de exámenes de años anteriores.
Saludos Malignos!
 |
| Figura 1: Examen del módulo de Seguridad en las Aplicaciones del Máster de Seguridad de la UEM. Curso 2015 -2016 |
A ver si saco algo de tiempo para responderlas yo - y las del último examen que también las dejé sin responder - para que tengáis la información completa. Al final os dejo la lista de exámenes de años anteriores.
1.- Tu organización dispone de una aplicación web de cara a internet consistente en ofertar productos y servicios con pasarela de pago propia desarrollada para una plataforma Java utilizando tecnologías Linux. Los datos de registro de los clientes, así como los pedidos solicitados se almacenan en una base de datos MySQL de la empresa, gestionando todo el proceso a través de la lógica de negocio. ¿Qué mecanismos de protección consideras que deberían implantarse en cuanto a la arquitectura de servidores y servicios se refiere? Cita reglas generales de fortificación y algunas medias concretas que creas convenientes para implantar.
2.- Una aplicación web de una empresa proporciona un proceso de autenticación que sospechamos un tanto curioso. Al analizar el código fuente de la página, vemos que la aplicación utiliza para el proceso de autenticación un Applet de Java con extensión JAR. Tras probar varios intentos de inicio de sesión, detectamos que no se produce Post-Back al servidor. ¿Qué fallo de seguridad podría tener esta aplicación y cómo debería investigarse?
3.- En qué consiste un ataque de tipo SQL Injection inband a una aplicación web. Pon algún ejemplo para sacar la lista de usuarios Tabla_USERS[Campo_Login, Campo_Password] de una web en un entorno vulnerable.
4.- Describe en qué consisten los ataques de Time-Based Blind SQL Injection y con qué tipo de funciones o métodos pueden realizarse en los motores de base de datos SQL Server, MySQL, Oracle y Access.
5.- Describe con tus palabras en qué consisten los ataques de LFI y cómo los podrías descubrir en una aplicación web durante un proceso de auditoría.
6.- Una aplicación web en PHP con MySQL es vulnerable a SQL Injection. Se quiere extraer la versión de Mysql realizando un ataque de Blind SQL injection. Describe el proceso que habría que realizar.
7.- En una aplicación web, la aplicación autentica a los usuarios con un árbol LDAP, para ello, cada usuario tiene un atributo uid y un atributo password. El programador ha filtrado el * y utiliza la función crypt antes de usar la contraseña en una consulta AND LDAP como ésta.
V_username: valor de usuario introducido en la página web por el cliente.
V_passwd: valor de contraseña introducido en la página web por el cliente.
C_passwd =crypt(v_passwd)
Consulta que da acceso o no a la aplicación:
(&(uid=+v_username+)(password=+c_passwd+))
¿Con qué inyección LDAP conseguirías entrar si la se está utilizando un árbol LDAP basado en OpenLDAP?
8.- Como administrador del sistema de tu organización, una mañana monitorizas que el antivirus corporativo reporta un malware en un directorio local del servidor donde tu empresa tiene alojado el sitio web. El archivo en cuarentena es un fichero denominado C99.php. ¿Qué tipo de ataque estás sufriendo y qué fallo o fallos de seguridad se ha/n podido aprovechar?
9.- Describe un posible método para robar una cookie marcada como HTTP-Only con un ataque de XSS y describe en qué entornos funcionaría.
10.- Describe como se puede hacer un proceso de hijacking de sesión a un usuario de una red social en la que las cookies no vayan por HTTP-s si en la web no se ha descubierto ninguna vulnerabilidad de código (ni SQLi, ni XSS).
Tiempo: 1 horaPor si te animas a seguir, aquí tienes los exámenes de años anteriores, que también los he ido publicando en el blog.
- Examen Máster de Seguridad de la UEM 2009-2010
- Examen Máster de Seguridad de la UEM 2010-2011
- Examen Máster de Seguridad de la UEM 2011-2012
- Examen Máster de Seguridad de la UEM 2012-2013
- Examen Máster de Seguridad de la UEM 2013-2014
- Examen Máster de Seguridad de la UEM 2013-2014 (Herramientas auditoría)
- Examen Máster de Seguridad de la UEM 2014-2015
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Monday, October 3, 2016
Eventos de seguridad para Latinoamérica Chile Online
Eventos de seguridad para Latinoamérica Chile Online
Además de los eventos, cursos y charlas que ya os anuncié que había para el mes de Julio, hay un par de ellos nuevos, centrados en latinoamérica, que se han metido en agenda, y que, aprovechando que estamos en domingo, os anuncio rápidamente. Eso, y dejaros la reseña de que al final, el sueño de tener una oficina de Eleven Paths en la región se ha cumplido y ya hemos abierto la oficina de Eleven Paths Buenos Aires.
 |
| Figura 1: Eventos de Seguridad para Latinoamérica |
El primero de ellos es un evento de Eleven Paths que van a realizar nuestros compañeros de Telefónica Chile en conjunción con Gabriel Bergel (@gbergel), nuestro CSA de Eleven Paths en Chile y que está planificado para este martes 12 de Julio en la ciudad de Antofagasta. La agenda del evento y la información de cómo apuntarse la tenéis en la siguiente invitación.
 |
| Figura 2: Evento de seguridad en Antofagasta, Chile |
El segundo de ellos es un evento online que organiza Microsoft Latam en el que también participaré yo. Será el próximo 27 de Julio, con un formato Online, y tendrá 6 sesiones de una hora en la que se harán entrevistas y preguntas a los ponentes.
 |
| Figura 3: Agenda de las Microsoft Sessions del 27 de Julio |
En el evento está también Belisario Contreras (@belisarioc), Cyber Security Program Manager en la Organización de Estados Americanos. Esta que ves en la imagen superior es la agenda de las Microsoft Sessions.
Saludos Malignos!
PD: Aprovecho para recordaros que aún está abierto la campaña de Verano 2016 de 0xWord para adquirir libros con un 10% de descuento, pero que este mismo martes termina el plazo. Luego comenzará el cierre de verano de la tienda.
PD: Aprovecho para recordaros que aún está abierto la campaña de Verano 2016 de 0xWord para adquirir libros con un 10% de descuento, pero que este mismo martes termina el plazo. Luego comenzará el cierre de verano de la tienda.
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Saturday, October 1, 2016
Microsoft gestiona mejor el log de seguridad que Google Gmail Outlook
Microsoft gestiona mejor el log de seguridad que Google Gmail Outlook
Hace tiempo que publiqué el artículo que explicaba que cuando usas Google Authenticator, si no haces ningún intento de resolver el valor del TOTP, Google no te deja ningún rastro. Esto es una mala idea de seguridad porque entonces nunca serías consciente de que alguien te ha robado la contraseña y está solo a un paso - robarte el segundo factor con alguno de los trucos que contaba ayer - de quitarte tu cuenta. Hoy quise revisar cómo gestiona Microsoft esta situación en Hotmail, a.k.a Windows Live Mail, a.k.a. Outlook.com, para ver si lo hacía bien o lo hacía mal. Y lo hace mejor que Google.
 |
| Figura 1: Microsoft gestiona mejor el log de seguridad que Google |
Si has visto el título, ya te podrás imaginar que en este caso, el log de tu cuenta de Microsoft sí que refleja correctamente la situación que yo que describo. Para comprobarlo, tenemos que ir a la página de Actividad Reciente de tu cuenta, donde que da información de todos los accesos que se hacen a ella y veremos el último acceso correcto a la cuenta - he borrado toda la información anterior, así que solo me muestra el último acceso -.
 |
| Figura 2: Entrada en el log de Outlook.com de una sesión abierta en al cuenta. |
Ahora vamos a abrir otra sesión desde otro navegador en Modo Incógnito y ponemos correctamente la contraseña, pero nos quedamos en la parte donde se nos solita la verificación del segundo factor de autenticación - que en este caso es un OTP vía SMS o vía e-mail asociado -. Y no respondemos nunca a esta pregunta porque somos un atacante y aún no hemos resuelto el problema de robar el 2nd Factor Authentication.
 |
| Figura 3: Petición de verificación del 2nd Factor Authentication |
Si refrescamos el listado al que podemos acceder vía Actividad Reciente en nuestra cuenta de Microsoft, veremos que ahora aparece una entrada con el identificador de "Security Challenge", lo que refleja justo esta situación.
 |
| Figura 4: Descripción de esta situación donde se pide el 2FA. No importa si el atacante no introduce ningún valor. |
Si nos vamos a la ayuda de Microsoft veremos que el log al que podemos acceder es de lo más florido y refleja cualquier situación de seguridad que haya tenido que ver con nuestra cuenta. Desde el acceso correcto o el Security Challenge hasta cualquier cambio que suceda en alguna de las propiedades de seguridad de la cuenta. La lista completa la tienes haciendo clic en la imagen.
 |
| Figura 5: Todas las entradas posibles en el log de Microsoft Outlook.com |
En definitiva, que me gusta más este log que el que tiene Google, aunque por desgracia la mayoría de los usuarios no revisan estos detalles de su cuenta periódicamente. Aquí os dejé unas acciones extras para saber si te estaban espiando tu cuenta de Hotmail/Live/Outlook o Gmail ahora mismo.
Saludos Malignos!
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Saturday, August 20, 2016
Introspection Snowden Edward Snowden diseña un dispositivo de seguridad para saber si te espían el móvil
Introspection Snowden Edward Snowden diseña un dispositivo de seguridad para saber si te espían el móvil
Así se llama el dispositivo que Andrew ‘bunnie’ Huang y Edward Snowden han presentado al mundo. Introspection. Un dispositivo de seguridad que se acopla a tu terminal móvil para monitorizar si en cualquier momento está emitiendo señales de comunicación a bajo nivel que no deberían estar realizándose. Es decir, para ver si tu terminal móvil está enviando información en contra de tu voluntad, y para evitar capas de software que pudieran estar controladas, y software corriendo en los chips que pudiera estar controlado - recordad el escándalo con los chips Intel que está bajo estudio ahora mismo - directamente monitoriza las señales en los buses a nivel físico.
Como digo, el dispositivo se acopla a nivel físico para poder medir las señales de los buses de comunicación del hardware que son utilizados por los elementos de comunicación de un terminal, como son las conexiones WiFi, BlueTooth, las comunicaciones GSM, 2G, 3G, 4G, las conexiones RF o el mismo GPS. En esta imagen se ve cómo se conecta físicamente a la circuitería del terminal iPhone para monitorizar los buses con unos cables que salen debajo de la zona de la SIM.
En cada terminal hay que hacer una serie de conexiones y debería hacerse por gente especializada. Monitorizar los buses es la única forma que es 100% de fiar, según explican, para poderse fiar de un terminal que ha sido puesto en modo avión y del que no se espera ninguna conexión. Para ello, miran los buses utilizados de todos los elementos de comunicación. La siguiente tabla recoge la lista de sistemas de comunicación y buses monitorizados por su sistema. Como curiosidad, la tabla publicada tiene las típicas marcas del corrector ortográfico de Microsoft Word (una de "metadata leakage" en el post).
A partir de ese momento, Introspection auditará todas las señales para detectar tráfico en los buses de estas señales que se produzcan cuando no deberían producirse porque el terminal está en modo avión. Esto garantizaría que durante los instantes que el usuario quiera, el terminal no emite ninguna señal lo que evitaría que se pudiera localizar por medio de los múltiples caminos que existen: GPS, trilateración de antenas de comunicación, trilateración de redes WiFi, etcétera.
En la figura superior se puede ver cómo los buses de comunicación dejan de emitir señales cuando están en modo avión, así que si están emitiendo significaría que no está en modo avión de verdad y alguien podría estar recibiendo la información del terminal, y por tanto la ubicación del mismo en el mundo.
El objetivo es que fabricantes, operadores, o personal cualificado pueda inspeccionar el software que corre en Introspection, que puedan analizar el hardware con que se construye y que puedan instalarlo ellos sin necesidad de contar con los fabricantes que proveen los teléfonos. Para ello, el diseño se presenta como un recargador de batería extra, tal y como se ve en la fotografía.
La conexión se podrá hacer a través de un nexo entre las conexiones físicas que se hacen internamente en el dispositivo y los circuitos de Introspection. Aquí la conexión que es necesaria en un iPhone, que es uno de los dispositivos de los que Edward Snowden no se fía por haber aparecido también en el programa PRISM. Al final la propuesta que hace Introspection es meterse en las capas más bajas posibles para saber si te están monitorizando e ir a por las señales físicas parece que es lo más fiable a día de hoy, porque lo demás todo se puede troyanizar por una capa inferior. Eso sí, esto no protegerá de todo el hacking de comunicaciones móviles que se produzca desde fuera.
Saludos Malignos!
 |
| Figura 1: Introspection. Edward Snowden diseña un dispositivo de seguridad para saber si te espían el terminal móvil. |
Como digo, el dispositivo se acopla a nivel físico para poder medir las señales de los buses de comunicación del hardware que son utilizados por los elementos de comunicación de un terminal, como son las conexiones WiFi, BlueTooth, las comunicaciones GSM, 2G, 3G, 4G, las conexiones RF o el mismo GPS. En esta imagen se ve cómo se conecta físicamente a la circuitería del terminal iPhone para monitorizar los buses con unos cables que salen debajo de la zona de la SIM.
 |
| Figura 2: Conexión cableada de Introspection en un iPhone |
En cada terminal hay que hacer una serie de conexiones y debería hacerse por gente especializada. Monitorizar los buses es la única forma que es 100% de fiar, según explican, para poderse fiar de un terminal que ha sido puesto en modo avión y del que no se espera ninguna conexión. Para ello, miran los buses utilizados de todos los elementos de comunicación. La siguiente tabla recoge la lista de sistemas de comunicación y buses monitorizados por su sistema. Como curiosidad, la tabla publicada tiene las típicas marcas del corrector ortográfico de Microsoft Word (una de "metadata leakage" en el post).
 |
| Figura 3: Lista de señales monitorizadas |
A partir de ese momento, Introspection auditará todas las señales para detectar tráfico en los buses de estas señales que se produzcan cuando no deberían producirse porque el terminal está en modo avión. Esto garantizaría que durante los instantes que el usuario quiera, el terminal no emite ninguna señal lo que evitaría que se pudiera localizar por medio de los múltiples caminos que existen: GPS, trilateración de antenas de comunicación, trilateración de redes WiFi, etcétera.
 |
| Figura 4: Señales de bus FE1 en modo avión y en modo comunicación. |
En la figura superior se puede ver cómo los buses de comunicación dejan de emitir señales cuando están en modo avión, así que si están emitiendo significaría que no está en modo avión de verdad y alguien podría estar recibiendo la información del terminal, y por tanto la ubicación del mismo en el mundo.
 |
| Figura 5: Diseño de cómo sería el funcionamiento de Introspection |
El objetivo es que fabricantes, operadores, o personal cualificado pueda inspeccionar el software que corre en Introspection, que puedan analizar el hardware con que se construye y que puedan instalarlo ellos sin necesidad de contar con los fabricantes que proveen los teléfonos. Para ello, el diseño se presenta como un recargador de batería extra, tal y como se ve en la fotografía.
 |
| Figura 6: Conexión externa e interna en un iPhone |
La conexión se podrá hacer a través de un nexo entre las conexiones físicas que se hacen internamente en el dispositivo y los circuitos de Introspection. Aquí la conexión que es necesaria en un iPhone, que es uno de los dispositivos de los que Edward Snowden no se fía por haber aparecido también en el programa PRISM. Al final la propuesta que hace Introspection es meterse en las capas más bajas posibles para saber si te están monitorizando e ir a por las señales físicas parece que es lo más fiable a día de hoy, porque lo demás todo se puede troyanizar por una capa inferior. Eso sí, esto no protegerá de todo el hacking de comunicaciones móviles que se produzca desde fuera.
Saludos Malignos!
Sigue Un informático en el lado del mal - Google+ RSS 0xWord
Available link for download
Subscribe to:
Posts (Atom)