Lee aquí tus blogs preferidos...

Un informático en el lado del mal

Seguridad Informática, Hacking, Pentesting, LDAP Injection, Blind LDAP Injection, SQL Injection, Blind SQL Injection, Heavy Queries, Connection String Parameter Pollution, FOCA, Metadatos, Spectra, Técnicoless, Citrix, Terminal Services, Excel, Tocar los WebOS, No Lusers, Libros de Seguridad Informática, Cursos de Hacking, Informática 64 y Chema Alonso
  • El libro de historia ya es (casi) historia
    Hace poco más de un año os anuncié que desde Informática 64 íbamos a hacer una tirada impresa de un gran libro de historia, en concreto del libro que recogía lo mejor de lo publicado por Hispasec en su newsletter de una-al-día durante los últimos 12 años. Sergio de los Santos hizo un ejercicio de síntesis y consiguió plasmar en un volumen lo más importante de lo acaecido.

    De aquella tirada que se hizo, el número de libros que quedan en nuestro almacén es sólo 5. Estos que quedan los hemos dejado para vender únicamente con la oferta de biblioteca completa que sacamos, para que las personas que las compren tengan la posibilidad de tener todos los ejemplares que componen la colección.

    Publicar ese libro fue un capricho mío para tenerlo en la colección, e hicimos un esfuerzo grande para conseguir sacarlo a la venta por sólo 12 € y cubrir con ello los gastos de la inversión, y hoy me siento feliz de que todos los que lo compraron podrán tenerlo, como yo.

    Las tiradas de los libros que hacemos en Informática 64 no son grandes, por lo que los libros irán pasando a la historia a medida que se acaben de vender todos los ejemplares que hacemos, y no descubro nada si digo que Sergio de los Santos escribe de maravilla - ¡Si lo hace genial hasta en 140 caracteres! (@ssantosv) -, y si no echa un ojo a las críticas que se han publicado de su último libro "Máxima Seguridad en Windows".
    - Crítica de Bernando Quintero
    - Crítica de Alejandro Ramos "Dab"
    - Crítica de Cyberhades
    - Crítica de Seifreed
    - Crítica de Ángel en Seguridad a lo Jabalí
    En fin, que da pena ver que se acaba uno de mis "niños", tal vez en el futuro saquemos los 15 o los 20 años de una-al-día y pueda verlo renacido, pero de momento, este libro de historia pasará ya a la historia, así que si eres de los que tienen una copia de la tirada que se hizo: ¡cuídalo!

    Saludos Malignos!


  • El algoritmo de Melkman, la marcha de Jarvis y Estadística
    Si hubo una asignatura que me tuvo loco fue Estadística. Esa materia, como a muchos de mis compañeros, me traía loco. Sin embargo, hubo otras que me enamoraban y me mantenían enganchado, eran todas las que tenían que ver con programar. Yo había comenzado a aprender a programar en BASIC cuando tenía 12 años y cuando llegué a la Universidad ya me había pegado con Cobol, Pascal y C. Con 18 años penaba que era un buen programador.

    Sin embargo, cuando llegué a las salas de más de 100 alumnos, me encontré con contenidos que me sonaron totalmente nuevos. Las estructuras de datos, los algoritmos recursivos, los tipos estructurados de datos, etcétera, y en todos había que entender cómo iba moviéndose el flujo del programa, lo que lo hacía más divertido. Ese fue el momento en que conocí las listas, las pilas, las colas y los árboles, para disfrute de mis programas y, por supuesto, de la resolución de problemas como los de las mega-famosas Torres Hanói, que hube de resolver de veinte maneras diferentes.

    Figura 1: Resolución del problema de las Torres Hanoi

    En segundo de carrera llegaría la algorítmica, con sus resoluciones de backtracking, sus análisis de complejidad, los algoritmos de búsqueda, de ordenación, de recorrido de grafos en los que había que aplicar estructuras de datos y algoritmos óptimos para generar los auténticos programas. También en ese curso llegarían las estructuras de datos avanzadas, con sus árboles AVL, los árboles hilvanados por listas, y los árboles AVL doblemente hilvanados, los árboles B, y los B*, organizados pensando en el tamaño óptimo de lectura de los discos.

    También en ese curso llegaron los paradigmas de programación, aprendiendo no sólo la archi-famosa programación estructurada, sino que tocó lidiar con el paradigma de orientación a objetos, el polimorfismo, la sobrecarga, la herencia y el diseño UML de aplicaciones, eso sí, con lenguajes tan curiosos como Smalltalk o C+- (sí, más menos...). Por otro lado la programación concurrente, que yo “sufrí” con ADA, OCCAM y otro que ahora os cuento, me obligaba a pensar en semáforos, regiones críticas, zonas de exclusión mutua e inter-bloqueos que podían generar entornos de inanición. Resolver problemas como el de los filósofos glotones que luchaban por los tenedores para comer spaguetti eran el día a día en esas clases de – wait for it – Pascal Concurrente. Como es lógico, también hubo que pegarse con programación funcional y resolver problemas imposibles con el LISP.

    A toda la parte que tenía que ver con la programación más pura y dura se sumaban otras disciplinas que también me vendrían de maravilla en el futuro, como fueron UNIX, Ensamblador, Diseño de Bases de datos y el lenguaje SQL, o Compiladores e Interpretes donde como todos los que hemos pasado por la Universidad toco diseñarse los autómatas de turno, el lenguaje formal y programar el analizador léxico, sintáctico y semántico de un lenguaje.

    Yo, como soy un enfermo, y en primero me encantó la Matemática Discreta y los algoritmos con los grafos, decidí proseguir con ellos hasta el final de la carrera, donde los algoritmos de cierres convexos, los algoritmos de triangulación o los de resolución de problemas con rectas de barrido me llevaron a terminar haciendo el PFC sobre esas cosas. Al final Melkman o Jarvis y su famosa marcha, me hacían pensar en algorítmica día tras día.

    Figura 2: La ejecución del marcha de Jarvis para hacer el cierre convexo de una nube de puntos

    La optimización del algoritmo y hacer uso de buenas estructuras de datos era el reto en todas las aproximaciones. Elegir la recta de barrido, el divide y vencerás, un recorrido en profundidad de un grafo para hacer un backtracking eficiente, implementar bien el QuickSort, o cómo pintar los triángulos de una lista de polígonos desordenados en el espacio era como resolver sudokus día a día.

    La programación era para mí una ciencia que se convertía en arte cuando descubría que para saber si dos rectas se cruzan en el espacio no debía calcular nunca el punto de corte porque no es eficiente y tenía que crear un algoritmo más eficiente para un límite infinito de rectas. Algo que cuando se añaden restricciones de espacio, memoria o tiempo, hacían que fuera aún mejor.

    Es por eso que, a todos los jóvenes que me habéis preguntado si es necesario hacer la carrera de informática para ser un buen informático os he dicho que no, pero que yo os recomiendo a todos que paséis por la Universidad, aunque tengáis que sufrir Cálculo Infinitesimal, Física, Lógica … o la famosa Estadística.

    Saludos Malignos!

    PD: Por si te gusta la algorítmica y la programación, aquí so dejo un PDF de un libro que cubre gran parte de estos temas: How to think about algorithms


  • AirOS vulnerables: ISPs en España sin actualizar
    Voy a poneros en antecedente de un gran problema de seguridad que me he encontrado, mientras me leía el libro “Hacking con buscadores”, escrito por Enrique Rando, y publicado por Informática64. Como todo me lo leo con animo de aprender, llegue al capítulo de “Shodan” con ganas de descubrir los secretos de este gran proyecto, así que lo leí y rápidamente me compre unos créditos para bucear sin límites después de ver que se podían hacer cosas como gobernar el mundo con SNMP.

    Como me dedico a los radioenlaces comencé a buscar hardware conocido para tal propósito, y enseguida recordé una vulnerabilidad conocida de los sistemas que integran AirOS de la compañía Ubiquiti. Resulta que en las versiones 3.6.1, 4.0, y 5.x de AirOS, se descubrió una vulnerabilidad por la que cualquier usuario remoto puede conseguir acceso con privilegios de administrador, y que fue publicada en Full Disclosure.

    El caso es que yo que me decido a esto, e instalo estas soluciones, recibí varios correos del fabricante y de mi proveedor, para solventarlo a través de una actualización de firmware. Pero buscando en “Shodan”, no tarde en darme cuenta de que, de los 6123 resultados que me arroja sólo en España, seguro que habría alguien que borro el e-mail sin leerlo o que decidió no actualizar el firmware.

    Figura 1: Sistemas AirOS en direcciones IP en España

    Sólo he visto 240 resultado y ya hay 37 casos. Al acceder a dichos dispositivos, empecé a recabar información, ya que una vez dentro de la consola de administración se pueden lanzar unos cuantos comandos.

    Figura 2: Es posible acceder a la consola de administración del sistema

    Hacemos un “ls -a” et voilá… (hay muchos resultados, así que probar)

    Figura 3: Respuesta de ejecución del comando

    Por ejemplo con “cfg.cgi”, nos hacemos un backup de la configuración a nuestro equipo, así trabajamos más cómodos. Aunque podemos verlo de forma gráfica sin complicaciones.

    Figura 4: Configuración de Wireless http://xxx.xx.xxx.xxx/link.cgi/sd.css

    Figura 5:  Configuración PPPoE http://xxx.xx.xxx.xxx/network.cgi/sd.css

    En cuestión de minutos se puede entrar en numerosos dispositivos, y rápido saltó la alarma. Resulta que estos AP llevan siendo instalados por proveedores de servicios ya bastante tiempo, y viendo su configuración es fácil darse cuenta de que donde estás realmente es en el AP que da servicio al cliente final.

    En este caso un ayuntamiento de un pueblo en Murcia. Para entendernos, este dispositivo en concreto pertenece a “Servihosting.es”(o por lo menos la dirección IP y los datos PPPoE), y es el que está dando servicios de voz y datos desde un punto remoto. He comprobado ya la friolera de 7 compañías que tienen este problema como aeromax.es, dmsystems.es, econnect.es, etc… lo que multiplicado por un buen número de usuarios de cada uno de ellos podría dar lugar a un buen problema.

    El atacante podría modificar lo que quisiera como por ejemplo las direcciones DNS, colocar un sniffer como ya he leído en algún post en Internet, modificar el port forwarding y ganar acceso a cualquier equipo en local, etc… Se puede ejecutar dhcp.cgi y arp.cgi para ver si tienen algún router detrás o cualquier equipo. Como en este caso en el que se ve claramente el Gateway VOIP que usan

    El problema se agrava aún más si un mismo proveedor ofrece estos servicios en toda una provincia, ¿no creéis? Pues esto está pasando, y no solo a usuarios finales y empresa como veis, sino a instituciones públicas. Hace unos días que he llamado al responsable de dicho ayuntamiento para que lo solucionen.

    Pero aquí está lo realmente grave. Me puse a enviar mails a los proveedores de servicios que encontré con esta vulnerabilidad, e incluso a llamar por teléfono para que solucionasen este fallo a mi entender muy grave, y ¿sabéis cuál ha sido la reacción? Han pasado dos semanas y nadie ha solucionado esto y sólo uno de ellos me ha mandado este mail que os copio aquí:
    Servihosting.es  
    Estimado XXXXXXX, gracias por ponerse en contacto con nosotros. Informarle que somos un operador Carrier-Carrier que proporciona servicios de tránsito a otros operadores por lo que en nuestro portfolio de productos no incluimos servicios Soho. Como bien sabrá en el tipo de servicios que ofrecemos no se contempla el filtrado de ningún tipo de tráfico. 
    Todos los días recibimos cientos de notificaciones de diversos CERT, motores anti spam, etc las cuales reenviamos a nuestros clientes de todo el mundo.

    Agradeciendo su ayuda, reciba un cordial saludo de Servihosting.
    Por ese motivo le he pedido ayuda al más malvado de todos, y desde aquí le doy gracias por haber publicado estas líneas.

    Nota: Se me olvido comentaros que en algunos dispositivos además de la vulnerabilidad sin parchear, están configurados con el usuario y la password por defecto (user:ubnt, pass:ubnt). Con proveedores así nos espera un fantástico futuro.

    Autor: Gerard Norton


  • Un sábado cualquiera: Jugando con un Applet Java
    El sábado por la mañana, después de haberles hecho sudar a mis alumnos con el examen del Master, terminamos la sesión viendo algunos fallos más de seguridad. Entre los fallos que vimos estuvimos hablando de las sesiones rotas, y las partes que son accesibles de un panel web sin tener iniciada una sesión. Así, yo les conté la historia de cómo pasé una tarde en Buenos Aires jugando con un ActiveX para ver cuánto era capaz de sacar del panel interno.

    Después de comer, me acordé de que tenía ganas de jugar realizar la misma jugada que con el ActiveX, pero con algún Applet Java, así que nada más levantarme de la siesta me puse a buscar algún lugar de pruebas. Tras tres consultas en Shodan [Cómprate el libro de hacking con buscadores... }:))], decidí quedarme con un bonito Applet de Java que invitaba a enredar con él... a ver qué salía.  Todavía no he terminado con él, pero os cuento la historia por si a alguien le viene bien conocer lo que fui haciendo desde el primer momento.

    Incialmente el Applet no acababa de funcionar correctamente, así que el primer paso fue mirar los valores de llamada en la carga del componente en la página web. Aunque los he tachado, se puede ver que el nombre del servidor no era un FQDN ni una dirección IP, así que hubo que imaginarse que ese era el nombre de la dirección IP que me había devuelto Shodan para configurar el fichero /etc/hosts.

    Figura 1: Parámetros de llamada del Applet

    Una vez arreglado eso, el Applet arrancaba feliz y contento pidiendo un usuario y una contraseña, lo que me recordaba la famosa fase 2 del Reto Hacking de Boinas Negras - solucionarios RoMaNSoFt al aparato -. Era como volver al pasado y jugar de nuevo.
    Figura 2: El Applet funcionando

    Tirando de normas pre-establecidas mi paso natural fue configurarme Burp como Proxy Local y ver qué estaba enviando para ver si podía interceptar algo, pero no enviaba nada a través de HTTP. De hecho, en los parámetros de llamada se puede ver que usa el puerto 300 para la comunicación, con lo que tocaba pasar a nivel 2, a ver qué dice Wireshark.

    Tras filtrar las peticiones capturadas por Wireshark por el puerto se puede obtener que el usuario y la password van en texto claro, lo que le hubiera costado ya un bonito negativo en un informe de auditoria de seguridad web que hacemos en Informática64.

    Figura 3: Usuario y Password en texto claro

    Sin embargo, al analizar el flujo TCP de la conexión parece que tiene un protocolo propio construido para comunicar información entre el cliente y el servidor, así que habrá que ver que son esos números de secuencia y esas cosas tan bonitas que se dicen.

    Figura 4: Protocolo de negociación entre cliente y servidor

    Para ello, volviendo a cómo se pasaba la fase 2 del Reto hacking de Boinas negras, descargué el Applet los descomprimí y descubrí que había muchos más ficheros de los que podía imaginarme, así que había que pensar en automatizar el método de análisis del Applet para ver si sacaba algo interesante.

    Figura 5: Extracción de ficheros y decompilación con Jad

    Para sacar el archivo fuente usé Jad, un decompilador Java que genera, como todos los de su clase, un archivo en texto claro con el código fuente extraído. A partir de ese momento el trabajo consistía en buscar los strings más interesantes a ver si era capaz de encontrar algo de información jugosa que me permitiera un atajo al destino final - fuera el destino que fuera, pues aún no tengo claro qué es lo que estaba buscado -.

    Entre las cosas que aparecieron, que ya os contaré en otro artículo más, apareció que el sistema usaba cifrado para las comunicaciones, lo que complica mucho los ataques de man in the middle.

    Figura 6: Análisis de strings con ficheros decompilados

    Por suerte, parece que las claves, como se puede ver en la imagen anterior, se encuentran definidas en un fichero que está dentro del Applet, así que el siguiente paso era ir a ver si realmente las tenemos allí.

    Figura 7: Claves de cifrado y descifrado en el código fuente

    En este punto, me encuentro con un Applet que no pasa por HTTP,  que autentica en servidor, y que los datos los envía cifrados con su propio código, pero que por suerte no tiene el código ofuscado, lo que facilita la labor de hacer ingeniería inversa del protocolo. ¿Qué hacer ahora? Varias opciones con las que proseguí las pruebas:
    - Conseguir hacer login en el servidor por medio de un fallo de inyección, por lo que será necesario  probar si es inyectable el componente en cliente o "meter los dedos en el enchufe".


    - Conseguir hacer creer al Applet que nos hemos logado y que nos enseñe el resto de panel para ver si hay partes con sesión rota, igual que en el caso del ActiveX.


    - Hacer análisis del código fuente para descubrir cuáles son sus orígenes de datos e intentar acceder a ellas directamente.
    Y... ya os contaré como acaba mi juego con el dichoso Applet.

    Saludos Malignos!


  • FTSAI 8: Del 17 de Febrero al 16 de Noviembre
    El curso FTSAI (Formación Técnica de Seguridad y Auditoría Informatica) lleva realizándose en Informática 64 ya varios años. Por él ya han pasado más de 100 asistentes, e incluso hemos tenido que realizar la formación FTSAI a medida para empresas y administración pública. Ya es un clásico dentro de Informática 64.

    Este viernes 17 de Febrero dará comienzo al Octava edición abierta al público, para que te apuntes a uno o todos los módulos que componen esta formación, que está dividida en 6 módulos de 25 horas cada uno. Las 150 horas están repartidas en los siguientes modulos:

    - Módulo de Conceptos de Auditoría de Seguridad
    - Módulo de Auditoría de Seguridad de Servidores y Clientes
    - Módulo de Auditoría de Aplicaciones Web
    - Módulo de Auditoría de Seguridad de Red
    - Módulo de Auditoría WiFi, IM, VoiP y VPNs
    - Módulo de Análisis Forense

    Las clases se dan en las instalaciones de Informática 64 en Móstoles, todos los viernes de 16:00 a 21:00 horas y los asistentes recibirán, además de nuestras clases, los libros de seguridad de Informática 64 como documentación del curso.

    Si quieres apuntarte para pasar los próximos 9 meses aprendiendo cosas con nosotros, puedes apuntarte siguiendo las instrucciones que tienes en la página web del FTSAI

    Saludos Malignos!