Tag seguridad - Userlinux.net

Hay un nuevo evento en el panorama de la seguridad informática a nivel nacional. Para despistados -que los habrá :D- estoy hablando de la Rooted CON. Un grupo de profesionales -y fanáticos de la seguridad- se han juntado para ofrecer un congreso con conferencias altamente técnicas desde un enfoque práctico y neutral. Por lo que podemos ver en la sección de ponentes promete demasiado como para ser verdad -¡qué alguien me pellizque!-. Poco a poco se irán confirmando más ponentes y los detalles de cada ponencia:

• Chema Alonso, de Informática64.
• David Barroso, de S21Sec.
• Joxean Koret, de 48bits y Panda Security.
• Alejandro Ramos "dab", de SecurityByDefault.
• Antonio Ramos, de S21Sec.
• David Reguera, de Hispasec Sistemas.
• Rubén Santamarta, de ReverseMode y 48bits.

Todavía no sé si podré asistir porque es entre semana (18, 19 y 20 de marzo) y complicado de compatibilizar en horarios con el resto de las obligaciones.

Será uno de los eventos más interesantes del año en cuanto a seguridad y espero que consiga continuidad. Desde aquí my 2€cents en forma de promoción. (Vía Vierito y Rooted CON).

Todos tenemos despistes, pero cuando jugamos con datos de otros la responsabilidad tiende a ser mayor (aunque seas el amigo informático al que le tocan los marrones).

El caso es que intentando reinstalar un portátil puede ocurrir que marquemos como "espacio libre" una partición de forma incorrecta (justo la de un disco duro externo, el backup de datos para más inri) y escribamos la tabla de particiones...

Seguimos descubriendo características de Metasploit y quedándonos boquiabiertos con todo el poder de esta fantástica -y controvertida- herramienta.

Pensándolo con frialdad hasta me he planteado la escritura de este post, me preocupa la ética de los posibles lectores... pero visto de otra forma ni estoy descubriendo nada nuevo ni quiero hacer apología del non full disclosure así que -muy por encima pero- allá vamos.

Hoy intentaremos saltarnos un sistema de detección de intrusos (IDS), al menos en teoría, porque no tengo ninguna maqueta montada para probarlo realmente. A la hora de usar nmap para comprobar la disponibilidad de algunos puertos de una Red es muy posible que cualquier IDS detecte los escaneos y emprenda algún tipo de acción.

El idle scanning se sirve del IPID para echarle el muerto del escaneo a otro ordenador zombie con lo que para hacerlo efectivo debemos -antes de nada- encontrar ese ordenador adecuado al que culpar.

He visto la imagen en Focus.com y en Sabe más el diablo, me ha parecido muy interesante quedarme con una copia -y eso que todavía no he tenido tiempo a leerla entera-, ahí va:

Es uno de los grandes dilemas BOFH. Cada administrador las hace a su modo, podemos presuponerlas todas correctas hasta que se demuestre lo contrario. En sistemas *NIX like tenemos varias opciones, desde un tar a pelo hasta un script con rsync pasando por rdiff-backup, scp...

Particularmente desde que conozco la opción --link-dest de rsync no soy el mismo. He ido mejorando poco a poco la política de copias, empezando por no tener ninguna hasta llegar al sistema actual que intento explicar.

Sigo sin entender que este tipo de vulnerabilidades, bugs o como querais llamarlo sigan teniendo efecto en pleno 2k6. Y más aún con un producto relativamente nuevo (no creo que llegue a 15 días desde su aparición) de una empresa como La Innombrable teniendo -supongo- todo un equipo de seguridad detrás de sus creaciones.

El afectado en este caso es el Windows Live Messenger 8.0 con un heap overflow estúpido pero -parece ser- efectivo. Podeis probar el exploit de la siguiente forma:

Messenger => Menu => Contact => Import Instant Messaging Contacts =>
Select CLexploits.ctt

Como vemos, el código XML para la importación de contactos no tiene demasiada chicha:

<?xml version="1.0"?>
<messenger>
  <service name=".NET Messenger Service">
    <contactlist>
      <contact>AAAAAA[MUCHAS_MAS_AES]AAAAAAAAAAAAAAAA@hotmail.com</contact>
    </contactlist>
  </service>
</messenger>

Me sorprende que este tipo de fallos sigan de moda, bien es cierto que estoy bastante off en programación, pero son técnicas de hace años que se deberían haber corregido. Aunque tratándose de quien se trata...

Me hace gracia, ahora 'parece que es oficial': Utilizar un servidor X es inseguro. Loic Duflot (ingeniero de seguridad centrado en ataques vía hardware) lo ha demostrado y explicado en la CanSecWest mediante una presentación que viene a resumirse en pocas palabras (traducción libre):

El paradigma de los drivers en entorno de usuario en servidores X expone todas las características del hardware al usuario. Algunas de estas características pueden usarse para saltar protecciones de memoria y acceder mediante el servidor gráfico a un control total del kernel.

Los desarrolladores de OpenBSD en su día hicieron una intentona de separar privilegios y ejecutar el servidor X con su propio usuario, pero parece ser imposible puesto que requeriría un rediseño total del servidor. La solución para mantener el sistema seguro pasa por no usar el servidor gráfico.

¿Hacen falta más motivos para llegar a la conclusión de que dicho servidor en una máquina productiva es un extra que puede pagarse muy caro?.

Cuando programamos una aplicación en la que, de forma interactiva, accedemos a una base de datos, debemos cuidar ciertos parámetros básicos para no poner en peligro la integridad de los datos. SQL Injection es una técnica con la que se pretende explotar justamente esta característica.

El origen suele ser un filtrado incorrecto de las variables introducidas por el usario a través, normalmente, de un formulario web. Se trata de inyectar código SQL embebido. Lo veremos mejor con un ejemplo. Un formulario de login, donde se introduce usuario y contraseña. Lo típico sería que, si la dupla introducida fuera Usuario:Antonio, Contraseña:abracadabra el SQL resultante quedaría así: Ahora supongamos que un usuario malintencionado rellena el formulario poniendo lo siguiente, Usuario: Pepe, Contraseña: pepe' OR 1=1;--. Veamos: La condición 1=1 se cumpliría siempre, con lo que existirían resultados y, dependiendo del código de la aplicación web, podría dejarnos entrar. Una vez visto un ejemplo práctico sencillo y sin profundizar más en el tema (hay ríos de tinta sobre esto) paso a la cuestión moral.

Había una vez un pingüino aburrido que se puso a jugar. El juego consistía en llamar a la puerta de algunos iglús de Vila Pengüín haciéndose pasar por alguien familiar. En un principio se trataba de algo gracioso aunque no siempre el resultado era satisfactorio. Pero un día encontró una puerta abierta, entró y vió un vale de compra de PenguMarket. No lo cogió porque su ética no lo permitía, salió del iglú y dejó todo tal cual había encontrado.

Días más tarde nuestro pingüino se enteró que la familia que habitaba aquél iglú tenía por costumbre dejar la puerta abierta y por su cabeza pasaron varias cuestiones:

• ¿Aviso a los dueños para que nadie les robe el vale de compra?... ¿Y si me denuncian por allanamiento de iglú?... mejor no meterme en temas legales.
• No digo nada... pero ¿y si alguien entra y se gasta el vale en pescados para todo el invierno?.
• ¿Podría decírselo a algún amigo de la familia o cerrajero (saque o no tajada) para que, indirectamente, les adviertan que mejor cerrar la puerta con llave y evitar desgracias? (hispasec, alfa21...).

Nuestro pingüino se encuentra desorientado y no sabe cómo actuar, ¿qué haríais vosotros?.

Hace unos días Jocker hablaba de phishing como una de las técnicas más usadas hoy en día para el robo de datos, ante esto exponía un supuesto de como Cristina era estafada con un correo electrónico falso.

Para los no iniciados, el phishing es una variante de ingeniería social por la cual se trata de engañar al estafado para hacerlo creer que somos quien realmente no somos y nos facilite información confidencial.