Khaled Mardam-Bey - mIRC

Si hay algo que destacar sobre mi adolescencia son aquellas largas horas de chateo en los servidores irc de terra. Mi primer acercamiento a irc fue a través de un cliente de Microsoft llamado Comic Chat, el cual pronto deje de lado por el famoso y popular cliente mIRC, aquel cliente que me inició en la programación a través de sus script. Es por ello que hoy a modo de tributo publicare la biografía de Khaled Mardam-Bey, la persona que sale en el about del mIRC y que en aquellas primeras versiones hacia un gracioso sonido al presionar su nariz.

Articulo original extraído de Wikipedia

Biografia

Khaled Mardam-Bey, nacido el 19 de marzo de 1968, es el creador del mIRC, un popular cliente IRC para Windows. Nacido en Amán, Jordania, es hijo de padre sirio y madre palestina. Actualmente reside en Londres, Inglaterra.

Vida privada

En su página web personal revela que antes de que desarrollara el mIRC, estudiaba para un master en ciencia cognoscitiva en una universidad sin especificar - se cree que puede ser la Universidad de Westminster (miembro de la escuela politécnica de Londres central).^{[cita requerida]} Dice que acababa de comenzar a trabajar en su tesis cuando decidió escribir un cliente pequeño de IRC. Llegó a ser popular y en una manera similar a Bill Gates, dejó los estudios y se centró en su trabajo sobre mIRC.

Es vegetariano y le gusta el ajedrez y la lectura. También tiene interés en la poesía palestina, la inteligencia artificial y los conflictos políticos que implican a Palestina y da su solución para esto en su página web. Khaled elige mantener su vida personal en privado y no tiene intenciones de conceder entrevistas.

mIRC

Khaled decidió crear el mIRC porque encontraba al primer cliente de IRC para Windows, WinIRC, carente de algunas características básicas del IRC. Entonces continuó desarrollándolo debido al desafío que suponía y al hecho de que la gente apreciaba su trabajo. La subsiguiente popularidad le permite vivir del mIRC. Cuesta $20 registrarlo. El diseño del mIRC representa el punto de vista minimalista de Khaled.

El mIRC fue actualizado por última vez con la versión 7.32.

 

 

leer artículo

¿Cómo me puedo infectar con tan solo visitar un sitio web?

¿Te has preguntado cómo es posible que con sólo abrir una página web o un fichero creado para la ocasión, los delincuentes sean capaces de aprovecharse de una vulnerabilidad y tomar el control de un ordenador? Podemos tomar un ejemplo algo reciente de esto en el fallo de Internet Explorer descubierto hace unos meses. Un objeto Flash especialmente preparado que permite a un atacante tomar control de tu equipo como por arte de magia.

¿Qué está pasando en realidad en estos ataques? En este artículo extraído de "Gambeta" vamos a tratar de explicar sus fundamentos básicos: las técnicas que se usan en la práctica son bastante más complejas y enrevesadas, pero siempre responden a la misma idea, que es que se sobreescriban ciertos datos en memoria.

¿Cómo ejecuta un ordenador un programa?

Antes de entrar en materia tenemos que repasar un poquito, de manera simplificada, cómo funcionan los ordenadores y cómo ejecutan los programas.

[caption id="attachment_1778" align="aligncenter" width="334"] Un programa simple. En cursiva, las "instrucciones" para el procesador.[/caption]

Los programas son, a grandes rasgos, un montón de instrucciones puestas una detrás de otra para que el procesador las ejecute. Supongamos que tenemos nuestro programa "Hola Mundo", el de la imagen de arriba, que simplemente pide al usuario que introduzca una cadena e imprima otra por pantalla. Ahí ves las instrucciones1 que ejecutaría el procesador junto con los datos necesarios, que están guardados en los tres primeros huecos.

Cuando ejecutemos el programa, el sistema operativo lo pondrá en una posición de memoria cualquiera, y le dirá al procesador que empiece a ejecutar las instrucciones a partir de la dirección 3, que es donde empieza el código que queremos ejecutar. Cuando termine, nuestro programa devolverá el control al sistema operativo con la última instrucción.

Básicamente así son todas las funciones en un programa. Una sección con datos, un código a ejecutar y una última instrucción para volver a la función anterior, cuya dirección está guardada en una posición de memoria.

¿Y si me paso al escribir?

Algún lector avispado habrá detectado ya el posible fallo en el programa anterior. Al procesador no le hemos dicho cuánto espacio tiene en la dirección 0 para guardar una cadena. ¿Qué pasa si yo escribo una cadena muy larga y guarda más de lo que puede? Pues lo que ves en la siguiente imagen.

El procesador, que es muy obediente (o estúpido, según se mire) copia la cadena de texto, y si no le dices donde parar, el procesador no se detiene y sigue escribiendo, aunque sobreescriba otras cosas. En este caso, podéis imaginar que ahora, en lugar de escribir "Hola mundo" escribirá lo que haya quedado en esa segunda posición, en este caso "larga y me he pasado".

Como curiosidad esto está bien pero no tiene mucho de fallo de seguridad. De momento. ¿Qué pasa si ponemos una cadena más larga aún? Sobreescribiría la dirección 2, que dice dónde tiene que volver. Es decir, que cuando el procesador llegue a la última instrucción volverá a una dirección aleatoria, la que indique el valor que haya quedado sobreescrito en esa posición.

Ese es el primer paso para aprovecharse de los fallos: poder controlar qué es lo siguiente que va a ejecutar el procesador. El segundo es introducir el código que quiera ejecutar el atacante. Para ello, en lugar de una cadena normal introducimos una cadena que, en binario, son instrucciones para el procesador. Por continuar con nuestro programa de ejemplo, si introdujésemos "descarga malware.com, ejecuta el descargable, 0" nos quedaría algo como esto en memoria:

El procesador ejecutará la función normalmente. Cuando llegue al final, en lugar de volver a donde tenía que regresar, empezará a ejecutar las instrucciones que hay a partir de la posición 0, es decir, las que el atacante ha querido introducir.

Así de simple es este tipo de vulnerabilidad, también llamada de buffer overflow. Nos aprovechamos de un fallo en un programa que no comprueba bien hasta dónde escribe para sobreescribir ciertos datos que luego nos den el control sobre la ejecución (lo que se suele llamar un shellcode).

Por supuesto, en la realidad esto no es tan fácil, pero la idea básica es la misma. El problema de verdad no es las simplificaciones que hagamos aquí, sino las protecciones del sistema operativo.

DEP: Eso no se toca

[caption id="attachment_1781" align="aligncenter" width="470"] Problema resuelto. Bueno, casi.[/caption]

Desde hace unos años, los principales sistemas operativos cuentan con mecanismos de protección frente a este tipo de fallos, siendo el principal Data Execution Prevention (DEP, prevención de ejecución de datos). Con DEP, el sistema operativo impide que se ejecute nada en la parte de datos, de tal forma que aunque consigamos desbordar un búfer y sobreescribir la dirección de retorno, no seremos capaces de ejecutar nuestro código.

DEP dificulta mucho pero no termina de impedir la explotación de fallos de este tipo. Quizás no podamos ejecutar código que metamos nosotros, pero eso no quita que un programa tenga otro montón de funciones interesantes que podemos ejecutar. Por ejemplo, system, que permite ejecutar un comando cualquiera del sistema. Si modificamos la dirección de retorno (en el código de antes, el número en la instrucción 2) podemos hacer que se ejecuten funciones del sistema con los parámetros que queramos, y así tomar control de la ejecución.

Este tipo de ataques se denominan return-to-libc, y aunque así explicados parecen sencillos, no lo son tanto. El principal problema es que tenemos que saber en qué dirección está la función que queremos llamar, algo difícil teniendo en cuenta que sistemas operativos modernos tratan de distribuir aleatoriamente (el nombre técnico es Address Space Layout Randomization) la posición de estas funciones para evitar precisamente ese tipo de ataques.

¿Cómo funcionaba el exploit de Internet Explorer?

Hasta ahora hemos visto lo básico de este tipo de fallos y cómo un atacante puede ejecutar código en nuestro sistema sólo con hacernos abrir un archivo o ver una página web. Por supuesto, hay técnicas muchísimo más avanzadas como Return-OrientedProgramming, que permite ejecutar cualquier cosa sólo manipulando las direcciones de retorno, usando pedazosde códigos de librerías conocidas.

Pero ya que hemos empezado hablando de Internet Explorer, vamos a acabar el artículo hablando también de él y explicando el fallo que ha sufrido. FireEye ha publicado un análisis de cómo funciona el enrevesado exploit, nosotros vamos a verlo simplificado.

El primer paso es poner a ejecutar un archivo SWF (Flash), que crea varios objetos en memoria. Después, llama a una función de Javascript de Internet Explorer. Esta función tiene un fallo, y es que permite sobreescribir el campo que indica la longitud de un objeto en Flash.

Los atacantes no dejan nada al azar, por supuesto. Los objetos están creados de tal forma que tengan una distribución especial en memoria. Casualmente, el objeto que está detrás de nuestra cadena es un archivo de sonido que, entre otras cosas, tiene campos con direcciones de funciones a las que llamar para realizar ciertas tareas (técnicamente, esos campos pertenecen a la tabla de métodos virtuales).

Sobreescribe uno de esos campos con una llamada a la función de Windows ZwProtectVirtualMemory, que entre otras cosas puede desactivar la protección DEP de segmentos de memoria (siempre y cuando la política de seguridad lo permita, claro).

A partir de aquí todo va cuesta abajo y sin frenos. Sin protección de ejecución de datos y con acceso a la memoria, el exploit añade varias instrucciones que arreglan el estropicio y limpian las huellas, y que después descargan el malware de verdad como una imagen. FireEye no da muchos más detalles de qué hace ese archivo adicional, pero ya podéis imaginar que no es nada bueno.

Hasta aquí este artículo. Esperamos que haya servido como una introducción interesante a este tipo de ataques. Como siempre, si tenéis dudas o sugerencias podéis plantearlas en los comentarios.

Articulo original: Gambeta

leer artículo

Estación Espacial Internacional posee un robot que se auto-repara

La Estación Espacial Internacional, se ha equipado con un robot canadiense conocido como Dextre, cuya función será reparar la mano robótica 'Canadarm2'. Dextre es considerado como el primer robot de auto-reparación en el espacio, según la Agencia Espacial Canadiense.

La Estación Espacial Internacional (ISS, por su sigla en inglés), se ha equipado con un robot canadiense conocido como 'Dextre', el cual servirá para reparar la mano robótica 'Canadarm2', que está asociada a la Estación.

La Agencia Espacial Canadiense destacó que 'Dextre' es el primer robot de auto-reparación en el espacio, destacando que “el trabajo de esta semana va a sentar las bases para el futuro, cuando un día se envíen robots para reparar, repostar y cambiar la posición de los satélites en órbita”.

El supervisor de control de la misión de la Agencia Espacial Canadiense, Mathieu Caron, resaltó que las caminatas espaciales son muy complejas y utilizan una gran cantidad de recursos de la estación espacial, mientras que los robots no necesitan volver al interior de la estación.

La Agencia destacó que con esta innovación se reduce el número de las caminatas espaciales que deben realizar los tripulantes. En caso de un falla técnica los cosmonautas podrán ahorrar tiempo y no salir fuera para repararlo ya que los nuevos dispositivos podrán hacerlo por sí mismos, con una mínima intervención humana, resaltaron.

Fuente: http://www.telesurtv.net/articulos/2014/05/28/estacion-espacial-internacional-es-equipada-con-un-robot-que-se-auto-repara-5822.html

leer artículo

[Libro] BackBox 3 - Iniciación al Pentesting

Libro escrito por Ismael Gonzalez, webmaster de Kontrol0 y autor de la distribución basada en Ubuntu "Blackbox". En este libro se analizan las distintas herramientas de dicha distribución para la realización de Pentesting.

Ver:

BackBox 3 - Iniciación al Pentesting by Ismael González D.

leer artículo

Mirage Anti-Bot - Más vale prevenir que curar

Es un dicho que nos hemos hartado de escuchar: más vale prevenir que curar, cierto y 100% loable, pero ¿y qué pasa cuando no se puede prevenir?

Una vez un sistema ha 'caído' y ha sido comprometido por alguna pieza de malware, asumimos que la primera línea de defensa ha sido ineficaz (llámalo anti-virus, anti-malware o lo que sea)

En esos casos, es bueno tener activadas contra-medidas para hacer menos catastrófico el daño que ha podido causar un espécimen malicioso.

Una buena idea es tener instalado Mirage Anti-Bot, una herramienta que periódicamente actualiza tu fichero hosts insertando dominios que han sido reportados por abuse.ch como relacionados con actividad malware, por ejemplo Zeus o SpyEye.

Esos dominios, al ser insertados en el fichero hosts apuntando a direcciones nulas, quedan inalcanzables y de esa forma se previene que nuestro equipo entre en contacto con los servidores C&C

Una vez seguido el procedimiento de instalación (siguiente, siguiente, siguiente) procedemos a configurar el programa

El primer paso, hacer el update de firmas

Con eso, nuestro fichero hosts ha sido actualizado y contendrá un buen número de hosts bloqueados y que, en caso de que el equipo sea comprometido, al menos no podrán contactar con los servidores de control.

Otra de las funcionalidades curiosas de Mirage es qué, si activamos el 'log' de intentos de conexión a dominios bloqueados, podremos obtener evidencias de que el sistema ha sido comprometido.

En definitiva, una herramienta muy útil y funcional totalmente recomendable

Esta grandiosa publicación fue extraída de:

[embed]http://www.securitybydefault.com/2014/05/mirage-anti-bot-la-ultima-linea-de.html[/embed]

leer artículo

Un bug provocará que los equipos de 32 bits dejen de funcionar en el 2038

De nuevo una grave amenaza se cierne sobre la industria tecnológica. Se trata del llamado "bug del 2038" y consiste básicamente en el hecho de que el reloj de todos los equipos basados en una arquitectura de 32 bits se "reiniciará" el 19 de enero de 2038.

En ese momento, el reloj de los equipos que aún estén en marcha en ese año, pasaría a marcar la fecha del 1 de enero de 1970, fecha de inicio del primer sistema operativo Unix.

El problema viene determinado a que el mayor numero que puede gestionar una plataforma de 32 bits es 2147483647 y si lo aplicamos a los segundos desde la fecha de inicio nos conduce al 19 de enero de 2038.

Los equipos de 64 bits estarían a salvo de este bug pero deberíamos actualizar el software para estos ordenadores ya que en su mayoría corren aplicaciones ideadas para 32 bits.

Fuente: [embed]http://www.noticiasdot.com/wp2/2014/05/25/un-bug-provocar-que-los-equipos-de-32-bits-dejen-de-funcionar-en-el-2038/[/embed]

leer artículo

Un pequeño truco permite seguir recibiendo actualizaciones para Windows XP

Reza la Wikipedia: "Windows Embedded Industry (también llamado Windows Embedded POSReady) es un sistema operativo desarrollado por Microsoft como parte de su línea de productos Windows Embedded diseñados para su uso en equipos industriales, tales como cajas registradoras, cajeros automáticos y cajas de autoservicio." Pues resulta que Windows Embedded POSReady 2009 está basado en Windows XP Service Pack 3 y tiene soporte extendido hasta... ¡el 9 de abril de 2019! 

¿Qué significa ésto? Pues que aunque Windows XP dejó de soportarse oficialmente el pasado 8 de abril, Microsoft tiene que seguir manteniendo actualizaciones para POSReady 2009, un sistema operativo basado en Windows XP, hasta 5 años después.

¿Y si existiera alguna forma de hacer pasar nuestro Windows XP por una versión POSReady 2009?

 

Bingo! Existe un pequeño hack para hacerlo y además al aplicarlo se reciben actualizaciones XP embedded y WEPOS (Windows Embedded POSReady) que, aunque parece que son diferentes, son casi idénticos a los de un XP normal.

Es decir, podrás mantener de momento algo más de seguridad en XP (que por otra parte deberías haber sustituido hace tiempo) al menos hasta que Microsoft haga cambios en cómo se entregan las actualizaciones futuras. Pero bueno, eso mejor que nada ¿no?

Para aplicar el hack en sistemas de 32 bits, crea un archivo de texto con una extensión .reg y el siguiente contenido:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]
    "Installed"=dword:00000001

Después ejecútalo haciendo doble clic en el Explorador de Windows. Una vez hecho ésto, si ejecutas Windows Update, encontrarás varias actualizaciones, como se muestra en la siguiente captura de pantalla:

 

Si tu sistema es de 64 bits tendrás que hacer un pequeño workaround descrito en esta página.

Por último comentar que este método probablemente viola el EULA de Microsoft para XP y debe quedar claro que hay que usarlo con precaución (algunas actualizaciones podrían no funcionar correctamente) y que no tiene ninguna garantía.

Via: http://www.hackplayers.com/2014/05/truco-recibir-actualizaciones-windows-xp.html#more

Fuentes:
- Registry hack enables continued updates for Windows XP
- Embedded Saves the Day

leer artículo

Fallo en Android permite acceso a la cámara y a la localización

Un especialista informático reveló una falla en el sistema operativo móvil Android que permite a cualquiera acceder a la cámara sin que el usuario tenga conocimiento de ello.

Szymon Sidor, el responsable de revelar esta información, publicó un video en YouTube que demuestra la forma en la que el fallo puede ser explotado de manera relativamente sencilla para hacer que algunas apps activen de manera remota la cámara de un smartphone o tableta Android.

En el video se muestra como se vulnera la seguridad de un Nexus 5 sin que se active ninguna alarma o método de seguridad que alerte al usuario de que está siendo observado. Sidor también revela que el material capturado con la cámara del terminal no se almacena en su memoria interna, sino directamente en un servidor externo.

Sin embargo la cámara del aparato no es la única función que puede ser explotada sin permiso de su usuario. En el video se aprecia que el fallo permite conocer el nivel de batería, las conexiones y la localización del aparato a través del GPS.

Ante el descubrimiento, Google anunció que ya se encuentra trabajando en la forma de resolver este problema y así evitar que los usuarios de Android resulten afectados. No obstante, no se conoce cuándo se lanzará el parche que solucione el problema.

Fuente: Noticias Dot

Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz32siKiM73
Under Creative Commons License: Attribution Non-Commercial Share Alike
Mucho más de Seguridad Informática Segu-Info

 

leer artículo

Isla Tortuga, un poco de historia hacking

Quien lleve bastante tiempo en internet y que recorriese en aquellos tiempos sus oscuros rincones habrá oído o en el mejor de los casos habrá conocido Isla Tortuga, aquel portal hacking en la era romántica de la vieja Internet. Aquí les dejo la historia de este sitio, que de seguro a más de alguno le generara nostalgia.

Isla Tortuga nació en 1996 como un portal que ofrecía espacio gratuito a grupos de hacking, phreaking, cracking y virus. La primera página que alojó el servicio fue Viva el jamón y el vino, inicialmente en http://vesatec.com:8000. Isla Tortuga llegó a tener 4.000 visitas diarias y dio alojamiento a 68 grupos, entre ellos gente puntera como !Hispahack, La Vieja Guardia, RareGaZz, VanHackez, Underhack, Iberhack, Ciberhack, CPNE, 29A o m3K.

[caption id="attachment_1740" align="aligncenter" width="470"] Portada de Isla Tortuga en enero de 1998[/caption]

El servidor que alojaba Isla Tortuga, sito en Estados Unidos, pertenecía a la empresa de Barcelona Vesatec (Vesa Tecnologías, en http://www.vesatec.com), propiedad de Ángel Badia (Angeloso) y Francisco Monteagudo (Maki), comercial y técnico respectivamente.

Isla Tortuga se financiaba con publicidad pornográfica. De hecho, formaba parte del elenco de webs propias que ofrecía Vesatec a sus clientes para poner publicidad. Entre estas había páginas pornográficas, pero también otras tan originales como http://marujona.vesatec.com, donde se criticaban artículos periodísticos; http://tarifaplana.vesatec.com, donde se explicaban las tropelías de la compañía Telefónica, o http://emuladores.vesatec.com, una recopilación de programas sobre la emulacion de ordenadores y maquinas de bar antiguas.

La joya de la corona era Viva el Jamón y el Vino, con 2.800 visitas diarias y 78.000 mensuales en febrero de 1998 según Vesatec, que la vendía así a sus clientes:

La pagina mas famosa de España en cuestion de visitas. Incluye fotos Erotico-pornografica del sexo femenino y gran cantidad de programas desprotectores. Todos los servicios que se ofrecen en ella son totalemente gratuitos. Esta pagina ha sido (y es, periodicamente) nombrada en la revista de humor El Jueves. Y desde la actuacion de la BaSurA, mucho mas... [1]

Isla Tortuga también se ofertaba a clientes que quisieran poner publicidad, con 450 visitas diarias y 13.500 mensuales en febrero de 1998, según la empresa:

Pagina donde se incluyen paginas web de otros usuarios que contienen lo que ningun otro servicio gratuito de hospedaje de paginas ha querido aceptar. Son paginas dedicadas al Hacking (Entrar en sistemas informaticos sin permiso), Cracking (Como desproteger programas), Phreaking (como engañar a sistemas de pago electronico), VirII (Como hacer virus y como protegerse ante ellos), Pornograficas, Cachondas (Paginas con un sentido del humor un poco "bestia") Hay que contar que dentro de este dominio se incluyen las paginas de sus autores que a su vez reciben muchas mas visitas directas, es decir sin pasar por nuestros sistemas de estadisticas, las cuales no contabilizamos en el numero de visitas al encabezado de esta seccion.[2]

Entre otros negocios, Vesatec tuvo relación con uno de los primeros cafés de Internet de Barcelona, Infobar, del que llevó la parte técnica. De sus aventuras empresariales fallidas destaca Serviline, que prometía una tarifa plana telefónica. Las noticias sobre este servicio acaban abruptamente en noviembre de 1997.[3].

Quien desee profundizar más en su historia puede leer el articulo original en: http://hackstory.net/Isla_Tortuga

leer artículo

Teclado no detectado, por favor, pulse F1 para continuar

FUCK LOGIC :)

leer artículo

Hackean por primera vez iCloud y liberan iPhone y iPad bloqueados

Un grupo de hackers holandeses y marroquíes, bajo el nombre Doulci, han conseguido romper la seguridad de iCloud la nube de Apple, la cual dispone de 400 millones de usuarios en el mundo. ¿Qué se hace con este servicio? Por ejemplo, utilizar este servicio para bloquear teléfonos iPhone robados a través de dicho sistema. La noticia puede leerse en el periódico holandés De Telegraaf, en el cual se cuenta la hazaña o el acto de hacking. Los hackers que actúan bajo el nombre de AquaXetine y Merruktechnolog han logrado vulnerar el servicio.

Cuando un dispositivo como iPhone es robado, una de las funcionalidades estrella deApple iCloud, es que se puede bloquear a distancia con Find My iPhone y el Activation Switch. Según informa el periódico holandés en los últimos días 30.000 dispositivos móviles iPhonerobados han sido desbloqueados. Estos dispositivos son vendidos más tarde en Internet, el negocio parece interesante. Queda claro que si existe una forma de vulnerar el servicio puede resultar interesante para ciertos delincuentes. Hasta el momento, solo bugs puntuales y en situaciones concretas permitían eliminar la cuenta de Apple iCloud de un terminal.

Figura 1: Activation Switch con Apple iCloud

 

Comerciantes chinos compran de forma masiva dispositivos móviles de Apple, los cuales están bloqueados y se hace negocio rápido. Los compran entre 50 y 150 dólares, para su posterior venta desbloqueados por un importe que va desde los 450 a 700 dólares. Los terminales iPhone o iPad, que Apple ha bloqueado porque han sido modificados por sus propietarios en contra de los términos de la compañía, son fácilmente vendibles.

 

El experto de seguridad Mark Loman, indica que los piratas han colocado un equipo ficticio entre el dispositivo y el sistema de Apple iCloud, es decir un proxy, con el que se autoriza la liberación de un terminal de esta compañía. Este proxy manipula las aplicaciones del iPhone, el cual se entiende que está conectado con el servidor de Apple, para activar y desactivar los dispositivos. Gracias alproxy, o Nepcomputer, se puede generar mucho dinero en ventas, ya que permite bloquear y desbloquear dispositivos. Además, según indica Loman los hackers podrían realizar alguna acción más como leer mensajes de iMessage. Parece uno de los hacks del año, ya que en malas manos puede reportar un gran beneficio a ciertas mafias que puedan aliarse para el robo masivo de dispositivos.

Fuente: Un bug en iCloud permite liberar iPhone & iPad bloqueados

leer artículo

Man In The Middle

Man In The Middle, Hombre en el medio, es una técnica bastante utilizada ya. Voy a tratar de explicarlo de manera muy explicita, que llegue su comprensión a todo el mundo. El ataque no es más que como su nombre refleja, interceptar las comunicación entre dos maquinas, es decir todo lo que la maquina A va enviar a la maquina B el hombre en el medio lo vera, sin que se de cuenta ni A ni B.

Vamos a la práctica, podemos hacerlo por ejemplo con arpspoof, abrimos la consola de comandos y metemos el siguiente comando:

Arpspoof.exe  –t 10.0.5.6 (que es la victima, por ejemplo pepe) 10.0.0.1 (puerta enlace)

Y en otra consola de comandos lo siguiente:

Arpspoof.exe  –t 10.0.0.1 10.0.5.6

Imagen de: http://www.computerhope.com/jargon/m/mitma.htm

 

-t es para que no pare la comunicación.

Arpspoof.exe ejecutamos el programa.

A pepe le hemos dicho que somos la puerta enlace y a la puerta enlace que somos pepe, con lo cual todas las peticiones que haga pepe y la puerta enlace las veremos nosotros antes.

Imaginen si nos ponemos a analizar el tráfico con un sniffer toda la información que podríamos sacar, credenciales en texto plano, claves, conversaciones,  etcétera.

¿Cómo sabemos si somos victimas de un Man In The Middle?

Abrimos la consola de comandos y ponemos arp –a, nos fijamos si la mac del router cambia es un síntoma inequívoco.

Fuente: http://www.estacion-informatica.com/2012/10/man-in-middle_11.html

leer artículo

YoNTMA (¡nunca me cogerás vivo!) Cifrado en portátiles

YoNTMA (You'll Never Take Me Alive!) es una herramienta diseñada para mejorar la protección de cifrado de datos en portátiles Windows (BitLocker) y Mac (FileVault).

Lo que hace es correr como un servicio que hibernará el portátil si se desenchufa de la corriente o se desconecta el cable de red. De esta manera evitaremos el acceso a los datos cifrados si nos roban el equipo e intentan realizar unataque DMA mientras está encendido y permanecen las claves de cifrado en memoria. Así de sencillo pero útil:

Versión Windows: https://github.com/iSECPartners/yontma
Versión mAC: https://github.com/iSECPartners/yontma-mac

Fuente: http://www.hackplayers.com/

leer artículo

Cifrar un PDF en OS X

Tras el escándalo del bug en Dropbox que podría dejar expuestos documentos compartidos, muchos son los que han preguntado por opciones de protección de los documentos cuando se van a compartir. Una forma sencilla es la de poner un sistema de protección de cifrado a archivos compartidos con shared-password para evitar que ojos no deseados pudieran acceder al contenido de los documentos. En el caso de OS X y los documentos PDF, la herramienta de Preview es capaz de cifrar el contenido de un documento PDF usando Shared-Password por medio de una contraseña.

Las opciones de cifrado y protección de documentos PDF pueden ser tres. La primera de ellas es la citada de protección por contraseña compartida, cifrando el contenido del documento completo con un algoritmo que podrá ser RC4 o AES256 dependiendo de la versión del documento PDF y las opciones de la herramienta que se esté utilizando. Los algoritmos están descritos en los documentos del estándar ISO 32000 que define el formato PDF.

Figura 1: Opción de cifrar un documentos PDF con OS X Preview

Las otras opciones para proteger un documento PDF es utilizar el cifrado con certificados digitales usando PKI o directamente utilizar soluciones de Digital Right Manangements. En OS X Preview se puede usar la primera de las opciones, y basta con seleccionar el checkbox de Encrypt en el cuadro de diálogo de guardar para que se nos solicite una contraseña compartida. Pon una contraseña muy compleja, ya que existen múltiples herramientas de cracking de passwords PDF.

 

fuente: http://www.seguridadapple.com

leer artículo

El navegador anti-censura de The Pirate Bay supera los 5 millones de descargas

PirateBrowser es un navegador que integra el cliente Tor (Vidalia), el navegador portable FireFox (con el complemento FoxyProxy) y algunas configuraciones personalizadas que permiten eludir la censura que algunos países como Irán, Corea del Norte, Reino Unido, Holanda, Bélgica, Finlandia, Dinamarca, Italia e Irlanda imponen a sus ciudadanos.

En navegador fue lanzado el pasado mes de agosto por The Pirate Bay coincidiendo con su décimo aniversario y hoy ya lleva más de cinco millones de descargas, lo que significa una media más de medio millón de descargas mensuales.

Desde su primera versión no ha habido ninguna modificación, pero esto va a cambiar en las próximas semanas. El equipo de The Pirate Bay publicará una actualización en breve con las versiones actualizadas del software. Además, la nueva versión tendrá soporte para distintas redes sociales para atender a los usuarios en los países donde estos servicios están restringidos o bloqueados.

Otra de las novedades será la de tener listas de sitios bloqueados por país, para que a los usuarios sólo se les redirija a través de un servidor proxy cuando sea necesario.

Mientras, en paralelo el equipo también sigue el desarrollo de una aplicación con un motor especial BitTorrent que permitirá a los usuarios almacenar y distribuir The Pirate Bay y otros sitios web mediante sus propios ordenadores. En lugar de pasar por los censores externos, la nueva herramienta va a crear su propia red P2P a través de la cual se puede acceder a los sitios sin restricciones.

Este "navegador p2p" debe ser capaz de mantener The Pirate Bay operativa, aunque el sitio sea puesto fuera de línea. Actualmente no existe una fecha de lanzamiento prevista para este segundo proyecto, pero todavía tardará unos pocos meses más el desarrollo al mínimo.

Fuente: http://www.hackplayers.com/2014/05/el-navegador-anti-censura-de-pirate-bay.html

leer artículo

Día de Internet

Como todos los años, el día de festejar a Internet ha llegado. Ésta es una celebración que se lleva a cabo en diferentes ciudades de Latinoamérica, impulsada por la Asociación de Usuarios de Internet y la Internet Society.

¿Sabías que este día se celebró por primera vez en octubre del 2005? Sin embargo, ese mismo año se presentó la iniciativa a la ONU de declarar el 17 de mayo como el Día Mundial de la Sociedad de la Información, lo que hoy conocemos como Día de Internet.

Sin duda, hoy en día Internet se ha convertido en una de las herramientas más valiosas para la sociedad mundial en la que vivimos, y es que gracias a él, los procesos (de prácticamente todos los tipos), se han logrado acelerar y perfeccionar de una manera prácticamente impresionante, pero ¿cuándo fue la primera vez de lo que hoy es muy común para nosotros en Internet? Panda Security tiene las respuestas ¡Toma nota!

    En 1985 es registrado el primer dominio web: Symbolics.com
    En 1991 aparece la primera página web, creada por Berners-Lee. 
    En 1996 sale a la venta un Nokia 9000 Communicator, el primer teléfono móvil con conexión a Internet.
    En 2001 se produce la primera edición de datos en Wikipedia.
    En 2004 nace Facebook, la red social de cuyo primer usuario es, por supuesto, su fundador Mark Zuckerberg.
    En 2005 se sube a YouTube el primer video.
    En 2006 el creador de Twitter, Jack Dorsey envía el primer tweet de la historia.  

Definitivamente, la historia de World Wide Web (www) no es tan sencilla como la pensamos, pues lo que hoy procesamos como prender una computadora y acceder a nuestro navegador web, tiene una compleja historia detrás y muchos años y personas que hicieron posible la aparición de este sistema, sin el que muchos de nosotros no podemos visualizarnos hoy en día.

¿Cómo crees que sería la vida hoy en día sin Internet?

¿Cuánto tiempo promedio pasas al día en la web?

En febrero de 1958, nace Arpanet, el abuelo de lo que hoy conocemos como Internet. Su principal objetivo era impulsar la investigación y el desarrollo tecnológico con fines militares en Estados Unidos.

En la década de los 60 se comienza a pensar en una “red mundial”, mientras la Universidad de Los Ángeles logra poner a funcionar el primer punto de intersección de datos, lo que se conoce hoy en día como el “Primer servidor”.

En la década de los 70 se da la primer conexión por ARPANET a través de todo EU, además se acoge el símbolo “@” y los correos electrónicos comienzan a aparecer. Se logra la primera conexión internacional.

En la década de los 80 se demuestra públicamente un virus informático. Al final de la década se desarrolla el “IRC” (Internet Relay Chat), el primer programa que permitía establecer conversaciones por la web.

[caption id="attachment_1711" align="aligncenter" width="284"] Pantalla "about" del cliente IRC mIRC[/caption]

En 1989, lo que era conocido como ARPANET, llega a su fin. Se crea la World Wide Web, lo que hoy conocemos como Internet moderno.

En la década de los 90, se crea Mosaic, el primer navegador de la red y el cual fue nombrado, posteriormente, como Netscape Navigator. Microsoft lanza Internet Explorer, comenzando así la guerra entre navegadores. Netscape pierde en 1998.

En 1991, Internet se presenta a la sociedad. Vinton Cerf, también conocido como el padre de Internet, crea la Internet Society (ISOC), asociación sin fines de lucro dedicada exclusivamente al desarrollo mundial de Internet.

En 1998 nace Google, el buscador más importante de la web hoy en día.

En la década del 2000 existían ya 20 millones de sitios en la red, muchos de ellos ya contaban con el dominio “kids”, el cual servía para denominar los sitios seguros para niños. Además, bajar música se convirtió en algo legal y el boom de las redes sociales llegó.

Actualmente somos Web 2.0, término que se creó para definir el uso de la www con el fin de aumentar la creatividad, el intercambio de información y la colaboración entre usuarios.

Fuente  http://goo.gl/SKGV5o

leer artículo

SpiderFoot: Herramienta de OSINT, Footprinting y Information Gathering

SpiderFoot es una herramienta que nos facilitará la tarea de Footprinting para nuestras fases iniciales de test de intrusión o análisis de visibilidad (o simplemente, para nuestros juegos) 

Lo primero de todo, expliquemos brevemente en qué consiste el Footprinting. Footprinting se determina al conjunto de actividades que realizamos inicialmente en todo proceso de intrusión sobre los activos tecnológicos de una empresa o entidad. También conocido como Information Gathering, Recopilación de información, OSINT, etc. 

Esta tarea debe su éxito al conjunto de fuentes que utilicemos para recopilar el máximo posible de información. Si bien lo habitual es abrir cientos de pestañas con motores de búsqueda, o ejecutar scripts que se dediquen a recorrer Internet en busca de patrones que definimos, SpiderFoot nace como otro agregador de información de multitud de fuentes, y que además los resultados se presentan de una forma clara y ordenada. Otra de las ventajas es la posibilidad de ampliar las funcionalidades gracias a su extensa documentación tanto a nivel de desarrollo como de tareas. Además, la herramienta se ejecuta directamente sobre tu propio sistema, estableciendo un puerto como servicio web (por defecto 5001) sobre el que poder conectarte para realizar los análisis y navegar sobre los resultados.

Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz3268z7qa0
Under Creative Commons License: Attribution Non-Commercial Share Alike
Mucho más de Seguridad Informática Segu-Info

leer artículo

OS X Mavericks 10.9.3 arregla 13 CVEs de seguridad

Hoy Apple puso disponible la nueva versión del sistema operativo OS X Mavericks 10.9.3 publicando un Security Advisory en el que se informa de que se han solucionado un total de 13 CVEs de seguridad, además de mejorar muchas de las prestaciones del sistema, como el rendimiento de las pantallas Retina de 4K, la posibilidad de sincronizar contactos entre iOS y Mail vía USB o mejoras en el rendimiento de VPNs con IPSec. También, como era esperado, está la actualización de Apple Safari 7.0.3 con los bugs que ya habían sido solucionados en el Security Update anterior.

Figura 1: OS X Mavericks 10.9.3 Update

La lista de los bugs, que afectan a esta versión están descritos en el Security Advisory APPLE-SA-2014-05-15-1 OS X Mavericks v10.9.3 y están descritos en el artículo de la Knowledge Base HT6207. La nueva actualización está disponible vía Mac App Store y para descarga directa en versión actualización y versión Combo en los siguientes enlaces:

- OS X Mavericks 10.9.3 Update
- OS X Mavericks 10.9.3 Update (Combo)

Os recomendamos que actualicéis cuando antes para solucionar los bugs descritos en la actualización.

Fuente: http://www.seguridadapple.com

leer artículo

Vulnerabilidad Critica en Linux desde hace 5 años

Se ha dado a conocer un importante fallo de seguridad en el núcleo Linux que afecta a todas las versiones desde la 2.6.31(¡una versión del 2009!) hasta la actual 3.14.3. Se trata de un fallo que es capaz de corromper la memoria asignada al núcleo y hasta puede permitir que un usuario no-root pueda obtener privilegios de autorización. Red Hat afirma que RHEL 6 no es vulnerable y las distribuciones Fedora y Ubuntu, que tenían acceso por adelantado al CVE-2014-0196 desde hace dos semanas, ya han publicado las actualizaciones de seguridad correspondientes con parches propios. Debian ha lanzado ya una actualización, pero solo para la rama estable. Sin embargo, el proyecto Linux tan solo ha agregado el parche a la rama de desarrollo y las demás distribuciones no han movido ficha aún.

El fallo fue descubierto por un usuario de SuSE, la distribución comercial de Novell. El fallo consiste en que si se da simultáneamente más de una orden de escritura a la misma pseudoterminal (una TTY), se puede producir lo que se conoce como un "desbordamiento de búfer" (buffer overflow); es decir, un intento de escribir más allá de la memoria asignada a una variable del procedimiento que se está ejecutando en ese momento. Como el procedimiento que lleva a cabo una orden de escritura en una pseudoterminal, llamado n_tty_write(), es una función del núcleo Linux, al producirse el desbordamiento, habremos sobreescrito memoria del mismísimo núcleo hasta donde queramos.

¿Por qué es peligroso que se desborde un búfer? Simplemente porque en ejecutables binarios escritos en C o C++ al final de la memoria de cada procedimiento se encuentra la dirección de memoria del procedimiento "padre". Si sobreescribimos esa información con una dirección que nosotros controlamos, podemos entonces ejecutar código arbitrario. Si esto se produce, como en este caso, sobreescribiendo la memoria de un proceso "privilegiado" (el núcleo, un demonio, etc.), el proceso arbitrario que ejecute el atacante también tendrá privilegios de administrador, por lo que podrá modificar el sistema a su antojo sin necesidad de entrar al sistema como "root". Por otro lado, si no se sobreescribe la memoria con nada significativo y solo se produce el desbordamiento, entonces el núcleo se caerá y tendremos un "kernel panic".

Si os fijáis, estoy repitiendo constantemente que se tiene que dar la condición de que se produzca el desbordamiento.Esto se debe porque el fallo sucede en un fenómeno técnicamente conocido como "condición de carrera" (race condition). Desde hace tiempo existe la posibilidad de ejecutar código en paralelo, en "hilos" o "procesos" diferentes (no son sinónimos, pero ambos se refieren a formas de ejecutar órdenes en paralelo). El problema consiste en que no hay forma de predecir el momento ni el orden en que se ejecutan los hilos o procesos (de hecho, cuando se programa en paralelo hay que tener esto muy en cuenta y nunca escribir código paralelizado que asuma uno u otro orden de ejecución). Por lo tanto, puede suceder que dos o más hilos o procesos intenten acceder o modificar una misma región de la memoria, con la consecuencia de obtener un resultado totalmente impredecible en la ejecución del programa (hay formas de protegerse de esto que, básicamente, consiste en marcar temporalmente una variable como "propiedad" de un hilo u otro). En el caso que nos toca hoy, resulta que dependiendo de la sincronización y del orden en que acaban ejecutándose las órdenes paralelas de escritura a la TTY, podemos sufrir el desbordamiento o no.

De hecho, podéis probar esto por vosotros mismos ejecutando esta prueba de concepto de explotación de la vulnerabilidad. A mí me produjo una caída del núcleo tan solo a la tercera vez de ejecutarlo (Arch Linux con 3.14.3 "stock"), pero a la primera y segunda el azar quiso que no tuviera efecto alguno. Compiladla y probadla bajo vuestro riesgo (hará caer el sistema si tiene éxito).

A diferencia de la opinión vertida por los redactores de Ars Technica, que consideran que son los servidores los que más peligro de ser atacados por esta vía, creo que el peligro real está en Android. El código vulnerable está presente(líneas 1997 y ss.) en la última versión del núcleo utilizada por Android 4.4 (basado en Linux 3.4) y la imposibilidad de actualizar la mayoría de los dispositivos hace que esto sea un vector de ataque bastante plausible contra aquellos dispositivos que no se verán actualizados jamás. La única recomendación posible aquí es que mientras Google no publique un parche tengáis mucho cuidado en no instalar aplicaciones sospechosas. Es verdad que las distribuciones Linux de escritorio que no hayan actualizado su núcleo aún también son vulnerables, pero si uno se ciñe a los repositorios oficiales, uno debería quedarse tranquilo (lo único que podría pasar es que, por mala suerte, el núcleo se cayera por darse las condiciones para el desbordamiento, pero si no ha pasado aún después de tantos años, es poco probable que pase).

Este año está siendo un año negro de descubrimiento de errores graves en el Software Libre: primero el "goto fail" de Apple (sí, era código libre) y el de de GnuTLS, luego Heartbleed y ahora este. No quiero dar la sensación de que esta noticia sea una buen, porque no lo es, pero sí es verdad que alivia ver cómo la comunidad se mueve para solventar estos fallos una vez descubiertos con una rapidez que ningún proyecto privativo del tamaño de Linux puede permitirse. Recordad que no hay software perfecto, pero sí que hay proyectos que, al funcionar con libertad, permiten que cualquiera contribuya y alerte a la "inteligencia colectiva" de que algo está fallando.

Así que estad atentos a las actualizaciones de seguridad de vuestra distribución e instaladlas lo antes posible.

leer artículo

Troyano que bloquea terminales Android

El malware se llama “Trojan.Koler.A” y se caracteriza por bloquear los dispositivos infectados hasta que la víctima paga un “rescate”. Según la empresa de seguridad informática BitDefender, el virus se activa al navegar en determinadas webs pornográficas a través de una aplicación que simula ser un reproductor de vídeo para acceder a un contenido premium.

Una vez instalado en el dispositivo, el troyano identifica la ubicación de la víctima a través de su IP y le muestra en la pantalla un mensaje en su idioma: “Atención! Tu teléfono ha sido bloqueado por las cuestiones de seguridad listadas a continuación. Todas las acciones del teléfono están bloqueadas. Todos tus archivos están encriptados”.

Otra noticia de un troyano que simula un mensaje de las autoridades locales y apela a la “violación de la Declaración Mundial de no proliferación de la pornografía infantil” y la infracción de leyes que protegen los derechos de autor.

Aunque el virus deshabilita el botón “Regresar” en el terminal, se permite acceder a la “Home”. Para liberar el teléfono, se exige un pago de 300 dólares, según informa BitDefender.

 “Después de volver a la pantalla Home, tienes cinco segundos para desinstalar la aplicación antes de que un cronómetro lleve al código malicioso a segundo plano. Esto sucederá cada cinco segundos hasta que pagues el rescate”, señala BitDefender.

“La mala noticia es que, para el momento en que ves el mensaje, los chicos malos ya tienen tu IMEI (un código pregrabado que viene en los teléfonos e identifica a todos los aparatos del mundo de forma unánime) en un archivo. La buena noticia es que Koler.A puede ser fácilmente desinstalado, ya sea presionando la pantalla Home, navegando hacia la app, y arrastrándola hasta la parte superior de la pantalla donde se ubica el control de desinstalación, o bien reseteando el dispositivo en modo seguro y luego desinstalando la app”, señaló la firma de seguridad.

Se cree que detrás de este troyano se encuentran los mismos autores que desarrollaron el virus que entre 2012 y 2013 infectó cientos de miles de computadoras. “Era sólo cuestión de tiempo para que la prolífica pandilla detrás de Reveton / Icepol se moviera a Android”, indicó la compañía.

Muchos ciberdelincuentes centran sus esfuerzos en Android, un sistema operativo que crece cada año exponencialmente. Se cree que podría ser una prueba para lanzar otros malware mucho más sofisticados que incluso podría cifrar archivos.

 

leer artículo

Tu cuenta de Facebook tiene 3 passwords y tú no lo sabes

Entre los muchos correos electrónicos que recibo hay muchos de gente que me cuenta que ha descubierto alguna cosa que tiene que ver con seguridad, lo que me ayuda a estar un poco más al día de lo que está sucediendo en el mundo de la seguridad. De todos ellos, hay algunos que suelen ser erróneos o que directamente no han hecho las pruebas. Por eso, cuando los leo, procuro intentar discernir si lo que me cuentan tiene sentido o no. Hoy os voy a hablar de uno de esos que resultó ser un misterio sin resolver.

El misterio de las passwords sin cifrar de Facebook

Uno de esos correos llegó con un asunto que decía "Contraseñas sin cifrar en Facebook". Mi primera suposición era que me iba a preguntar algo referente al artículo que escribí sobre cómo conseguir que las credenciales de Facebook se capturen por la red sin cifrado, pero no, no era eso. Cuando seguí leyendo el mensaje, me decía que se había dado cuenta de que en su cuenta de Facebookpodía entrar con la contraseña escrita en mayúsculas cuando su contraseña está escrita en minúsculas, lo que  para él significaba que Facebook no hashea laspasswords en MD5.

Lógicamente no me lo creí y le dije que era imposible. Tengo claro que Facebookguarda hashes de las contraseñas y por supuesto no va a ser en MD5. Ya usarán unSHA2 con algún Salt o similares. Conociendo a la gente de seguridad que hay detrás de Facebook no iba ni a perder un minuto de tiempo en comprobar algo así. Contesté que no podía ser, que algo estaría haciendo mal en sus pruebas. Lo que pasó por mi cabeza fue que seguramente tenía cacheada la sesión o la contraseña y por eso estaba teniendo acceso. Aún así, probé a escribir todas las letras de mi contraseña de Facebook primero todo en minúsculas y luego todo en mayúsculas y no funcionó, por lo que contesté que a mí no funcionaba

Sin embargo, insistió y me grabó un vídeo, por lo que después de un par de días decidí ver el vídeo y probarlo con otra cuenta que me cree desde cero y volvió a fallarme. Algo no iba bien y tenía que ser en su equipo. ¿Cómo va a funcionar una contraseña distinta cuando esto 100% seguro de que Facebook hace hashing de passwords? Y le contesté a David Guzmán - que así se llama mi interlocutor - que volví a probarlo con una password que tenía letras y números y no me funcionó.

La prueba que yo hice fue crearme una cuenta con una clave aAa777 (en el vídeo está mal) e intentar entrar con aaa777 y con AAA777 y no funcionó, por lo que le envié a David un correo diciéndolo que había intentado entrar como él me decía y no había tenido éxito. Quiso el corrector o el destino que al escribir la contraseña de la cuenta escribiera mal la password  en el mensaje y pusiera la segunda "A" en minúscula, así David me hizo este vídeo donde se podía entrar y a mí me permitió resolver el misterio y encajar las piezas.

[youtube http://www.youtube.com/watch?v=x-jkPp3IgA0?rel=0]

Figura 1: El vídeo de la cuenta de Facebook con múltiples passwords

La resolución al misterio de las múltiples passwords de Facebook

En el vídeo se puede ver que con una contraseña como aaa777 se puede entrar en el sistema usando también AAA777 y Aaa777, pero yo estaba seguro que con la password aAa77 no funcionaban ni aaa777 ni AAA777. Por supuesto, seguía teniendo claro que Facebook está haciendo hashing, así que... ¿qué podría estar pasando?

Tras probar todas las combinaciones me di cuenta de que las passwords que funcionan son dos:

1.- Passwords que se pueden escribir cuando tienes el Bloq+Mays activadas. Es decir, no es que pongas la contraseña todo en mayúsculas o todo en minúsculas, es que hagas una inversión de las letras. Es decir, si tu password es aBcDeF11 entonces también es tu password AbCdEf11. Esto quiere decir que al menos tienes doss passwords.

2.- Passwords que teniendo la primera letra en minúscula, se escribe en mayúscula. En muchos controles de tablets, cuando se pulsa sobre un campo para introducir un texto, por usabilidad se activa la tecla de Mays solo para la primera letra, lo que puede llevar a que si tu password comienza por una letra minúscula, como el ejemplo de aBcDeF11, entonces también te valga la password ABcDeF11.

Tras encajar todo, las cosas cobran sentido. Lo que Facebook hace es probar esas posibilidades, así que tu password de Facebook puede pasar de ser una a ser tres, solo porque las opciones de usabilidad han ganado una vez más la batalla a la seguridad. De esta forma se reducen problemas de soporte con los usuarios que tienen el modo de mayúsculas activado sin querer o que usan una conexión desde un control que pone la primera letra en mayúsculas de forma automática.

Actualización: Facebook reconoce este hecho y explica que este es uno de los casos que no se reconoce como fallo de seguridad. Es su forma de ayudar a la usabilidad.

Figura 2: La explicación oficial de Facebook

Actualización 2: Esta historia me inspiró una reflexión para un No Lusers al vuelo con una maligna reflexión de josemaricariño.

Figura 3: ¿Se cambia la password si solo se cambian mayúsculas por minúsculas?

Fuente: http://www.elladodelmal.com

leer artículo

Un investigador de León descubre que los sistemas de comunicación por satélite son muy inseguros | tecnologia | EL MUNDO

Empresas de comunicación por satélite tan importantes comoInmarsat, Iridium, Thuraya, Hughes, Cobham y Harris tienengraves fallos en sus productos que podrían dejar 'sordo' y 'ciego' a un avión, no permitir que un barco mande señales de socorro, inutilizar las comunicaciones de un ejército o falsificar un parte metereológico. Lo ha descubierto Rubén Santamarta, un leonés de 32 años, Consultor Principal de Seguridad en una de las empresas punteras en seguridad informática a nivel mundial: la norteamericana IOActive.

La investigación de Santamarta deja en total evidencia a la industria del satélite: "No me gusta sobredimensionar las cosas ni fomentar la idea de que estamos continuamente esperando una 'ciber-catástrofe', pero técnicamente tampoco se puede minimizar el impacto que tienen estas vulnerabilidades", afirma. Se refiere a cosas tan serias como que todos los sistemas que ha analizado, sin excepción, tienen puertas traseras y otras formas ocultas de acceso, introducidas por el fabricante pero desconocidas por quienes compran sus productos. Si nos atenemos a las revelaciones de Edward Snowden en cuanto al espionaje global, no serían tampoco desconocidas para los gobiernos de Estados Unidos y Reino Unido, donde se ubican la mayoría de estas empresas.

Pero la cosa no acaba aquí. Protocolos de emergencia como elSistema Mundial de Socorro y Seguridad Marítimos, o de prevención de ataques terroristas y piratería como el Sistema de Alerta para la Seguridad del Barco, usan el servicio Inmarsat-Cpara sus comunicaciones satélite, que son inseguras según Santamarta: "Algunas de las vulnerabilidades que encontré permiten inutilizar esta clase de equipamiento, hacer que el barco no pueda enviar ni recibir llamadas, señales de socorro, o avisar de que está siendo atacado, también se puede falsificar la información que la tripulación recibe, por ejemplo partes metereológicos, para forzar un cambio de ruta".

Algunos ataques se pueden llevar a cabo simplemente enviando un mensaje de un barco a otro. O incluso más fácil: un SMS. Hay aparatos, como los Hughes BGAN M2M, usados en sistemas industriales críticos (eléctricas, agua, bancos), a los que se pueden mandar órdenes por SMS. Debido a una puerta trasera en estos equipos, un SMS falso podría saltarse todos los controles. De todas formas, afirma el investigador, "hay que dejar claro que esto no quiere decir que exista una conspiración; en la mayoría de los casos estas puertas traseras suelen ser mecanismos que los ingenieros de soporte usan para solucionar problemas. Pero claro, esto supone un importante riesgo de seguridad".

Otro gran usuario de los satélites son los ejércitos. Aunque usan dispositivos adicionales para cifrar sus comunicaciones, lo que las hace muy difíciles de interceptar, sí es posible interrumpirlas, afirma Santamarta: "Mi investigación detalla el escenario donde la terminal satélite comprometida detecta la posición de la unidad, mediante elGPS embedido, y si se encuentra en determinada zona inutiliza el dispositivo". Los aparatos afectados pertenecen a la empresaHarris, que suministra al ejército americano y fuerzas de la OTAN, también al ejército español.

Los aviones, militares o comerciales, están igualmente afectados. El investigador leonés ha analizado los productosCobham AVIATOR -el ejército español usa también equipos Cobham- y descubierto que se puede tomar el control del sistema de comunicación satélite del avión mediante un atajo: el Sistema de Entretenimiento en Vuelo. Además de televisión y otras formas de ocio, este Sistema ofrece servicio WiFi, que pueden asaltarse y llegar hasta la 'Satellite Data Unit' del avión, donde se desarrollan comunicaciones clave para su seguridad. Además, esta unidad es una puerta abierta a otros puntos críticos de la aeronave, como lossistemas de control del vuelo que se usan para planificar las rutas, verificar el estado de los motores, del combustible..

Según Santamarta, aunque su investigación se ha centrado en unos 15 aparatos, los más usados para acceder a sistemas satélites como Inmarsat o Iridium, es muy posible que todo el mercado presente los mismos problemas: "Probablemente se puedan encontrar fallos similares en el resto". A través de su empresa IOActive, el leonés ha puesto sobre aviso al CERT/CC, un equipo de seguridad independiente internacional, quien se ha encargado de contactar con las empresas afectadas y coordinar el incidente. "Actualmente estamos trabajando con algunas de estas compañías para solucionar las vulnerabilidades", afirma Santamarta.

Paralelamente, el investigador ha publicado un documento en inglés, 'A Wake-up Call for

SATCOM Security', donde explica a grandes rasgos sus descubrimientos. Lo hará con pelos y señales y de una forma más técnica en agosto, durante una de las más famosas conferencias de seguridad del mundo, la convención Black Hat en Las Vegas. Sobre si teme que alguien aproveche sus descubrimientos para hacer cosas malas, responde: "Hay que tener en cuenta que para atacar este tipo de sistemas se requieren no sólo conocimientos, sino una intención muy clara y recursos adicionales que sólo suelen estar al alcance de los Estados".

El ingeniero inverso

"Soy un chico al que le interesa saber cómo funcionan las cosas". Así se presenta Rubén Santamarta, un "chico" que tiene más de 6.000 seguidores en Twitter, reconocido en España y el extranjero por sus altas cualidades en la minoritaria ciencia de la 'ingeniería inversa'. Esta consiste en descubrir cómo funciona un programa informático del que no se tiene acceso directo a su código para, una vez inferido, copiarlo o descubrir si tiene fallos. Esta segunda opción es la practicada por el leonés y en la que excele desde los 24 años, cuando se ganaba la vida vendiendo fallos informáticos. A finales del año pasado, con la mosca tras la oreja por las revelaciones de Edward Snowden sobreespionaje global, Santamarta decidió investigar la seguridad de las comunicaciones mundiales por satélite. Centró su investigación en la parte terrestre de estos sistemas: los terminales que llevan a bordo aviones y barcos, vehículos militares o plataformas petrolíferas, encargadas de comunicarse con los satélites. Al ser aparatos muy caros y, en el caso de los militares, de uso restringido, tuvo que conformarse con analizar su 'firmware', los programas que hacen funcionar el aparato y que los fabricantes suelen ofrecer en sus sitios web. Santamarta aplicó sus veteranos conocimientos de 'ingeniería inversa' para destriparlos y encontrar los fallos.

Un investigador de León descubre que los sistemas de comunicación por satélite son muy inseguros | tecnologia | EL MUNDO.

leer artículo

Internet en riesgo por el bug Heartbleed

[youtube http://www.youtube.com/watch?v=R04Y-kcIy0Q]

leer artículo

Estación Informática: Descifrar Base Datos WhatsApp

Es sabido que la seguridad de WhatsApp desde sus inicios brilla por su ausencia, es por ello, que la nueva adquisición de Facebook ha implementado un cambio en el algoritmo y la clave para cifrar las copias de seguridad en las SD. Gracias a Alejandro Ramos que se ha currado este script y compartido para tod@s,podemos descifrar de nuevo la base de datos de 

WhatsApp, ya que el anterior método quedo obsoleto.

Es necesario conocer el nombre de la cuenta asociada al móvil, que se puede sacar de Ajustes->Cuentas y sincronización->Google.


Vamos a comenzar con la prueba de concepto, es necesario tener instalado Python 2.7 y el módulo M2Crypto.

1. En primer lugar invocamos el script.


2. Seguido de la base de datos cifrada.


3. A continuación la cuenta asociada al móvil.


4. Y por último volcar el resultado en msgstore.sdb.

 

Imagen 1: Comando Descifrar Base Datos 

Con estos sencillos pasos, si todo ha ido bien, ya tenemos la base de datos de WhatsApp descifrada. Sólo queda buscar una herramienta para poder visualizar los datos, nosotros usaremos SQLite.

 

Imagen 2: Presentación de los datos en SQLite

Como podéis ver en la imagen anterior puedo ver las conversaciones de WhatsApp de mi móvil. Una vez más, sacan una “nueva mejora” y en cuestión de días es tirada por los suelos.

 

leer artículo