jueves, 23 de diciembre de 2010

INSEGAR - Resumen de posts del 2010


Buenas gente! Espero que hayan estado muy bien en este tiempo que me ausente del blog. Como se imaginaran, la falta de tiempo fue el factor principal por el cual no anduve por estos lados. Adicionalmente, conflictos con proveedores de Internet poco serios sumados a una mudanza apresurada lograron que descuidara mi querido blog y a mis estimados lectores.

Bueno, hoy les dejo un resumen de todos los posts que saqué durante el año 2010, para que aquellos que no tuvieron la oportunidad de leerlos todos, lo hagan, y aquellos que desean rememorar alguno de ellos (o son rencorosos...:P), tambien:


No me despido sin antes aprovechar la oportunidad para agradecerles a aquellos que se tomaron un minutito para leer mis humildes palabras e incluso dejaron un comentario cuando lo creyeron conveniente. Su visita y su opinión son los que hacen a este blog lo que es, y por eso muchas pero muchas gracias!!! Espero seguir viéndolos por aquí en el 2011 y les deseo que terminen el 2010 de la mejor forma....ASADO + CERVEZA!!!....y en familia o con quienes más aprecian.

Mis felicidades y un abrazo digital a tod@s!!!

Ximo

lunes, 1 de noviembre de 2010

Cajero 100% abierto - Banco Itaú


Odio ser repetitivo, pero no se si recuerdan el post que escribí hace un tiempo sobre el Banco Itaú, donde mostraba como en uno de sus cajeros me encontré con una ventana de su solución antivirus.

Como siempre mi curiosidad me atrajo de nuevo a dicha sede del banco, más allá de que la sede del mio, que se encuentra a unos pocos metros, ya se encontraba funcionando con normalidad. Para mi "sorpresa" noté que el cajero junto al que me referí en el post anterior era el que ahora tenía el "problema".

Pero el problema no era el mismo de antes...sino que un "poquito" más grave. Como siempre digo, una imagen vale más que mil palabras:






Por un problema de un controlador no encontrado, el inicio automático del sistema del banco falló, dejando completamente expuesto al cajero. Yo, en mi afán de ayudar, le di "clic" con el dedo al botón "Aceptar", pero al parecer ya era demasiado tarde.

Leer más...

lunes, 25 de octubre de 2010

Un malware en forma - Megatlon





 Hace unas semanas un compañero de trabajo, a quien por cierto agradezco (¡Gracias Leandro!), me comentó que el sitio de Megatlon se encontraba infectado.

Obviamente esto atrajo mi curiosidad por lo que decidí revisar la página para ver que encontraba...

Efectivamente el sitio había sido inyectado con un script que llamaba a un java script malicioso alojado en en el servidor de Megatlon. Esto nos indica que el sitio o el servidor web que aloja a Megatlon fue vulnerado.

Dicho archivo llamaba a otro script, que en este caso se encontraba dentro de un archivo PHP y alojado en otro sitio web, también vulnerado.

Revisando en profundidad el sitio del popular gimnasio, noté que la la llamada al java script malicioso no se encontraba  solo en la pagina principal, sino que en todos y cada uno de los archivos PHP que poseía el sitio.

Esto no parecía lógico, ya que muchos de los archivos PHP infectados no eran accesibles por lo usuarios por lo que no ayudarían de forma directa a la tasa de infección que probablemente el usuario malicioso buscaba.






Esto significaba una sola cosa, que esto era obra de un Exploit Pack, un sistema especialmente diseñado para buscar y explotar vulnerabilidades dentro de servidores web de forma automática. Dichos sistemas lamentablemente son muy comunes ya que son muy fáciles de utilizar y se venden a precios accesibles para aquellos usuarios maliciosos que buscan lucrar con ellos.

Pueden leer mucho más sobre este tipo de sistemas y todo lo que se refiere al crimeware dentro del blog de Malware Intelligence.






El java script utilizado en el sitio de Megatlon es detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.HackLoad.AD por lo que si tienen una solución antivirus con detección proactíva instalada en su compu, no tienen de que preocuparse.

Quiero agradecer particularmente a Milio por la ilustración que creo especialmente para este post y los invito a todos a darse una vuelta por su blog donde podrán no solo apreciar su excelentes ilustraciones sino también sus dotes de poeta nato.

Mis saludos internautas...


Ximo

martes, 31 de agosto de 2010

"Espera que saco plata y agendo un análisis en el cajero" - (Banco Itaú)

El viernes pasado volvía a mi casa luego de ir al cine con mi novia y se me ocurrió sacar plata ya que pensábamos salir a comer algo por el barrio.

Luego de notar que mi banco se encontraba cerrado por reparaciones me dirigí al banco continuo, una sede del Itaú.

Por si no lo registran al banco, es aquél que hace poco instalo en sus sedes esas puertas corredizas al estilo Star Trek que se abren luego de deslizar la tarjeta.

Luego de este ingreso de "película" a dicha sede, me detengo estupefacto ante el mensaje que mostraba el cajero:


Así es, el cajero me preguntaba si quería confirmar la realización de un análisis programado por parte del antivirus que posee instalado, Trend Micro Office Scan.

Obviamente esta no es la normal pantalla de bienvenida de un cajero, ni tampoco una operación que un cliente del banco tenga que realizar antes de operar sobre su cuenta. Por el lado comercial esto podría afectar a la entidad financiera ya que el cliente podría perder confianza sobre la misma y a consecuencia una posibilidad real que considere incluso el cierre de su cuenta.

Pero no es el aspecto comercial el que nos interesa en este blog, sino el técnico. El hecho de que veamos dicha ventana nos indica que solución antivirus utiliza el banco y también la versión (Office Scan).

Antes de detallar el potencial peligro, me gustaría explicarles el termino "seguridad por oscuridad". Básicamente es un principio que plantea que un sistema o sistemas pueden basar su seguridad o parte de ella en el secreto de su existencia, ya sea a nivel diseño o implementación.

Normalmente uno no debería saber que antivirus utiliza un banco es sus cajeros, pero sabiendo esto y realizando una simple búsqueda en Google con los términos "Trend Micro Office Scan vulnerabilidad" damos con este interesante artículo. ¿Ven algún nombre en la lista que les parezca familiar?

Continuando con la anécdota, procedí a darle clic en "Ok" y luego utilice el cajero de al lado, el cual no tenia ninguna alerta atípica...solo por las dudas. :-)

PD: Sepan disculpar la calidad de las imágenes, pero solo tenia a mano la cámara de mi celular.


Ximo

miércoles, 18 de agosto de 2010

Y por casa? Auditoría de IP's - Parte 2


Como prometí, aquí les dejo la segunda parte de este post. Como verán me esmeré un poco y arme un vídeo...ya que si una imagen vale mas que mil palabras, entonces un vídeo seria algo como (FRAMESxSEGUNDOS DE DURACIÓN)x1000= ?....no? :P.

(Les recominedo que vean el video en pantalla completa ya que lo subí en alta calidad)




Como pueden ver una de las IP's con las que me encontré realizando el análisis poseía un panel de login bastante raro (y si, es de Argentina, Buenos Aires). Pero la cosa se ponía más y más rara a medida que me adelantaba con la investigación.

Como siempre, el problema común de las credenciales por defecto. Una vez dentro me encontré con una cámara de seguridad que apuntaba a una calle. Lo curioso fue ver como la segunda cámara ya parece encontrarse más escondida al igual que la tercera, cuarta y quinta, donde ya nos metemos en el domicilio de quien asumo son los dueños de este "sistema de vigilancia". Aunque...parecen estar muy escondidas las cámaras, no? Pareciera que esta familia es la vigilada...Honestamente no sé la respuesta, lo dejo a ustedes que saquen sus propias conclusiones.

Lo importante a destacar aquí es que si efectivamente se trata de un sistema de seguridad propio, ponerle admin:admin de usuario y contraseña hace no solo que se pierde todo sentido de la instalación, sino también que dicha tecnología se vuelva en nuestra contra, exponiéndonos al mundo.


Ximo

martes, 10 de agosto de 2010

Y por casa? Auditoría de IP's - Parte 1


Buenas buenas mis ávidos lectores! El día de hoy no les voy a hablar de servidores web, ni de los errores o descuidos que sufren los administradores de los mismos. No señor, hoy les voy a hablar de ustedes...si, de ustedes y de los problemas que pudieran llegar tener en el punto mas externo y público de su/s equipo/s o red: su IP.

Este numero nos identifica como únicos dentro de internet (ojo!, hablamos del IP externo o publico y no de el o los IP's locales). La mejor forma de averiguar nuestro IP externo es ingresando a algún sitio como MyIP.es.

¿Y ahora que se mi IP qué hago?

Bueno mis queridos amigos, con este numero ya sabemos el rango de IP que nos asigno nuestro proveedor de Internet.

Digamos que nuestro IP es 123.123.10.2 (ni se gasten, el IP no existe :P ), y se nos ocurre escanear todos los IP's dentro de nuestro rango (último octeto del IP), entonces vamos a analizar todos los valores comprendidos entre 123.123.10.0 hasta 123.123.10.255.

Excelente! Yyyy....¿con qué y cómo los analizamos?

Existen literalmente miles de herramientas para escanear IP's. Una de las mas populares es Nmap por lo versátil que es, pero en este caso vamos a usar Angry IP por su amigable interfaz. En ambos casos los productos son multiplataforma por lo que nadie tiene excusa... :-]




Arriba vemos una captura de los resultados obtenidos del análisis de un rango con el Angry IP. En este caso además de especificar el rango, yo edite las preferencias y le indique que analizara todos los hosts activos (para no seguir diciendo IP's) en busca de determinados puertos abiertos. Puntualmente los siguientes: 21,22,23,80,139,443,445,8080.

¿Qué buscabas con esto?

Muchos routers y modems poseen una consola de administración web o telnet a la cual se puede acceder por un determinado puerto (El 23,80,443 y 8080 son los más comunes). Obviamente que dicha consola se encuentra protegida por usuario y contraseña, pero los datos por defecto no suelen ser muy complejos que digamos (el incansable admin:admin es el más popular). El gran error que comenten muchos usuarios es no cambiar dichas credenciales por defecto, ya sea porque ignoran que este acceso existe o porque creen que al poseer una IP dinámica nadie los va a encontrar. Gran error!!! Es un tremendo problema, ya que esto puede darle acceso a nuestra red y equipos a un usuario malicioso, y como demostramos anteriormente, el IP dinámico aparece en los resultados del análisis al igual que cualquier otro.




Arriba un router el cual posee credenciales por defecto donde se puede ver que tiene dos clientes conectados por LAN y WAN respectivamente, uno es una PC que al parecer fue comprada en Garbarino y el otro es un Iphone.

Y si creen que lo único que se puede hacer aquí es volver loco a los clientes desconectándolos de la red se equivocan. Imaginen que un usuario malicioso abra y redireccióne el puerto 445 a uno de los clientes que se encuentra conectados, con la esperanza de que este disponga de recursos compartidos. De ser así este podría lanzar un exploit que le permita obtener una shell dentro del equipo en cuestión y así disponer de acceso total sobre este.

No es tan gracioso ahora, ¿no?.

No se imaginan la cantidad de routers y módems que encontré con credenciales por defecto. Debajo otro ejemplo:




Además encontré algo muy interesante que voy a postear en una segunda parte ya que estoy terminando de producir el material y sino me queda el post muuuuuy largo.

Recuerden que no deben acceder a dispositivos ajenos, y si accidentalmente lo hacen, no deben modificar nada en absoluto ya que es ilegal. Dentro de lo posible traten de comunicarle al propietario que cambie sus credenciales.


Ximo

viernes, 6 de agosto de 2010

Nuevo domino www.insegar.com.ar



¡Buenos días (o noches, según corresponda) mis estimados lectores! Tengo el agrado de informarles que desde hace aproximadamente una semana disponemos de un dominio .com.ar. El mismo es:




 Lo importante de esto es que va a permitir crecer a IN-SEGAR hacia nuevos horizontes. Con este nuevo domino también aprovecho para contarles la incorporación de un nuevo Tag o Etiqueta llamada "Internacionales" donde publicaré fallas a nivel mundial, expandiendo así el alcance del blog.


Espero que les agraden estas noticias y les pido que comenten para conocer su opinión y si les gustan o no los cambios realizados. También los animo a expresar sus criticas o recomendaciones para el blog, en caso de que no deseen hacerlo de forma publica en un comentario me pueden escribir a ximo.insegar@gmail.com .

Ah! Me olvidaba! Dentro de muy poco voy a estar realizando un pequeño desafío, para quienes se animen, con interesantes premios, asique estén atentos al blog. (Pueden suscribirse para recibir los post por correo o en su lector RSS de confianza, :p).


Ximo

martes, 3 de agosto de 2010

Nueva versión 2.1.2 de Nikto


Les dejo una nueva versión de Nikto. En este caso la version 2.1.2 que fue liberada el 11 de Julio del corriente año. Como dije en el anterior post, esta es una excelente herramienta de auditoría, por lo que les recomiendo a todos aquellos interesados en la auditora de seguridad que lo descarguen, y para aquellos que ya la tienen que la actualicen.



Les dejo los links de descarga:

Descarga: Version 2.1.2 .gz o .bz2

Y a continuación les dejo el changelog (registro de cambios):

2010-07-11 Nikto 2.1.2
  • Ticket 8: Interactive scan status.
  • Ticket 122: Cleanup db_404_strings to prevent over-matching.
  • Ticket 122: Use db_404_strings as a higher priority.
  • Ticket 125: fetch is dead, long live nfetch!
  • Ticket 126: subdomain plugin tries to guess domain on unqualified hostname.
  • Ticket 127: dav methods are treated specially and reported all at once.
  • Ticket 129: Change references for config.txt to nikto.conf.
  • Ticket 130: Added -D E to show HTTP errors, otherwise suppress.
  • Ticket 132: Properly check for HTTP and HTTPS ports in cache.
  • Ticket 133: Regular expression matching causes errors. Removed char_escape and some other regexs in favor of the faster quotemeta(). Also set many regexs to non-capturing for speed.
  • Ticket 134: Added documentation of -config to usage_short.
  • Ticket 136: Moved set_scan_items to only run once, should speed things up with multiple targets.
  • Ticket 137: Added -ask to override nikto.conf's UPDATES value (same options).
  • Ticket 139: Partial fix: Moved URI error handling and reporting result to nfetch, rather than being in nikto_tests.
  • Ticket 141: pre-compile RE in content_search to give some speed-up.
  • Ticket 142: Enhancement to allow easier addition of hooks.
  • Ticket 144: Cleaned up map_codes to use general rules, still needs some for redirection.
  • Ticket 145: Added OSVDB 0 to orphan items in db_tests.
  • Ticket 146: Paritial fix: with new "start" hook which is run at the start after target enumeration.
  • Ticket 147: Grab HTTP information on the fly, deprecate get_banner.
  • Ticket 150: Special characters in XML output.
  • Ticket 152: HTTP Version set in nikto.conf over-ridden.
  • Ticket 153: Properly check for HTTP and HTTPS ports in cache.
  • Ticket 156: Update system couldn't update nikto_core.plugin.
  • Ticket 163: Scan details not appearing in XML reports.
  • Allow changing certain config settings during scans.
  • Optimized rm_active_content() a little by shuffling code and reducing some mem copies/regexs. Needs more work.
  • Update nikto.conf to switch tests to always have the (report:500) parameter.
  • Updates to read known headers on the fly, rather than make requests for them.
  • Fixed a bug with the order of parameters in hooks (broke parameters being passed to some plugins).
  • Added the parameter "report" to tests plugin to report when completed x number of tests.
  • Stop LibWhisker producing an error when talking HTTP to HTTPS during port_check.
  • Merged apacheusers and apache_enum_users.
  • Add facillity for a plugin to inform which options it can take.
  • Added nbe output plugin which written by Frank Breedijk of the Seccubus project.
  • Moved do_auth to a postfetch plugin.
  • Removed dead code from fetch().
  • Optimizations in nfetch(), nikto.pl, & elsewhere.
  • Added support for prefetch and postfetch hooks.
  • Moved content_search to a plugin.
  • Some tuning around plugin execution.
  • Updated user_enum_apache to use Plugins instead of mutate.
  • Rewrote the macro expanding bit to make it more efficient.
  • Mutate 1 now wrapped into nikto_tests and doesn't take up anywhere near the amount of memory!
  • Starting to deprecate mutate by replacing with plugin options. -mutate 2 (passfiles) is now implemented within tests and
  • uses less memory.
  • Updated -check_updates to use nfetch instead of fetch.
  • Updated -Plugins support.
  • Add filename support to rm_active_content.
  • Added basic support for -D s (scrub, removes some information from the log).
  • Match plugin names case-insensitive.
  • Warn if RFIURL is undefined.


Ximo

viernes, 2 de julio de 2010

Otra vez sopa... esta vez la UCA (Universidad Católica Argentina)



El día de hoy, y luego de mucho tiempo, les traigo otro descuido en una universidad. En este caso se trata de la Universidad Católica de Buenos Aires, donde debido a la utilización de carpetas desprotegidas y contraseñas por defecto se puede acceder a un administrador (PhpMyAdmin) de las base de datos MySQL que utiliza para su blog que aún se encuentra en construcción.




Como se puede observar en la captura anterior es posible acceder al popular gestor de bases de datos PhpMyAdmin donde se pueden realizar modificaciones directamente sobre la base de datos alojada en el servidor de la UCA.




La misma posee desde cada entrada publicada en el blog hasta todos los usuarios registrados dentro de la popular plataforma de publicación Wordpress con sus respectivas contraseñas encriptadas.




Como se pueden imaginar esto no solo es peligroso por el posible daño a la imagen pública de la entidad, sino también por la perdida de registros dentro de su base de datos y un posible intento de escala de privilegios mediante la inserción de una shell llamada desde un sitio externo.




En este caso no es tan critico el error ya que el blog no se encuentra en producción, pero si alguien quisiera ingresar al servidor de esta universidad esto le facilitaría el 70% del trabajo.


¿Cómo solucionarlo?

  •  En primer lugar proteger la carpeta en la que se alojan los archivos de PhpMyAdmin con htaccess, mas allá que dicho sistema tenga su propio control de acceso.
  • Que el nombre de la carpeta en la cual se aloja PhpMyAdmin sea distinta al nombre del mismo.
  • Nunca utilizar contraseñas por defecto y siempre intentar que las mismas sean alfanuméricas y que posean al menos una mayúscula, un número, un símbolo y un mínimo de 8 caracteres.


Ximo

martes, 4 de mayo de 2010

Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería



Revisando un poco las paginas de las universidades di con un archivo de nombre corriente dentro del Sistema de inscripción a finales de la facultad de Ingeniería de la Universidad de Buenos Aires. Como su nombre lo indica, dicho sistema sirve para que los alumnos de la universidad se registren para poder dar los exámenes integradores (finales) de las distintas materias correspondientes a carreras de ingeniería.




Esta de más aclarar la importancia de este sistema y de la información allí alojada. Sin mas rodeos, una captura del contenido de dicho archivo:




Lamentablemente este log da demasiada información, donde adicionalmente de los registros agregados, siendo los mismos ni mas ni menos que números de DNI de estudiantes, podemos ver (recuadro rojo) el nombre de usuario y contraseña de la persona que actualizó dichos registros.


Me pregunto si estos datos servirán para autenticarse en el siguiente panel de administración:




Es por eso que al momento de crear registros de sistema es importante alojar los mismos en una carpeta protegida (para más información leer "¿Acceso restringido? Si, claro..."), o cambiarle los permisos para que solo puedan ser visualizados por un determinado grupo de usuarios dentro del servidor.


Por suerte parece que al administrador, quien por cierto tiene un humor bastante particular al momento de crear credenciales, elimino o movió dicho archivo. Estimo que observo los rastros del analisis que realice y se percato del problema.


Ximo

jueves, 11 de febrero de 2010

Volar...¿es seguro? (Seguridad Aeroportuaria)



Todos hemos escuchado la famosa estadística que nos dice que es más seguro volar que viajar en auto, que es mas probable tener un accidente automovilístico antes que uno aéreo. Sin contar que cuando uno se dispone a subirse a un avión, pasa por 700 máquinas (capaces de decirnos que comimos la noche anterior :P) y controles de seguridad de nuestro equipaje, donde una tijerita para cortar la barba equivale a una bazuca de ultima generación.

Pero...¿Creen que estas personas tuvieron o tienen en cuenta la seguridad informática? ¿Creen que verifican que sus sistemas no hayan sido comprometido y que nadie los esta monitoreando?

Mmmm...nos gustaría creer que si. Ahora, si yo les muestro la siguiente captura, donde se observa el trafico aéreo en tiempo real del aeropuerto internacional de San Diego, ¿qué es lo primero que se les viene a la mente?:




Claro, ustedes seguro están pensando: "Este copio esa captura de Internet usando el buscador de imágenes de Google". ¿Y si no? Da miedo, verdad? Bueno, a continuación les dejo unos links de 14 monitores en tiempo real del trafico aéreo de 14 de los aeropuertos mas importantes de Estados Unidos:


San Diego International Airport - San Diego, CA
Bob Hope Airport - Burbank, CA
John Wayne Airport in Orange County, CA
St. Augustine Airport - St. Augustine, FL
St. Petersburg - Clearwater International Airport - St. Petersburg, FL
Boca Raton Airport - Boca Raton, FL
Louis Armstrong International Airport - New Orleans, LA
Logan Airport - Boston, MA
Nantucket Memorial Airport - Nantucket, MA
Newark Liberty International Airport - Newark, NJ
Teterboro Airport - Teterboro, NJ
JFK International Airport - New York, NY
LaGuardia Airport - New York, NY
Westchester County Airport - White Plains, NY


Increíble, no? Si, increíble pero verdadero. Estos aplicativos realizados en Java, nos muestran efectivamente el trafico aéreo en tiempo real, y nos permiten hacer clic sobre cualquier aeronave visible para así saber su altitud actual y el modelo de la misma.

Para poder ver esto no tuve que meterme en ningún servidor ni ingresar alguna credencial, simplemente ingrese a esta pagina.

Imagínense el peligro que esto representa. Esta información podría ser utilizada tranquilamente por agrupaciones terroristas para monitorear el trafico aéreo de Estados Unidos (si no es que ya fue utilizada en el pasado).

Se estarán preguntando que es ese ruido que escuchan desde que abrieron este post, no? Bueno, existe un grupo de radio aficionados que armaron un sitio donde tienen publicado feeds en vivo de las comunicaciones de radio de casi todas las torres de control de los aeropuertos del mundo. Si, como lo leyeron (y ahora escuchan)...ese ruido no es mas que una de las torres de control del aeropuerto internacional de Ezeiza, Buenos Aires.




Uno creería que estas comunicaciones deberían de viajar encriptadas o cifradas de alguna manera, pero no, viajan a través de simples ondas de radio, pudiendo ser captadas con cualquier equipo de onda corta y una antena casera.

Les dejo este link donde encontraran un mapa del mundo, donde haciendo clic en cualquiera de los países obtendrán la lista de aeropuertos dentro del mismo y sus respectivos feeds.


Ximo

viernes, 5 de febrero de 2010

Nueva versión 2.1.1 de Nikto



Hoy les dejo un post mas bien corto pero importante. El 30 de Enero pasado los muchachos de CIRT liberaron la versión 2.1.1 de Nikto. Esta es una excelente herramienta de auditoría, por lo que les recomiendo a todos aquellos interesados en la auditora de seguridad que lo descarguen, y para aquellos que ya lo tienen que lo actualicen.

Les dejo los links de descarga:

Descarga: Version 2.1.1 .gz o .bz2







Y a continuación les dejo el changelog (registro de cambios):

2010-02-01 Nikto 2.1.1
  • Ticket 117: Fixed SKIPPORTS
  • Ticket 116: Moved User-Agent string to nikto.conf
  • Ticket 116: Added dynamic variables to User-Agent (Testid, Evasion methods)
  • Ticket 95: Added support for OSVDB, now the fun bit of filling it in
  • Ticket 111: Basic syntax checks for all databases
  • Ticket 109: Added an extra optional element to xml output to contain the SSL date. Need to do similar for html, txt and csv
  • Ticket 106: Shorts authentication being successful if an error is returned
  • Ticket 107: Support for short reads in LW2.5
  • Ticket 98: If -Format is missed guess the format based on file extension in -output. Default is none if -output is omitted.
  • Ticket 96: Multiple index file enhancements for groups and better unique file identification
  • Ticket 103: content in xml report is now wrapped in CDATA
  • Ticket 110: Mutate now respects db variables
  • Ticket 97: Fix for response caching
  • Ticket 99: Spelling disagreements between Brits and Americans
  • Added @RFIURL to nikto.conf for a remote file include location, and supporting code.
  • Added ~2300 RFI tests from the combined RSnake/OSVDB list
  • Removed NMAP and NMAPOPTS from nikto.conf as it is no longer used/supported
  • Reporting: simplify xml/html code, fix a bug when a space is in the uri, and load ony needed templates
  • Upgrade to LibWhisker 2.5
  • Enable 2 new LW evasion tacticts (carriage return or binary value as request spacer)
  • Added support to select plugins via -Plugins and -list-plugins option to list current plugins
  • Major bug fix for proxy usage
  • Don't report p3p header as unusual
  • Various changes to aid future binary db usage for mutates
  • Various changes to aid future multi-threading
  • Fix for multiple index files


Ximo

martes, 2 de febrero de 2010

Humor Digital



Buenas gente...hoy les tenia un post super interesante, pero mientras lo redactaba el editor del blogger decidió volverse loco y borrarme todo. :(

Como me empaqué decidí postear un poco de humor digital para alegrarles la semana y ayudarme a pasar el mal trago. Prometo volver a redactar el otro post, pero mientras tanto a reírse un poco al estilo geek:







Espero les haya gustado...y recuerden:"Errar es humano, comentar es divino" :P


Ximo

viernes, 15 de enero de 2010

De dulce no tiene nada (Ledesma infectada)



Y si, otra vez sopa... Esta vez le toco a la pagina de Ledesma, la empresa más conocida a nivel nacional de producción de azúcar al igual que alcohol, molienda húmeda, papel, frutas, jugos, carne y granos.





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Como les mostré la vez pasada en el post sobre Solo Empanadas existe una metodología de infección que consiste en agregar Iframes en el home o pagina principal de sitios comerciales. Estas referencias a sitios maliciosos suelen estar ofuscadas para intentar evitar la detección de soluciones Antivirus y de webmasters.

Hoy ingresé al sitio de esta empresa de renombre y antes de que el sitio pudiera terminar de cargar me salto una alerta de mi Antivirus, ESET NOD32.





Enseguida abrí mi máquina virtual de pruebas y me puse a mirar el código fuente. No fue sorpresa encontrarme con el siguiente script ofuscado:





Lo particular de este script es que posee una ofuscación bastante fuerte por decirlo de alguna forma...algo que no estoy acostumbrado a ver. Pero esto no fue un impedimento al momento de desofuscarlo ya que cualquier navegador es capaz de interpretarlo, solo se necesita la ayuda de algún debugger como es Firebug y una máquina virtual donde poder analizar el sitio sin preocuparse por infectar nuestro equipo. A continuación el código desofuscado:


 


Como pueden ver se trata efectivamente de un Iframe que nos lleva a un sitio de origen Ruso. En dicho sitio se ejecuta un segundo script ofuscado:




Este script es el encargado de intentar descargar un malware en nuestro equipo para luego ejecutarlo.

Nuevamente les quiero remarcar lo importante de poseer un Antivirus con detección proactiva como recomendación a nivel usuario. A nivel administrador web les recomiendo utilizar contraseñas fuertes para sus servidores FTP o SSH y verificar que su sitio no posee vulnerabilidades analizándolo con herramientas como son Nikto, Acunetix o W3af.

Estén atentos al próximo post (miren la cuenta regresiva en la barra de la derecha)
y recuerden que un blog se alimenta de sus comentarios, ya sean quejas, recomendaciones, invitaciones a comer o incluso hasta felicitaciones. :P

Actualización (19/01/2010): Luego de cruzar un par de correos, hoy han solucionado definitivamente el problema. :)


Ximo

lunes, 11 de enero de 2010

¿Solo Empanadas?



¿O sera que nos "ofrecen" algo más?

Ayer Domingo, como es tradición, fui a almorzar a la casa de mis hermanas. Digamos que no me esperaban con un festín, sino con una hojita de Delivery de empanadas en sus manos. Luego de un rato notaron que varias de las casas de empanadas permanecen cerradas los Domingos al mediodia. Entre las casas que llamamos se encontraba "Solo Empanadas", la cual tampoco atendía, lo que me pareció raro, por lo que decidí entrar a la pagina para ver los horarios de atención.

Para mi sorpresa (luego de googlear el sitio), al entrar a su pagina web me salto una notificación del antivirus avisándome de dicha web poseía un virus (vulgarmente hablando).





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Lo llamo virus para que todos los lectores sepan a que me refiero, pero el nombre correcto para cualquier código malicioso es malware. En este caso en particular se trata de un troyano que es ejecutado por un IFrame dentro del sitio web de "Solo Empanadas."

A continuación les dejo una captura del código que fue incrustado dentro del sitio web, el mismo se encuentra ofuscado (modificado para que solo sea interpretado por el navegador y no por el ojo humano):





Lo que este código hace básicamente es abrir otra/s pagina web sin que nosotros lo notemos, ejecutando cualquier código o script que deseen. Con esto, los usuarios maliciosos buscan explotar cualquier vulnerabilidad que posea nuestro sistema operativo para así poder subir y ejecutar de forma remota un malware (algo malo, por si no quedo claro arriba).

Logre desofuscar el código en cuestión y note que el mismo no poseía un solo llamado a una pagina maliciosa sino dos, y que también la URL en cuestión a la que accedía era armada por dicho script previa a su carga. Y para qué se preguntaran...Bueno, esta URL contiene información de que navegador estamos utilizando, que sistema operativo poseemos, y desde que sitio accedimos a esa pagina maliciosa. Con dichos parámetros la URL le "cuenta" toda esta información a su página y así esta decide que exploit o vulnerabilidad le conviene aprovechar para lograr la taza mas alta de infección.

A continuación les dejo una captura del código desofuscado:





Como se imaginaran esto es muy peligroso ya que cualquier usuario que este con antojo de empanadas y caiga en la pagina de esta popular casa de delivery, se puede ir con algo más que con una docena de empanadas de carne cortada a cuchillo y una cerveza...y creanme que le va a caer más pesado.

Lo que es relevante rescatar de este post es lo importante de poseer un Antivirus con detección proactiva que corra en memoria, como es ESET NOD32 Antivirus, el cual instalé en la portátil de mi hermaníta que detecto el script antes mencionado.


Ximo

jueves, 7 de enero de 2010

Repost: "El crimeware durante el 2009"




"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:

  • Panorama actual de negocio ocasionado por crimeware
  • Framework Exploit Pack para botnets de propósito general
  • Framework Exploit Pack para botnets de propósito particular
  • Servicios asociados al crimeware
  • Inteligencia en la lucha contra el crimeware
  • Campañas de propagación e infección
  • Otros Exploits Pack que se investigaron

Información
Malware Intelligence
Compendio anual de información. El crimeware durante el 2009
262 páginas
Idioma español


Jorge Mieres

--------------------

Este post fue publicado en el blog de mi amigo y colega Jorge Mieres. Recomiendo la lectura y descarga de este gran recurso que armo juntando e indexando todas sus publicaciones del 2009. El link al post original aquí.


Ximo