RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Hijacking ’ Category

Todos estamos corriendo durante la semana con las actividades de nuestro trabajo y a veces no nos damos tiempo para enterarnos de las noticias de seguridad que han ocurriendo durante la semana, para aquellos que estuvieron atareados, con informes, con trabajo tedioso y no tuvieron tiempo para revisar sus feeds aquí les dejo las principales noticias de Seguridad Informática y de Seguridad de Información que tuvieron lugar durante la semana, espero les sea de utilidad, de pronto se enteran de cosas que ni siquiera habían escuchado.

 

Noticias del Mundo

  1. DropBox Hackeado (13 de Octubre)

    Por si no te enteraste durante la semana se informó que DropBox había sido hackeado y cuando lo leí me sorprendió mucho ya que alguna vez este servicio también había sido hackeado y si la noticia era cierta parecía que no habían aprendido la lección [AQUÍ´más información]. Sin embargo al leer las noticias detenidamente que fue publicada en REDDIT y leer otros posts en internet se pudo notar que en realidad el hacker ha decidido publicar de manera gradual las cuentas que de DropBox que tiene bajo su poder que en total parecen ser (siéntense en un lugar seguro) 7 millones de cuentas vulneradas.

    Hasta la fecha viene publicando cerca de 2 mil cuentas con sus respectivas contraseñas, las mismas que han sido publicadas en Pastebin y de manera gradual. El hacker está solicitando pago en Bitcoins para seguir publicando más información pero al parecer las personas no están dispuestas a pagar mucho ya que no hay más noticias al respecto.

    http://pastebin.com/aRgTJzzg
    http://pastebin.com/jHEjBLrQ
    http://pastebin.com/4KvaSNTn
    http://pastebin.com/LsKrspK5
    http://pastebin.com/1AZQ7McK
    http://pastebin.com/NtgwpfVm

    image
    ¿Qué dice DropBox al respecto?

    Dropbox se ha lavado las manos – cual Pilatos tiempo atrás -  e indica que no han sido víctimas de ningún hacker y que las contraseñas obtenidas han sido obtenidas a través de terceras aplicaciones, a través de malware, keylogger y que además las contraseñas pertenecen a cuentas expiradas (habrán probado si podían ingresar con los usuarios y contraseñas expuestas ¿¿¿?? ).

    image

    ¿Cómo me protejo?
    Ya saben, DropBox también tiene la funcionalidad de autenticación a través de 02 pasos, si no lo tienen deberían activarlo.

  2. POODLE: Vulnerabilidad en SSL 3.0

    POODLE (Padding Oracle On Downgraded Legacy Encryption)  es la segunda vulnerabilidad “importante” durante el año que afecta a SSL – la primera fue HeartBleed por si no estás enterado.  La vulnerabilidad afecta al protocolo SSL en su versión 3.0 y permite que un atacante pueda obtener en texto claro las cookies que son transmitidas de manera cifrada, es decir, que las mismas puedan ser descifradas y si obtienes las cookies de sesión se podría obtener mucha información y realizar ataques de session hijacking (secuestro de sesiones del cual hablamos aquí).

    vulnerability test image

    ¿Cómo funciona esto?

    El detalle técnico lo pueden encontrar [AQUÍ] pero podríamos resumir que el ataque consiste en forzar que los clientes (o sea… todos nosotros con nuestros browsers) nos conectemos a los servidores NO a través de TLS v1 o superior sino que lo hagamos a través de SSL 3.0, una vez habiendo  forzado esto, el atacante inyecta un JavaScript a través de un Man in the Middle(MiTM) para finalmente obtener en texto claro las cookies de sesión.  Obviamente para hacer el Man in the Middle(MiTM) deberíamos estar en la misma red LAN así que no es una vulnerabilidad tan grave (si es grave pero no tanto) como la de HeartBleed que permitía atacar remotamente al servidor y obtener las credenciales en memoria del servidor remoto.

    ¿Cómo me protejo?

    Los usuarios finales:

    Deshabiliten SSL 3.0 de sus navegadores: Chrome, Firefox e Internet Explorer (no sabía si mencionar este último porque no creo haya algún de este blog que use ese navegador), deshabilitando SSL 2.0 y SSL 3.0 no podremos establecer conexiones a través de estos protocoles y usaremos siempre TLS v1 o alguna versión superior. Aquí unas imágenes de como hacerlo en Firefox:

    SNAGHTML163a62ad

    Los SysAdmin:

    Los administradores de sistemas deberían deshabilitar que los servidores soporten conexiones a través de SSL 2.0 y SSL 3.0. Aquí existe un riesgo porque de pronto aun tienen usuarios que utilicen browsers antiguos para establecer conexiones a través de estos protocolos, sin embargo, es una opción que debería ser evaluadas ya que no es común utilizar estas versiones del protocolo SSL ya que lo normal es que los browsers utilicen TLS. Aquí les dejo un manual de cómo los sysadmins podrían realizar esto en diferentes servidores: Apache, Ngix, OpenVPN, etc.

    image
    Aquí pueden encontrar el detalle de como realizar las configuraciones [AQUÍ]

  3. Hackearon el Sistema de Transporte Público de Chile (17 de Octubre)

    Hoy (viernes 17 de Octubre) mientras almorzaba leí esta noticia y no pude evitar comentársela a mi amigo Stanley si algo parecido se podría hacer aquí en el Metropolitano de Lima. Pueden leer la noticia completa [AQUÍ], el hacking consiste en recargase de manera gratuita 20 dólares en las tarjetas que son utilizadas para el ingreso al sistema de transporte.

    bip

Noticias del Perú para el mundo

Si señores, nuestro querido Perú no podía dejarnos sin noticias de este tipo y sólo voy a colocar dos que me parecieron importantes, uno sobre Seguridad de Información y la segunda sobre lo peligroso de los Comunnity Manager (o sea los que administran páginas de Facebook).

 

  1. Ahora tu Jefe puede leer tus mail #LEYCHAVEZ

    Esta señora, Martha Chávez, representa a la derecha más bruta y tarada del Perú, la extrema derecha como suelen denominarla en la actualidad. Basta con decir que esta señora es una impresentable total y que formó parte del gobierno más corrupto de la historia del país, pues no les bastó con sólo eso ya que ahora está impulsando (ya que ella es la que preside esta comisión del congreso) una ley (de hecho es un dictamen) que permite a los empleadores abrir y leer tu correo electrónico bajo el pretexto de que el correo electrónico que nos brindaron les pertenece. En cristiano esto quiere decir que las empresas pueden leer TODOS tus correos electrónicos porque ellos te han dado ese correo y no importa lo que contenga ese correo, adiós PRIVACIDAD.

    Lo que dice el dictamen en resumen es:

    ”Los medios informáticos en el centro de trabajo son de titularidad del empleador, independientemente de su asignación al trabajador y su uso no genera una expectativa razonable de privacidad o secreto”

    Evidentemente esto viola la privacidad de la información y no tiene ni pies ni cabeza toca esperar a que las redes sociales exploten y que tiren al tacho de basura este dictamen que viola la privacidad de la información.

    image

  2. La venganza del Community Manager (o hacking de una cuenta de Facebook)

    Ser Community Manager es en la actualidad ser un afortunado ya que esta noble profesión consiste en estar conectado todo el día a las redes sociales como Facebook y Twitter publicando las tendencias y noticias de la empresa para la que trabajan. En pocas palabras “se la llevan fácil” porque parece que en la actualidad han olvidado solicitar como requisito ser creativo para ocupar el puesto de Community Manager de una organización, no obstante siempre existe la oveja negra en el rebaño y aquí encontramos uno realmente creativo.

    Este Community Manager no tuvo mejor idea que concretar su venganza utilizando su herramienta diaria de trabajo – las redes sociales -  y es que la venganza es un plato que se come lentamente y que se sirve en frio. Obviamente nunca sabremos si realmente fue el “Community Manager” o si hackearon la cuenta de Facebook de esta empresa, yo me inclino por la primera opción.

    image 

image

image

 

**************************************************************************************************

 

Listo señores estas fueron las noticias de seguridad de información de la semana, espero se hayan divertido leyendo esto tanto como yo me he divertido escribiéndolo. Saludos y buen fin de semana a todos.

Popularity: 3% [?]

metroMientras entraba lentamente una vez más al Metropolitano de Lima durante aquella noche abarrotada de un mar de gente (o GENTES como dirían en México), un ansioso emprendimiento por escribir en mi blog me inundó, la falta de tiempo que siempre se apodera y devora mis ganas de escribir desaparecieron raudamente y atrevimiento inusual por escribir se apoderaron de mis dedos.

Tras un raudo ingreso al Metropolitano y  aplastado contra una de las puertas por una chica entradita en carnes, inicié una especie de monologo interior con mi conciencia, la misma que me reclamaba con incisivos apuntes el motivo por el cual no le dedicaba más tiempo a escribir en este mi querido y semi abandonado blog, no obstante, mi conciencia respondía con argucia ya que no estaba dispuesta a dejarse doblegar por el ímpetu que me embargaba de sobremanera en ese momento.

Mientras rebotaban decenas de ideas en mi cabeza, decidí realizar unas pequeñas cuentas (o hacer números como he escuchado por allí) sobre el tiempo que paso en el Metropolitano, veamos…. 2.5 horas diarias x 6 días semanales, me da un total de 15 horas semanales, ahora… 15 horas semanales x 48 semanas que tiene el año, eso suma un sustancioso … WTF!!! 720 horas anuales, eso quiere decir, que paso 90 días laborales en el Metropolitano, trabajo gratuitamente 03 meses en un ómnibus mugroso, repleto de gente y totalmente incomodo (y para rematar pesimamente diseñado por un ex alcalde sinvergüenza!!), que desperdicio de tiempo, se me va la vida – me dije a mi mismo.

Allí estaba yo, aún aplastado por la mofletuda chica, cuando de pronto miré mi celular y harto de revisar las últimas y calientitas novedades del Facebook, decidí encender clandestinamente algunas tools que tengo instaladas en mi aparato móvil para husmear y meter mis narices donde nadie me ha llamado,  ¿por qué? y ¿para qué? sólo para…. hacer algo más productivo que mirar el rostro anestesiado de una chica y para escribir algo más tarde en el blog acerca el poco nivel de conciencia en cuanto a seguridad de información que tienen las personas que se conectan a redes wireless muy lindamente OPEN;  algunos dirían que lo hago para joder, yo digo que lo hago para realizar un interesante estudio.

NADA DEL OTRO MUNDO…

Como ya estaba montado en el Metropolitano, decidí hacer algo de SNIFFING en la red para revisar el tráfico de aquellos incautos que se conectan a la red wireless OPEN que muy gentilmente ha decidido brindarnos el Metro de Lima, es decir, mientras el iba en el Metro y mientras este paraba en cada estación me puse a realizar algo se SESSION HIJACKING y capturar algunas cookies. Obviamente esto no tiene nada de especial y si alguien aun no tiene idea de como hacer esto manualmente sin una tool puedes revisar este POST donde realicé un videotutorial sobre este tema: AQUÍ

Como no todos los que estén leyendo este POST tengan idea de que cosa es el Metropolitano de Lima, pues son una serie de buses que se detienen a cada dos o tres cuadras no muy largas a recoger mas pasajeros y obviamente (lo que nos interesa) en cada parada cuenta con una Access Point marca CISCO que brinda internet FREE para los incautos… digo… para los eventuales pasajeros.

Aquí los resultados del SESSION HIJACKING realizado en el Metropolitano, en total obtuve 34 sesiones de Facebook vulnerables, todo esto aproximadamente en un recorrido de 50 minutos en el Metro en una hora punta del día (por eso me aplastaba la chica entradita en carnes).

image

 

image

 

image

 

Aquí les muestro un fragmento de la ruta que seguí en el Metropolitano y es que también me puse hacer algo de WARDRIVING, ahora pueden ver con más claridad donde es que se detenían para que suban más pasajeros, sólo que ya no se porque se detenían si el Metro ya estaba repleto.

ruta

CONCLUSIONES

  1. ¿Culpa del Metropolitano? Sinceramente no le veo responsabilidad, el Metro ofrece Internet gratis a las personas que usan el servicio, que quede claro que el servicio es el TRANSPORTE, el colocar internet es casi…. no se …. ¿cómo llamarlo? una monería (así dice mi Sra. madre). Aunque podrían emplear alguna técnica de mitigación de MITM en los AP Cisco, si han sido observadores los AP que adquirió el Metro son los CISCO AIRONET como la siguiente imagen, en teoría el fabricante dice que si provee protección…. pero… ver para creer!

    aironetcisco

  2. ¿A quién la echamos la culpa? Sinceramente sólo al nivel de conciencia y conocimiento que tienen las personas de usar aplicaciones mediante protocolos NO SEGUROS (HTTP) en vez de usar protocolos de envíos de información mas robustos (HTTP + SSL). También capture el tráfico con SHARK (como el Wireshark pero para Android), en la imagen muestro la cantidad de tráfico hacia los servidores de Facebook y que los mismos viajan en HTTP.

    image

    image

  3. Las sesiones capturadas fallecen cuando el usuario cierra sesión del Facebook, así que si capturé esto por la tarde de hoy…. es 99.9% probable que ninguna de las sesiones siga viva a las 2:27 am que estoy terminando de escribir este POST, la verdad (y para que no salte alguien con un comentario absurdo)… no entré a ninguna sesión de Facebook porque simplemente da mucha pereza, no era el objetivo de esta entrada y porque finalmente no me importa la vida del resto (ya tengo suficiente con la mía).

Saludos a todos espero que se hayan entretenido leyendo esto.

Popularity: 30% [?]

DroidSheepGuardCuando tenía 17 años empecé a ver los programas de Marco Aurelio Denegri (un intelectual peruano de avanzada edad,  que debe ser, creo yo, uno de los intelectuales más importantes de Latinoamérica), me gustan sus programas porque denota en sus comentarios harto conocimiento, cita fuentes importantes y siento en sus palabras algo de cólera, como si estuviera molesto con el público, con sus camarógrafos y hasta con él mismo; esa energía que le pone para criticar las cosas me cautivó y siempre que puedo veo su programa. Hace una semanas pude ver  un programa donde hablaba de los “accesorios tecnológicos” como los celulares, las tabletas y cualquier dispositivo que podamos llevar con nosotros sin que nos ocupe mucho espacio, él comentaba que estos dispositivos se han vuelto para nuestra generación en una “prótesis” de nuestros cuerpos, en algo tan elemental que en la actualidad sin ellos no podríamos sobrevivir.

Basta salir a la calle y observar detenidamente, todos tenemos una prótesis tecnológica adherida a nuestro cuerpo, desde celulares convencionales sin un sistema operativo sofisticado hasta Smartphones con Android y iPhone o tabletas que inundan con mas frecuencia cada minuto nuestras calles.

LA ERA POST PC

Esta nueva era es cada vez mas notoria, en algunos países demorará mas en llegar, definitivamente Perú no será el pionero de esta nueva era, pero toca reconocer que Perú debido a su crecimiento económico constante los últimos 12 años lleva la ERA POST PC avanzando lentamente sin detenerse; todo suena muy bonito, todo suena prometedor y parece augurar un futuro prospero, sin embargo, hay otros aspectos en los cuales no hemos avanzado absolutamente nada, ni siquiera hemos dado un paso – ni medio diría yo – y se trata de la seguridad de información.

Para muestra sólo un botón (así dicen mis padres):

  • ¿Cuántos tienen encriptado su teléfono celular, es decir,  encriptada y protegida la información que tienen sus dispositivos móviles?
  • ¿Cuántos tienen una contraseña o patrón de bloqueo para sus equipos celulares que sea considerado robusto?
  • ¿Cuántos se sienten felices de encontrar una red wireless libre (parques, centros de reuniones, patios de comida, etc.) y aprovechan la misma para revisar su correo electrónico, cuenta de Facebook u otras cuentas personales?
  • Y el peor de todos ¿cuántos llegan a algún sitio y sienten la urgencia (casi necesidad biológica) de tomarse una foto y compartirla de inmediato a alguna red social poniendo al descubierto su ubicación sin necesidad de un GPS?

Los hackers, llamémoslos así, ahora tienen mira puesta en esta nueva era, LA ERA POST PC, y debemos reconocer que en el Perú el nivel de conciencia en cuanto a seguridad de información se refiere es todavía muy débil y le facilita el trabajo a aquellas personas que suelen aprovecharse de estas facilidades, además, los hackers ya no necesitan una laptop para obtener información crítica, ahora sólo les basta un equipo celular para lograr acceso a información sensible.

¿Quiénes deben preocuparse? 

Voy a clasificarlo de la siguiente manera:

  • LUGARES PÚBLICOS SIN CONTROL

En esta clasificación están los lugares públicos y que por lo general están bajo la responsabilidad del estado, por ejemplo: parques con internet gratis, centrales de ómnibus con internet gratuito, etc.; pienso que conectarse a internet para acceder a información sensible a estas redes públicas es casi un suicidio, es casi pegarse un letrero en la frente que diga: “Please, rob me”. Bajo este escenario no hay responsables, nadie controla la seguridad de las comunicaciones y es que simplemente no hay presupuesto para controlar todo esto.

 

  • LUGARES PÚBLICOS QUE DEBEN SER CONTROLADOS 

Aquí la situación es distinta, aquí hablamos de sitios donde si hay responsables quienes deben preocuparse de la seguridad de las comunicaciones, por ejemplo:

  1. LOS HOTELES: En mi experiencia en Perú y en algunos otros países de América donde me he hospedado, ningún hotel vigila o brinda seguridad a sus redes públicas, es decir, aquella red (que por lo general esta separada de la red operativa del hotel) donde todos los huéspedes se conectan para revisar sus correos empresariales, información corporativa sensible y realizar transacciones bancarias. Esto resulta extremadamente crítico, se imaginan lo que pasaría si un hacker realiza el robo de credenciales de una tarjeta de crédito en algún hotel y esta información se hace pública? El hotel simplemente desaparecería del mercado, sería catalogado como un hotel inseguro, es decir, donde se realizan robos y su reputación se vería en ruinas.

  2. SITIOS DE REUNIÓN: No voy a colocar nombres para evitar problemas pero hago referencia a todas aquellas empresas que tienen un establecimiento de comida y/o reuniones de trabajo donde se le brinda al cliente una conexión de red, una conexión a internet mal llamada gratuita porque en realidad el cliente la está pagando al consumir algún producto. En estos sitios también se realizan transacciones bancarias, se leen correos importantes, etc; alguien protege estas redes de comunicación? Que pasaría si mañana algún empresario importante denuncia haber sido víctima del robo de su correo electrónico en alguno de estos establecimientos?

SESSION HIJACKING – DROIDSHEEP

Droidsheep es una aplicación para sistemas operativos Android que captura las cookies e identificadores de sesión mediante la técnica de hombre en el medio, luego las selecciona, procesa y te muestra un listado simple de las sesiones secuestradas, es muy similar a lo que alguna vez fue el famoso plugin de Firefox: FIRESHEEP.

DSC06566

Detalles de instalación:

  1. Rootear el dispositivo móvil con S.O Android. Para este video hemos utilizado un Galaxy Nexus
  2. Instalar ARPSPOOF en el dispositivo móvil con S.O Android. DESCARGAR AQUÍ
  3. Instalar Droidsheep en el dispositivo móvil con S.O Android. DESCARGAR AQUÍ
    Nota: La página oficial de Droidsheep fue obligado a retirar el software por ser considerado una herramienta para hackear pero el código fuente se encuentra en la página web. Pienso que la herramienta debería ser considerado un muestra de lo sencillo que es realizar ataques desde un dispositivo móvil …. bueno…. eso es definitivamente otro tema.

    droidsheep

  4. Opcional: Instalar Shark for ROOT (Wirehark para dispositivos móviles)

 

Popularity: 79% [?]

misquito2Agradezco a todos por los comentarios muy buena onda que me envían al correo electrónico, sin embargo, la mayoría de comentarios vienen acompañados y de la manito con alguna pregunta sobre algún videotutorial que he realizado. Los últimos días me han escrito mucho al correo preguntándome sobre como realizar el secuestro de sesiones vía XSS y aquí les va la respuesta.

La semana pasada habíamos explicado y realizado el primer videotutorial sobre el robo de sesiones a través del sniffing de red capturando el identificador de sesión que viaja en texto plano, esta técnica funciona muy bien y agarra con los pantalones abajo (como dice mi amigo SuperMan) a los usuarios que se encuentran en la misma red LAN; sin embargo, la técnica del sniffing no funciona si es que queremos robar sesiones desde lugares remotos, es decir, a través de Internet.

El video es corto, explica como robar sesiones vía XSS y contiene lo siguiente:

  • Introducción al secuestro/robo de sesiones mediante XSS: Teoría
  • Inserción de código Javascript en aplicaciones web
  • Secuestro/robo de sesiones mediante modificación de la cookie capturada

El material de la presentación la pueden descargar desde: AQUÍ

Popularity: 7% [?]

BlackSheepTranquilos, no están locos y nunca lo estuvieron. Si algunos fueron acusados de paranoicos, fueron vistos como bichos raros y fueron examinados de pies a cabeza como buscando alguna explicación lógica para no tildarnos de locos, este video reivindicará todas precauciones que  tomamos al conectarnos a Internet.

El secuestro de sesiones es un tema muy pocas veces tocado, existe poca documentación en ingles y menos aún en español por lo que estoy seguro el video dará muchas luces sobre el secuestro de sesiones de aplicaciones web.

El domingo desperté con el objetivo de hacer el videotutorial sobre secuestro de sesiones pero la televisión y el clásico del futbol peruano dilataron la creación del video. La desafortunada decisión de postergar el video había creado un fuerte eco en mi cabeza que tenía planeado no dejarme dormir tranquilamente hasta no cumplir el objetivo, de pronto sentí a media noche  un ansioso emprendimiento por realizar el videotutorial, parece una locura, lo sé, pero no podía dormir sin hacer el videotutorial que me había propuesto para ese día. Me levanté a las 0:15 am del lunes y terminé a las 01:55 am de editar todo el video, vaya manera de terminar un domingo y comenzar el lunes.

 

El video tutorial contiene:

  • Introducción al secuestro/robo de sesiones: Teoría
  • Ejercicio de robo de sesiones de manera manual
  • Secuestro/robo de sesiones a Hotmail
  • Tools hijacking Hamster y Ferret – Facebook hijacking
  • Tools hijacking Greasemonkey – Facebook hijacking

Pueden descargar la presentación del video tutorial AQUÍ

UPDATE 16/05/2012:

Muchas personas me han pedido que coloque el código web de la aplicación que se muestra en el videotutorial, lo pueden descargar aquí: AQUÍ

 

Popularity: 31% [?]