tag:blogger.com,1999:blog-48273055817407633072024-03-13T00:33:02.177-03:00In-Seguridad ArgentinaEste blog tiene como motivo mostrar las vulnerabilidades y problemas que poseen sitios y servidores Argentinos en materia de seguridad informática, ya sean comerciales, oficiales, o gubernamentales. Los mismos son informados a los responsables de cada uno de estos previo al post en el blog. El fin, que la información personal de cada Argentino sea tratada como tal y sea resguardad como corresponde. El autor de las publicaciones no se hace responsable por el mal uso de la información brindada.Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.comBlogger35125tag:blogger.com,1999:blog-4827305581740763307.post-91076443617211948052011-03-21T10:54:00.002-03:002011-03-22T15:20:48.608-03:00¿Querés viajar a la DEFCON 19?<div dir="ltr" style="text-align: left;" trbidi="on"><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKgeV-4I3imiGkGEWYYRNfk94qlNIrlcySrdPGoguljRLocMdraJ2IWSGkJbchyGAFV3l0X1kRQ76y_zcIJlYLabRiwPlbYvU2x3Srq5u8vZ08CSE-GPgQnlHW6SV526mL2QdgmKNBu6s/s1600/dc19-logo_smsq.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhKgeV-4I3imiGkGEWYYRNfk94qlNIrlcySrdPGoguljRLocMdraJ2IWSGkJbchyGAFV3l0X1kRQ76y_zcIJlYLabRiwPlbYvU2x3Srq5u8vZ08CSE-GPgQnlHW6SV526mL2QdgmKNBu6s/s1600/dc19-logo_smsq.png" /></a></div><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXG08oJjNBf6JUVbDrUDcHxqwST-anb0hqkEdzBrIKVvyS3P2cT7dlsmePc-qo7M9R9et6Ij8el03Z2FYNkCrhEebQSKNmSJ0r-8c90RAw1MSJWp4dF-9MZsFYFTDMUo7s87rQqymo6Jc/s1600/defcon_19.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><br />
</a><br />
La gente de ESET invita a quién quiera participar del <b>Premio al mejor trabajo de investigación técnica en Seguridad Antivirus</b> (PMTITSA) donde el ganador tendrá la posibilidad de viajar a la renombrada conferencia de seguridad <a href="http://www.defcon.org/">DEFCON</a>.<br />
<br />
El concurso consiste en presentar un trabajo del tipo <a href="http://es.wikipedia.org/wiki/Libro_blanco" target="_blank"><i>whitepaper</i></a> de alto nivel técnico donde se detalle algún tema relacionado con la seguridad informática o antivirus y se haga mención al malware en al menos una sección del mismo.<br />
<div style="text-align: left;"><br />
</div><div style="text-align: left;">El <b>plazo de inscripción es del el 7 de marzo al 2 de mayo del 2011</b>, dentro del cual se deberá enviar un correo a <b>premioinvestigacion@eset-la.com</b> solicitando el formulario de datos.</div><br />
Una vez preseleccionados para participar del concurso, los trabajos deberán ser enviados a la misma dirección de correo <b>hasta el viernes 10 de junio de 2011 inclusive</b>.<br />
<br />
El viaje a Las Vegas, donde se realiza la conferencia, será del <b>01/08/2011 hasta el 07/08/2011</b>.<br />
Para más información <a href="http://eset.la/premioinvestigacion">leer las bases y condiciones del concurso</a>.<br />
<br />
<u><b>Actualización 22/03/2011</b></u>: Para todos aquellos que republiquen este post, por cada trabajo presentado de un participante que mencione que haya llegado por medio de su blog, ESET le regalara al responsable del blog una licencia del producto ESET NOD32 Antivirus.<br />
<br />
<a href="http://blogs.eset-la.com/laboratorio/2011/02/28/viaja-a-la-defcon-2011-con-eset/">Nota completa</a><br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script></div>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com4tag:blogger.com,1999:blog-4827305581740763307.post-73925279374235684512010-12-23T13:42:00.000-03:002010-12-23T13:42:33.706-03:00INSEGAR - Resumen de posts del 2010<br/>Buenas gente! Espero que hayan estado muy bien en este tiempo que me ausente del blog. Como se imaginaran, la falta de tiempo fue el factor principal por el cual no anduve por estos lados. Adicionalmente, conflictos con <a href="http://www.telecentro.com.ar/">proveedores de Internet poco serios</a> sumados a una mudanza apresurada lograron que descuidara mi querido blog y a mis estimados lectores.<br />
<br />
Bueno, hoy les dejo un resumen de todos los posts que saqué durante el año 2010, para que aquellos que no tuvieron la oportunidad de leerlos todos, lo hagan, y aquellos que desean rememorar alguno de ellos (o son rencorosos...:P), tambien:<br />
<br />
<ul><li><a href="http://www.insegar.com.ar/2010/11/cajero-100-abierto-banco-itau.html">Cajero 100% abierto - Banco Itaú<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/10/un-malware-en-forma-megatlon.html">Un malware en forma - Megatlon<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/08/espera-que-saco-plata-y-agendo-un.html">"Espera que saco plata y agendo un análisis en el cajero" - (Banco Itaú)<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/08/y-por-casa-auditoria-de-ips-parte-2.html">Y por casa? Auditoría de IP's - Parte 2<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/08/y-por-casa-auditoria-de-ips-parte-1.html">Y por casa? Auditoría de IP's - Parte 1<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/08/nuevo-domino-wwwinsegarcomar.html">Nuevo domino www.insegar.com.ar<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/08/nueva-version-212-de-nikto.html">Nueva versión 2.1.2 de Nikto<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/07/otra-vez-sopa-esta-vez-la-uca.html">Otra vez sopa... esta vez la UCA (Universidad Católica Argentina)<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/05/sistema-de-inscripcion-finales-uba.html">Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/02/volares-seguro-seguridad-aeroportuaria.html">Volar...¿es seguro? (Seguridad Aeroportuaria)<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/02/nueva-version-211-de-nikto.html">Nueva versión 2.1.1 de Nikto<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/02/humor-digital.html">Humor Digital<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/01/de-dulce-no-tiene-nada-ledesma.html">De dulce no tiene nada (Ledesma infectada)<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/01/solo-empanadas.html">¿Solo Empanadas?<br />
</a></li>
<li><a href="http://www.insegar.com.ar/2010/01/repost-el-crimeware-durante-el-2009.html">Repost: "El crimeware durante el 2009"</a></li>
</ul><br />
No me despido sin antes aprovechar la oportunidad para agradecerles a aquellos que se tomaron un minutito para leer mis humildes palabras e incluso dejaron un comentario cuando lo creyeron conveniente. Su visita y su opinión son los que hacen a este blog lo que es, y por eso muchas pero muchas gracias!!! Espero seguir viéndolos por aquí en el 2011 y les deseo que terminen el 2010 de la mejor forma....ASADO + CERVEZA!!!....y en familia o con quienes más aprecian.<br />
<br />
Mis felicidades y un abrazo digital a tod@s!!!<br />
<br />
Ximo<img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhk10wzX9kghT6rdi6Dv6tJHFDk4_BaTi0SkS4tzTXdLUDHy97bLnJHxpNDGPVJ5WZOV2Cbh3XvzTQrZNkOHkPpTVD2QA69YYSaTfXJB6vcjYjd9OIjgOE_vqVCb8rlnK7gIZ6FuXfkQKE/s1600/insegar.gif" /><br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com6tag:blogger.com,1999:blog-4827305581740763307.post-82255857144110752662010-11-01T09:00:00.006-03:002016-03-22T12:21:48.911-03:00Cajero 100% abierto - Banco Itaú<div dir="ltr" style="text-align: left;" trbidi="on">
<br />
Odio ser repetitivo, pero no se si recuerdan el <a href="http://www.insegar.com.ar/2010/08/espera-que-saco-plata-y-agendo-un.html">post que escribí hace un tiempo sobre el Banco Itaú</a>, donde mostraba como en uno de sus cajeros me encontré con una ventana de su solución antivirus.<br />
<br />
Como siempre mi curiosidad me atrajo de nuevo a dicha sede del banco, más allá de que la sede del mio, que se encuentra a unos pocos metros, ya se encontraba funcionando con normalidad. Para mi "sorpresa" noté que el cajero junto al que me referí en el post anterior era el que ahora tenía el "problema".<br />
<br />
Pero el problema no era el mismo de antes...sino que un "poquito" más grave. Como siempre digo, una imagen vale más que mil palabras:<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3fyxMfxNMDeHrFPAhVJrMJXK1FR1mCbzeYRmrtcp_BIYKL6ofe36lkM0EgwnNX2cUipIwuaTHnsGonL5IidXM60_hI2Sbw0Wxm1b2BugoYSJQre1vXRJG9gRXv8DPrGMQwPE4KnZ8PwE/s1600/06092010098.jpg" style="margin-left: 1em; margin-right: 1em;" target="blank"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3fyxMfxNMDeHrFPAhVJrMJXK1FR1mCbzeYRmrtcp_BIYKL6ofe36lkM0EgwnNX2cUipIwuaTHnsGonL5IidXM60_hI2Sbw0Wxm1b2BugoYSJQre1vXRJG9gRXv8DPrGMQwPE4KnZ8PwE/s320/06092010098.jpg" width="240" /></a></div>
<br />
<br />
<br />
Por un problema de un controlador no encontrado, el inicio automático del sistema del banco falló, dejando completamente expuesto al cajero. Yo, en mi afán de ayudar, le di "clic" con el dedo al botón "Aceptar", pero al parecer ya era demasiado tarde.<br />
<br />
<a href="http://www.insegar.com.ar/2010/11/cajero-100-abierto-banco-itau.html">Leer más...</a><br />
<a name='more'></a><br />
<br />
Esto simplemente me dejo el cajero completamente accesible, como una computadora de un cybercafé:<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKC7qtOjurK43BJ-VbBe4S_WoyqACOYonM7FJWYhitkzY6NQhIdjJeQm7fHMQNFX6xdUXA6dGG83zAF719s3-LIsT-AaxnRGCfHvSetPfq0VWkpXuwUVQCG96ZNiHjaNLe5pu6oPUtoI/s1600/06092010096.jpg" style="margin-left: 1em; margin-right: 1em;" target="blank"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgoKC7qtOjurK43BJ-VbBe4S_WoyqACOYonM7FJWYhitkzY6NQhIdjJeQm7fHMQNFX6xdUXA6dGG83zAF719s3-LIsT-AaxnRGCfHvSetPfq0VWkpXuwUVQCG96ZNiHjaNLe5pu6oPUtoI/s320/06092010096.jpg" width="240" /></a></div>
<br />
<br />
<br />
<br />
Ahora, algunos de ustedes se estarán preguntando: "¿Pero cómo, no tenés mouse ni teclado?"...Y si, es verdad, no tengo mouse, pero la pantalla es táctil, y un teclado puede ser tanto físico como virtual. Dentro de los sistemas operativos Windows, bajo las herramientas de accesibilidad, disponemos de un "teclado en pantalla" que nos permite realizar todo lo que podríamos hacer con un teclado tangible.<br />
<br />
En mi caso no lo abrí ya que no me divierte mucho la idea de terminar detrás de las rejas, pero quiero demostrar con esto lo vulnerable que se encontraba el equipo. Simplemente me limité a hacer "clic" con el dedo en "Inicio/Ejecutar", allí observe que el ultimo parámetro que había sido ejecutado era "<a href="http://es.wikipedia.org/wiki/Cmd_%28Windows%29">CMD</a>", por lo que acepté el mismo y aquí pueden ver los resultados:<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRmf-JgHvEtfMDgAmEG6rjuXA9spenOnJxSqt8FDYasI3ZjufJ6y1Ia_IcBtZlbomJJRuSAP0W6_0QaGg75r0jJ6X8yW47_vQTQ7_JOEZIFkmWmvdKODvLCiZakew7Ubv3ZlD7-gbLLTY/s1600/06092010097.jpg" style="margin-left: 1em; margin-right: 1em;" target="blank"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRmf-JgHvEtfMDgAmEG6rjuXA9spenOnJxSqt8FDYasI3ZjufJ6y1Ia_IcBtZlbomJJRuSAP0W6_0QaGg75r0jJ6X8yW47_vQTQ7_JOEZIFkmWmvdKODvLCiZakew7Ubv3ZlD7-gbLLTY/s320/06092010097.jpg" width="240" /></a></div>
<br />
<br />
<br />
Como verán podría haber hecho lo que quisiera en el sistema, desde averiguar la estructura de red del banco como también analizar el software de gestión del cajero en búsqueda de la dirección y los datos de acceso a las bases de la red Banelco. Imaginen lo que una persona con malas intenciones y con un poco de conocimiento podría hacer...desde hacerse "rico" editando su estado de cuenta hasta el robo de los datos de miles de usuarios.<br />
<br />
No verifique si el equipo poseía conexión a internet por obvias razones (cagaso), pero de haber tenido, alguien podría simplemente abrir un sitio web infectado con una amenaza especialmente diseñada que le permita el acceso remoto al cajero, o un simple <a href="http://es.wikipedia.org/wiki/Keylogger">keylogger</a> que registre todos los datos de los futuros usuarios del mismo.<br />
<br />
Como ven, los bancos, entidades que normalmente se caracterizan por poseer protocolos de seguridad muy estrictos, también pueden fallar. Hay que tener en cuenta que no solo son los clientes del banco Itaú los que se ven afectados por esto, sino también todos los clientes de la red Banelco.<br />
<br />
Como posibles soluciones recomendaría que la empresa Banelco estableciera requerimientos más estrictos sobre los equipos que se adhieren a su red y controles periódicos de seguridad tanto por parte de dicha red de cajeros como del banco que los aloja.<br />
<br />
Como última reflexión les cuento que en la mayoría de los países los cajeros disponen de un sistema operativo propietario el cual inicia al encender el cajero y no se basan en sistemas operativos Windows, los cuales no fueron diseñados para esto. La seguridad de nuestra información no es un privilegio, es un derecho, exijamos su cumplimiento.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script></div>
Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com3tag:blogger.com,1999:blog-4827305581740763307.post-22096977434575842982010-10-25T09:00:00.008-03:002010-10-26T02:33:21.203-03:00Un malware en forma - Megatlon<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNoNtB550uantQ5Hm1P3ws1DRc_G-EOaLWd0is-9AcZSo8Jblkn50Mpj_EwEIAjRSVL9E-LcJbyUCx7-rptVh7QDevYrOfGNfWtPlcgsArJmgdilZItOVyTPQkmbHnmpfmiUf6CFC4YOY/s1600/malware_en_forma-transparente-ch.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" target="_blank"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNoNtB550uantQ5Hm1P3ws1DRc_G-EOaLWd0is-9AcZSo8Jblkn50Mpj_EwEIAjRSVL9E-LcJbyUCx7-rptVh7QDevYrOfGNfWtPlcgsArJmgdilZItOVyTPQkmbHnmpfmiUf6CFC4YOY/s1600/malware_en_forma-transparente-ch.png"/></a></div><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCT9CsKk2pQKKLvAj6l7x5mPqG6mlh3cCWsLyLNYw4w27NBf2yjSS8-bmxKqWJh8g2MjAz9HhzP6xNwwqxbzwUujMeXIPgakAMm1BUYm0WghNJcC6uwHcPLJ7-SBCroeJBPClayZu6OMg/s1600/malware_en_forma-transparente.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" target="_blank"><br />
</a><br />
<br />
Hace unas semanas un compañero de trabajo, a quien por cierto agradezco (¡Gracias Leandro!), me comentó que el sitio de <a href="http://www.megatlon.com/">Megatlon</a> se encontraba infectado.<br />
<br />
Obviamente esto atrajo mi curiosidad por lo que decidí revisar la página para ver que encontraba...<br />
<br />
Efectivamente el sitio había sido inyectado con un script que llamaba a un java script malicioso alojado en en el servidor de Megatlon. Esto nos indica que el sitio o el servidor web que aloja a Megatlon fue vulnerado.<br />
<br />
Dicho archivo llamaba a otro script, que en este caso se encontraba dentro de un archivo PHP y alojado en otro sitio web, también vulnerado.<br />
<br />
Revisando en profundidad el sitio del popular gimnasio, noté que la la llamada al java script malicioso no se encontraba solo en la pagina principal, sino que en todos y cada uno de los archivos PHP que poseía el sitio. <br />
<br />
Esto no parecía lógico, ya que muchos de los archivos PHP infectados no eran accesibles por lo usuarios por lo que no ayudarían de forma directa a la tasa de infección que probablemente el usuario malicioso buscaba.<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPgm1QQU00xxrI80fqw_AcMRANAQWWfE5WQZqIUtaoXRdUeTLPpEEFGoMJ8hXRYAeeh8eNf9Q1pgbrPOzf-5tqhSFCAo4Na5IpWvN3-2j3MnPkvpqEdOZ4ZMWwp4ZaySWpYnnrqSW_hLo/s1600/cap3-ed.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;" target="_blank"><img border="0" height="90" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPgm1QQU00xxrI80fqw_AcMRANAQWWfE5WQZqIUtaoXRdUeTLPpEEFGoMJ8hXRYAeeh8eNf9Q1pgbrPOzf-5tqhSFCAo4Na5IpWvN3-2j3MnPkvpqEdOZ4ZMWwp4ZaySWpYnnrqSW_hLo/s400/cap3-ed.png" width="400" /></a></div><br />
<br />
<br />
Esto significaba una sola cosa, que esto era obra de un Exploit Pack, un sistema especialmente diseñado para buscar y explotar vulnerabilidades dentro de servidores web de forma automática. Dichos sistemas lamentablemente son muy comunes ya que son muy fáciles de utilizar y se venden a precios accesibles para aquellos usuarios maliciosos que buscan lucrar con ellos.<br />
<br />
Pueden leer mucho más sobre este tipo de sistemas y todo lo que se refiere al crimeware dentro del <a href="http://malwareint.blogspot.com/">blog de Malware Intelligence</a>.<br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM1AER8gOWHsB86l_yjOnAEGxR-2L6YD-k15Ofr4WcRMVe9jLWobszMG-wLypKQlWu581Hfl0U5AQY00-OcWN6LVjTMK_97lgeGZ6-c3IdUV2Sp_RNSbx-vZed_St2ENAeZTT_LmJVnGw/s1600/cap_megatlon.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;" target="_blank"><img border="0" height="147" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM1AER8gOWHsB86l_yjOnAEGxR-2L6YD-k15Ofr4WcRMVe9jLWobszMG-wLypKQlWu581Hfl0U5AQY00-OcWN6LVjTMK_97lgeGZ6-c3IdUV2Sp_RNSbx-vZed_St2ENAeZTT_LmJVnGw/s320/cap_megatlon.png" width="320" /></a></div><br />
<br />
<br />
El java script utilizado en el sitio de Megatlon es detectado por <a href="http://www.eset-la.com/">ESET NOD32 Antivirus</a> como <b>JS/TrojanDownloader.HackLoad.AD</b> por lo que si tienen una solución antivirus con detección proactíva instalada en su compu, no tienen de que preocuparse.<br />
<br />
Quiero agradecer particularmente a <a href="http://www.webmilio.com.ar/">Milio</a> por la ilustración que creo especialmente para este post y los invito a todos a darse una vuelta por <a href="http://www.webmilio.com.ar/">su blog</a> donde podrán no solo apreciar su excelentes ilustraciones sino también sus dotes de poeta nato.<br />
<br />
Mis saludos internautas...<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com2tag:blogger.com,1999:blog-4827305581740763307.post-47564857163569402092010-08-31T10:00:00.002-03:002010-11-01T01:31:07.468-03:00"Espera que saco plata y agendo un análisis en el cajero" - (Banco Itaú)El viernes pasado volvía a mi casa luego de ir al cine con mi novia y se me ocurrió sacar plata ya que pensábamos salir a comer algo por el barrio.<br />
<br />
Luego de notar que mi banco se encontraba cerrado por reparaciones me dirigí al banco continuo, una sede del <a href="http://www.itau.com.ar/" target="blank">Itaú</a>.<br />
<br />
Por si no lo registran al banco, es aquél que hace poco instalo en sus sedes esas puertas corredizas al estilo Star Trek que se abren luego de deslizar la tarjeta.<br />
<br />
Luego de este ingreso de "película" a dicha sede, me detengo estupefacto ante el mensaje que mostraba el cajero:<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLLCphnXRPgJQz0o-6XnHPLoBLFHnkeW3r-TvaS6yXc4-7WvN2NFhBYMbPceEpwJxWwzwUbCPLgvsiOC4PUFzaM2poExBAC19JBtMvv44_APnBLlih6i4s-N3Z8j9OTkRNQjYnz53QbZY/s1600/27082010085.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;" target="blank"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLLCphnXRPgJQz0o-6XnHPLoBLFHnkeW3r-TvaS6yXc4-7WvN2NFhBYMbPceEpwJxWwzwUbCPLgvsiOC4PUFzaM2poExBAC19JBtMvv44_APnBLlih6i4s-N3Z8j9OTkRNQjYnz53QbZY/s200/27082010085.jpg" width="200" /></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzp98RgBGKoS5mVxuZGidpYCvUuz4UyIHerB1s0wGb3NxGjFwblSYwJ54am-rP5YSMJax-Z1X6cnXZnz66esHvh11ukyPMvj6GXfErZe9zYnC6-3vRVk4T_2TIMnUGIhBmbubXpik8XOo/s1600/27082010086.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;" target="blank"><img border="0" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzp98RgBGKoS5mVxuZGidpYCvUuz4UyIHerB1s0wGb3NxGjFwblSYwJ54am-rP5YSMJax-Z1X6cnXZnz66esHvh11ukyPMvj6GXfErZe9zYnC6-3vRVk4T_2TIMnUGIhBmbubXpik8XOo/s200/27082010086.jpg" width="200" /></a></div><br />
Así es, el cajero me preguntaba si quería confirmar la realización de un análisis programado por parte del antivirus que posee instalado, <a href="http://us.trendmicro.com/us/products/enterprise/officescan/" target="blank">Trend Micro Office Scan</a>.<br />
<br />
Obviamente esta no es la normal pantalla de bienvenida de un cajero, ni tampoco una operación que un cliente del banco tenga que realizar antes de operar sobre su cuenta. Por el lado comercial esto podría afectar a la entidad financiera ya que el cliente podría perder confianza sobre la misma y a consecuencia una posibilidad real que considere incluso el cierre de su cuenta.<br />
<br />
Pero no es el aspecto comercial el que nos interesa en este blog, sino el técnico. El hecho de que veamos dicha ventana nos indica que solución antivirus utiliza el banco y también la versión (Office Scan).<br />
<br />
Antes de detallar el potencial peligro, me gustaría explicarles el termino "<a href="http://es.wikipedia.org/wiki/Seguridad_por_oscuridad" target="blank">seguridad por oscuridad</a>". Básicamente es un principio que plantea que un sistema o sistemas pueden basar su seguridad o parte de ella en el secreto de su existencia, ya sea a nivel diseño o implementación.<br />
<br />
Normalmente uno no debería saber que antivirus utiliza un banco es sus cajeros, pero sabiendo esto y realizando una simple búsqueda en <a href="http://www.google.com/" target="blank">Google</a> con los términos "Trend Micro Office Scan vulnerabilidad" damos con <a href="http://www.psicofxp.com/forums/seguridad-informatica.47/227811-vulnerabilidad-critica-en-productos-trend-micro.html" target="blank">este interesante artículo</a>. ¿Ven algún nombre en la lista que les parezca familiar?<br />
<br />
Continuando con la anécdota, procedí a darle clic en "Ok" y luego utilice el cajero de al lado, el cual no tenia ninguna alerta atípica...solo por las dudas. :-)<br />
<br />
PD: Sepan disculpar la calidad de las imágenes, pero solo tenia a mano la cámara de mi celular.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com8tag:blogger.com,1999:blog-4827305581740763307.post-34726772342896039612010-08-18T10:00:00.002-03:002010-08-18T10:15:37.794-03:00Y por casa? Auditoría de IP's - Parte 2<br/>Como prometí, aquí les dejo la segunda parte de este post. Como verán me esmeré un poco y arme un vídeo...ya que si una imagen vale mas que mil palabras, entonces un vídeo seria algo como <b>(FRAMESxSEGUNDOS DE DURACIÓN)x1000= ?</b>....no? :P.<br />
<br />
<b>(Les recominedo que vean el video en pantalla completa ya que lo subí en alta calidad) </b><br />
<br />
<br />
<div align="center"><object height="320" width="480"><param name="movie" value="http://www.youtube.com/v/Z_AMFXB0OfM?fs=1&hl=es_ES"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/Z_AMFXB0OfM&hd=1?fs=1&hl=es_ES" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="320"></embed></object></div><br />
<br />
Como pueden ver una de las IP's con las que me encontré realizando el análisis poseía un panel de login bastante raro (y si, es de Argentina, Buenos Aires). Pero la cosa se ponía más y más rara a medida que me adelantaba con la investigación.<br />
<br />
Como siempre, el problema común de las credenciales por defecto. Una vez dentro me encontré con una cámara de seguridad que apuntaba a una calle. Lo curioso fue ver como la segunda cámara ya parece encontrarse más escondida al igual que la tercera, cuarta y quinta, donde ya nos metemos en el domicilio de quien asumo son los dueños de este "sistema de vigilancia". Aunque...parecen estar muy escondidas las cámaras, no? Pareciera que esta familia es la vigilada...Honestamente no sé la respuesta, lo dejo a ustedes que saquen sus propias conclusiones.<br />
<br />
Lo importante a destacar aquí es que si efectivamente se trata de un sistema de seguridad propio, ponerle <b>admin:admin</b> de usuario y contraseña hace no solo que se pierde todo sentido de la instalación, sino también que dicha tecnología se vuelva en nuestra contra, exponiéndonos al mundo.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com3tag:blogger.com,1999:blog-4827305581740763307.post-54568597313296648222010-08-10T10:00:00.032-03:002010-08-10T10:19:10.996-03:00Y por casa? Auditoría de IP's - Parte 1<br/>Buenas buenas mis ávidos lectores! El día de hoy no les voy a hablar de servidores web, ni de los errores o descuidos que sufren los administradores de los mismos. No señor, hoy les voy a hablar de ustedes...si, de ustedes y de los problemas que pudieran llegar tener en el punto mas externo y público de su/s equipo/s o red: su <a target="blank" href="http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP">IP</a>.<br />
<br />
Este numero nos identifica como únicos dentro de internet (ojo!, hablamos del IP externo o publico y no de el o los IP's locales). La mejor forma de averiguar nuestro IP externo es ingresando a algún sitio como <a target="blank" href="http://www.myip.es/">MyIP.es</a>.<br />
<br />
<b>¿Y ahora que se mi IP qué hago?</b><br />
<br />
Bueno mis queridos amigos, con este numero ya sabemos el rango de IP que nos asigno nuestro proveedor de Internet.<br />
<br />
Digamos que nuestro IP es 123.123.10.2 (ni se gasten, el IP no existe :P ), y se nos ocurre escanear todos los IP's dentro de nuestro rango (último octeto del IP), entonces vamos a analizar todos los valores comprendidos entre 123.123.10.0 hasta 123.123.10.255.<br />
<br />
<b>Excelente! Yyyy....¿con qué y cómo los analizamos?</b><br />
<br />
Existen literalmente miles de herramientas para escanear IP's. Una de las mas populares es <a href="http://nmap.org/">Nmap</a> por lo versátil que es, pero en este caso vamos a usar <a target="blank" href="http://www.angryip.org/">Angry IP</a> por su amigable interfaz. En ambos casos los productos son <a target="blank" href="http://es.wikipedia.org/wiki/Multiplataforma">multiplataforma</a> por lo que nadie tiene excusa... :-]<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjntQSlDys7d60px7lgpL_kvceq6sfO_GmiwnUOewRQ7QSZEJDflE9uaXf5cW2Jis6Yj0BOGBwTYDO0cQclD44QTZJbAWqWmNiftHn-twQy56sre1a4GDbP8FbEmJm-28YbzvwaxpNnr5w/s1600/IP+Range+-+Angry+IP+Scanner-ed.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="370" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjntQSlDys7d60px7lgpL_kvceq6sfO_GmiwnUOewRQ7QSZEJDflE9uaXf5cW2Jis6Yj0BOGBwTYDO0cQclD44QTZJbAWqWmNiftHn-twQy56sre1a4GDbP8FbEmJm-28YbzvwaxpNnr5w/s400/IP+Range+-+Angry+IP+Scanner-ed.png" width="400" /></a></div><br />
<br />
Arriba vemos una captura de los resultados obtenidos del análisis de un rango con el Angry IP. En este caso además de especificar el rango, yo edite las preferencias y le indique que analizara todos los hosts activos (para no seguir diciendo IP's) en busca de determinados puertos abiertos. Puntualmente los siguientes: 21,22,23,80,139,443,445,8080.<br />
<br />
<b>¿Qué buscabas con esto?</b><br />
<br />
Muchos <a target="blank" href="http://es.wikipedia.org/wiki/Enrutador">routers</a> y <a href="http://es.wikipedia.org/wiki/M%C3%B3dem">modems</a> poseen una consola de administración web o telnet a la cual se puede acceder por un determinado puerto (El 23,80,443 y 8080 son los más comunes). Obviamente que dicha consola se encuentra protegida por usuario y contraseña, pero los datos por defecto no suelen ser muy complejos que digamos (el incansable admin:admin es el más popular). El gran error que comenten muchos usuarios es no cambiar dichas credenciales por defecto, ya sea porque ignoran que este acceso existe o porque creen que al poseer una IP dinámica nadie los va a encontrar. Gran error!!! Es un tremendo problema, ya que esto puede darle acceso a nuestra red y equipos a un usuario malicioso, y como demostramos anteriormente, el IP dinámico aparece en los resultados del análisis al igual que cualquier otro.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhgxvM2-PLX2FT0aS6t6rXlk2Ok07Wht6lflVlWfhaC-Jv8DZJXIydafMCNUzBVphC28-m63DeqfPlkyvP8jlRHeFxC934M3aBwKvIyXUjEnhI-Wh-69C3nnGoNbj0xVCkbCgJWls12mHA/s1600/Pantallazo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhgxvM2-PLX2FT0aS6t6rXlk2Ok07Wht6lflVlWfhaC-Jv8DZJXIydafMCNUzBVphC28-m63DeqfPlkyvP8jlRHeFxC934M3aBwKvIyXUjEnhI-Wh-69C3nnGoNbj0xVCkbCgJWls12mHA/s200/Pantallazo.png" width="200" /></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUEVg3o88MDqUXMlPsWlC0clFb1KmsRBHiY2OtNA9l7BwML0Ia1hKS8_4mcxiniFbZbxkqi6kQ6ku9O_ri6UjdpFIDj_Q5zo5q3clb059ntNylBF6tAjdPfFQg9oMNKieQxiaTvwJiRbE/s1600/Pantallazo-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUEVg3o88MDqUXMlPsWlC0clFb1KmsRBHiY2OtNA9l7BwML0Ia1hKS8_4mcxiniFbZbxkqi6kQ6ku9O_ri6UjdpFIDj_Q5zo5q3clb059ntNylBF6tAjdPfFQg9oMNKieQxiaTvwJiRbE/s200/Pantallazo-1.png" width="200" /></a></div><br />
<br />
Arriba un router el cual posee credenciales por defecto donde se puede ver que tiene dos clientes conectados por <a target="blank" href="http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_local">LAN</a> y <a target="blank" href="http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_amplia">WAN</a> respectivamente, uno es una PC que al parecer fue comprada en <a target="blank" href="http://www.garbarino.com/">Garbarino</a> y el otro es un <a target="blank" href="http://www.apple.com/es/iphone/">Iphone</a>.<br />
<br />
Y si creen que lo único que se puede hacer aquí es volver loco a los clientes desconectándolos de la red se equivocan. Imaginen que un usuario malicioso abra y redireccióne el <a target="blank" href="http://es.wikipedia.org/wiki/Anexo:N%C3%BAmeros_de_puerto">puerto 445</a> a uno de los clientes que se encuentra conectados, con la esperanza de que este disponga de recursos compartidos. De ser así este podría lanzar un <a target="blank" href="http://es.wikipedia.org/wiki/Exploit">exploit</a> que le permita obtener una <a target="blank" href="http://es.wikipedia.org/wiki/L%C3%ADnea_de_comandos">shell</a> dentro del equipo en cuestión y así disponer de acceso total sobre este. <br />
<br />
<b>No es tan gracioso ahora, ¿no?.</b><br />
<br />
No se imaginan la cantidad de routers y módems que encontré con credenciales por defecto. Debajo otro ejemplo:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6FNwFaWsJq4ATNriuPcGeRTHG31LRMuHxRD_It3NoowRWAmfnXYesd2bwHiWTpajSC99uIZ7qmAybHpV0iELlG7JY5aX7SFXsczm-UgtPSoMR1xJ2V1I47bIerjTiHfYWY__NbrIZjEY/s1600/Pantallazo-2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6FNwFaWsJq4ATNriuPcGeRTHG31LRMuHxRD_It3NoowRWAmfnXYesd2bwHiWTpajSC99uIZ7qmAybHpV0iELlG7JY5aX7SFXsczm-UgtPSoMR1xJ2V1I47bIerjTiHfYWY__NbrIZjEY/s200/Pantallazo-2.png" width="200" /></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsOwk7GNU3O7xxyF9uLnZFDNSvD2h4ZreNXVFmVO380bT7JvAL9M9hOnYUl5UZaySLiPZ2lKtPa3kCO5cY7YyVdi0ldfktg73e6fHN2RWxnMO_NXrQjK4qYUb8t-ma1tl8ku5BqBm5xfo/s1600/Pantallazo-3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="121" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsOwk7GNU3O7xxyF9uLnZFDNSvD2h4ZreNXVFmVO380bT7JvAL9M9hOnYUl5UZaySLiPZ2lKtPa3kCO5cY7YyVdi0ldfktg73e6fHN2RWxnMO_NXrQjK4qYUb8t-ma1tl8ku5BqBm5xfo/s200/Pantallazo-3.png" width="200" /></a></div><br />
<br />
Además encontré algo muy interesante que voy a postear en una segunda parte ya que estoy terminando de producir el material y sino me queda el post muuuuuy largo.<br />
<br />
Recuerden que no deben acceder a dispositivos ajenos, y si accidentalmente lo hacen, no deben modificar nada en absoluto ya que es ilegal. Dentro de lo posible traten de comunicarle al propietario que cambie sus credenciales.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com2tag:blogger.com,1999:blog-4827305581740763307.post-87018759665936936742010-08-06T10:38:00.001-03:002010-08-06T10:39:44.602-03:00Nuevo domino www.insegar.com.ar</br><br />
¡Buenos días (o noches, según corresponda) mis estimados lectores! Tengo el agrado de informarles que desde hace aproximadamente una semana disponemos de un dominio <b>.com.ar</b>. El mismo es:<br />
<br />
<br />
<div style="text-align: center;"><b><a href="http://www.insegar.com.ar/"><span style="font-size: x-large;">www.insegar.com.ar</span></a></b></div><br />
<br />
<div style="text-align: left;"><b><span style="font-size: x-large;"> </span></b><span style="font-size: x-large;"><span style="font-size: small;">Lo importante de esto es que va a permitir crecer a <b><a href="http://www.insegar.com.ar">IN-SEGAR</a></b></span></span> hacia nuevos horizontes. Con este nuevo domino también aprovecho para contarles la incorporación de un nuevo Tag o Etiqueta llamada "Internacionales" donde publicaré fallas a nivel mundial, expandiendo así el alcance del blog.<b></b></div><div style="text-align: left;"><br />
<br />
</div><div style="text-align: left;">Espero que les agraden estas noticias y les pido que comenten para conocer su opinión y si les gustan o no los cambios realizados. También los animo a expresar sus criticas o recomendaciones para el blog, en caso de que no deseen hacerlo de forma publica en un comentario me pueden escribir a <a href="mailto:ximo.insegar@gmail.com">ximo.insegar@gmail.com</a><b> .</b></div><div style="text-align: left;"><br />
</div><div style="text-align: left;">Ah! Me olvidaba! Dentro de muy poco voy a estar realizando un pequeño desafío, para quienes se animen<b>, </b>con interesantes premios<b>, </b>asique estén atentos al blog<b>. </b>(Pueden suscribirse para recibir los post por correo o en su lector RSS de confianza, :p)<b>.</b></div><br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com5tag:blogger.com,1999:blog-4827305581740763307.post-16302786350160192452010-08-03T12:30:00.014-03:002010-08-10T10:22:03.046-03:00Nueva versión 2.1.2 de Nikto<br/><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLk6gswcCTBs6r3JS17ZSbP2aYjHANTFxhzYRIWEx6PUZxths7iFZooje1Dqt4Ca99dsP5mH0nmCu3gFxjJVi__W7rM_noT6BsZIxN2Y8jlvu6f5vcnC6cBaMFkjS83x-JZwPKWHAke-k/s1600/alienlogo.gif" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLk6gswcCTBs6r3JS17ZSbP2aYjHANTFxhzYRIWEx6PUZxths7iFZooje1Dqt4Ca99dsP5mH0nmCu3gFxjJVi__W7rM_noT6BsZIxN2Y8jlvu6f5vcnC6cBaMFkjS83x-JZwPKWHAke-k/s320/alienlogo.gif" /></a></div>Les dejo una nueva versión de <a href="http://cirt.net/nikto2">Nikto</a>. En este caso la <a href="http://cirt.net/nikto2">version 2.1.2</a> que fue liberada el 11 de Julio del corriente año. Como dije en el <a href="http://www.insegar.com.ar/2010/02/nueva-version-211-de-nikto.html">anterior post</a>, esta es una excelente herramienta de auditoría, por lo que les recomiendo a todos aquellos interesados en la auditora de seguridad que lo descarguen, y para aquellos que ya la tienen que la actualicen.<br />
<br />
<br />
<br />
Les dejo los links de descarga:<br />
<br />
<b>Descarga:</b> Version 2.1.2 <a href="http://cirt.net/nikto/nikto-2.1.2.tar.gz">.gz</a> o <a href="http://cirt.net/nikto/nikto-2.1.2.tar.bz2">.bz2</a><br />
<br />
Y a continuación les dejo el changelog (registro de cambios):<br />
<br />
<b>2010-07-11 Nikto 2.1.2</b><br />
<ul><li>Ticket 8: Interactive scan status.</li>
<li>Ticket 122: Cleanup db_404_strings to prevent over-matching.</li>
<li>Ticket 122: Use db_404_strings as a higher priority.</li>
<li>Ticket 125: fetch is dead, long live nfetch!</li>
<li>Ticket 126: subdomain plugin tries to guess domain on unqualified hostname.</li>
<li>Ticket 127: dav methods are treated specially and reported all at once.</li>
<li>Ticket 129: Change references for config.txt to nikto.conf.</li>
<li>Ticket 130: Added -D E to show HTTP errors, otherwise suppress.</li>
<li>Ticket 132: Properly check for HTTP and HTTPS ports in cache.</li>
<li>Ticket 133: Regular expression matching causes errors. Removed char_escape and some other regexs in favor of the faster quotemeta(). Also set many regexs to non-capturing for speed.</li>
<li>Ticket 134: Added documentation of -config to usage_short.</li>
<li>Ticket 136: Moved set_scan_items to only run once, should speed things up with multiple targets.</li>
<li>Ticket 137: Added -ask to override nikto.conf's UPDATES value (same options).</li>
<li>Ticket 139: Partial fix: Moved URI error handling and reporting result to nfetch, rather than being in nikto_tests.</li>
<li>Ticket 141: pre-compile RE in content_search to give some speed-up.</li>
<li>Ticket 142: Enhancement to allow easier addition of hooks.</li>
<li>Ticket 144: Cleaned up map_codes to use general rules, still needs some for redirection.</li>
<li>Ticket 145: Added OSVDB 0 to orphan items in db_tests.</li>
<li>Ticket 146: Paritial fix: with new "start" hook which is run at the start after target enumeration.</li>
<li>Ticket 147: Grab HTTP information on the fly, deprecate get_banner.</li>
<li>Ticket 150: Special characters in XML output.</li>
<li>Ticket 152: HTTP Version set in nikto.conf over-ridden.</li>
<li>Ticket 153: Properly check for HTTP and HTTPS ports in cache.</li>
<li>Ticket 156: Update system couldn't update nikto_core.plugin.</li>
<li>Ticket 163: Scan details not appearing in XML reports.</li>
<li>Allow changing certain config settings during scans.</li>
<li>Optimized rm_active_content() a little by shuffling code and reducing some mem copies/regexs. Needs more work.</li>
<li>Update nikto.conf to switch tests to always have the (report:500) parameter.</li>
<li>Updates to read known headers on the fly, rather than make requests for them.</li>
<li>Fixed a bug with the order of parameters in hooks (broke parameters being passed to some plugins).</li>
<li>Added the parameter "report" to tests plugin to report when completed x number of tests.</li>
<li>Stop LibWhisker producing an error when talking HTTP to HTTPS during port_check.</li>
<li>Merged apacheusers and apache_enum_users.</li>
<li>Add facillity for a plugin to inform which options it can take.</li>
<li>Added nbe output plugin which written by Frank Breedijk of the Seccubus project.</li>
<li>Moved do_auth to a postfetch plugin.</li>
<li>Removed dead code from fetch().</li>
<li>Optimizations in nfetch(), nikto.pl, & elsewhere.</li>
<li>Added support for prefetch and postfetch hooks.</li>
<li>Moved content_search to a plugin.</li>
<li>Some tuning around plugin execution.</li>
<li>Updated user_enum_apache to use Plugins instead of mutate.</li>
<li>Rewrote the macro expanding bit to make it more efficient.</li>
<li>Mutate 1 now wrapped into nikto_tests and doesn't take up anywhere near the amount of memory!</li>
<li>Starting to deprecate mutate by replacing with plugin options. -mutate 2 (passfiles) is now implemented within tests and</li>
<li>uses less memory.</li>
<li>Updated -check_updates to use nfetch instead of fetch.</li>
<li>Updated -Plugins support.</li>
<li>Add filename support to rm_active_content.</li>
<li>Added basic support for -D s (scrub, removes some information from the log).</li>
<li>Match plugin names case-insensitive.</li>
<li>Warn if RFIURL is undefined.</li>
</ul><br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com0tag:blogger.com,1999:blog-4827305581740763307.post-39510288479064031862010-07-02T10:00:00.016-03:002010-07-02T11:40:33.133-03:00Otra vez sopa... esta vez la UCA (Universidad Católica Argentina)</br><br />
El día de hoy, y luego de mucho tiempo, les traigo otro descuido en una universidad. En este caso se trata de la <a href="http://www.uca.edu.ar/index.php/home/index/es">Universidad Católica de Buenos Aires</a>, donde debido a la utilización de carpetas desprotegidas y contraseñas por defecto se puede acceder a un administrador (<a href="http://www.phpmyadmin.net/home_page/index.php">PhpMyAdmin</a>) de las base de datos <a href="http://www.mysql.com/">MySQL</a> que utiliza para su blog que aún se encuentra en construcción. <br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg00XmNNERdzrkq6loAPGGVz-SsG6m54UzuGz3uXr1mi8cNfX4ETxItg2afCc2q89gWmkbu6HuLkYtmn0kuvthA4tre25g144Tivqa_aCUpr6qwFLWInVq_atXq3tpfTaIGxszITIc9OuQ/s1600/cap1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg00XmNNERdzrkq6loAPGGVz-SsG6m54UzuGz3uXr1mi8cNfX4ETxItg2afCc2q89gWmkbu6HuLkYtmn0kuvthA4tre25g144Tivqa_aCUpr6qwFLWInVq_atXq3tpfTaIGxszITIc9OuQ/s320/cap1.png" /></a></div><br />
<br />
Como se puede observar en la captura anterior es posible acceder al popular gestor de bases de datos <a href="http://www.phpmyadmin.net/home_page/index.php">PhpMyAdmin</a> donde se pueden realizar modificaciones directamente sobre la base de datos alojada en el servidor de la <a href="http://www.uca.edu.ar/index.php/home/index/es">UCA</a>.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiftrQQjf5J_S5hFPQMhvG6oEu7pvepWBiDqpFATEII-_R824w2htXlp5mMm0mtryHuJYq4RQ6veUZbUHsax2DbNhOFALBD_EPW3-WaEmq-R1XjqIJZ5jW5mDwZGg7MTBeodoSr11TlM9E/s1600/cap2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiftrQQjf5J_S5hFPQMhvG6oEu7pvepWBiDqpFATEII-_R824w2htXlp5mMm0mtryHuJYq4RQ6veUZbUHsax2DbNhOFALBD_EPW3-WaEmq-R1XjqIJZ5jW5mDwZGg7MTBeodoSr11TlM9E/s320/cap2.png" /></a></div><br />
<br />
La misma posee desde cada entrada publicada en el blog hasta todos los usuarios registrados dentro de la popular plataforma de publicación <a href="http://wordpress.org/">Wordpress</a> con sus respectivas contraseñas encriptadas.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV8KmzafQbcF0yr-C2rLpkCYisT_WdC1VO8lZ-GabZqxg0k_oA0aLKLZJRkqylNisxMyJvztOVOOxa-BXWo72Whr8m3UZJ2lz7Yenl__UlVamw8ApUTpnhTJM3BTU-c223MBDddqD_0_c/s1600/cap3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV8KmzafQbcF0yr-C2rLpkCYisT_WdC1VO8lZ-GabZqxg0k_oA0aLKLZJRkqylNisxMyJvztOVOOxa-BXWo72Whr8m3UZJ2lz7Yenl__UlVamw8ApUTpnhTJM3BTU-c223MBDddqD_0_c/s320/cap3.png" /></a></div><br />
<br />
Como se pueden imaginar esto no solo es peligroso por el posible daño a la imagen pública de la entidad, sino también por la perdida de registros dentro de su base de datos y un posible intento de <a href="http://insegar.blogspot.com/2009/12/blue-box-escala-de-privilegios-parte-1.html">escala de privilegios</a> mediante la inserción de una shell llamada desde un sitio externo.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiY4gLB8L5h22jZsqz4IzLHiUpR0-epwZSSC_0rlpNzJpzOlGuoSehcFzPu6IJzEKs3mUsSNEV0dpWiYbWH5vpEJxPNuCvvImPrOllK4ZkKTc2C-DiVstjq5UUgslwCw2aor1KwhmkOdiM/s1600/cap4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiY4gLB8L5h22jZsqz4IzLHiUpR0-epwZSSC_0rlpNzJpzOlGuoSehcFzPu6IJzEKs3mUsSNEV0dpWiYbWH5vpEJxPNuCvvImPrOllK4ZkKTc2C-DiVstjq5UUgslwCw2aor1KwhmkOdiM/s320/cap4.png" /></a></div><br />
<br />
En este caso no es tan critico el error ya que el blog no se encuentra en producción, pero si alguien quisiera ingresar al servidor de esta universidad esto le facilitaría el 70% del trabajo.<br />
<br />
<br />
<b>¿Cómo solucionarlo?</b><br />
<br />
<ul><li> En primer lugar proteger la carpeta en la que se alojan los archivos de <a href="http://www.phpmyadmin.net/home_page/index.php">PhpMyAdmin</a> con <a href="http://www.elated.com/articles/password-protecting-your-pages-with-htaccess/">htaccess</a>, mas allá que dicho sistema tenga su propio control de acceso.</li>
<li>Que el nombre de la carpeta en la cual se aloja <a href="http://www.phpmyadmin.net/home_page/index.php">PhpMyAdmin</a> sea distinta al nombre del mismo.</li>
<li>Nunca utilizar contraseñas por defecto y siempre intentar que las mismas sean alfanuméricas y que posean al menos una mayúscula, un número, un símbolo y un mínimo de 8 caracteres.</li>
</ul><br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com2tag:blogger.com,1999:blog-4827305581740763307.post-47727780170501233832010-05-04T10:00:00.009-03:002010-05-04T22:55:48.206-03:00Sistema de inscripción a finales (UBA) - Descuido - Facultad de Ingeniería</br><br />
Revisando un poco las paginas de las universidades di con un archivo de nombre corriente dentro del <a href="http://finales.fi.uba.ar/">Sistema de inscripción a finales de la facultad de Ingeniería de la Universidad de Buenos Aires</a>. Como su nombre lo indica, dicho sistema sirve para que los alumnos de la universidad se registren para poder dar los exámenes integradores (finales) de las distintas materias correspondientes a carreras de ingeniería.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvB5rUtuYfXUPEnokBYVH_BD6FLfcu8HM4QL0LRkhpsicYsnvHAXYYv9nTCCAxR0WgkE3VNiymptxpX4UQY-gIuVDf0k5HTiuEHfYCA1APXZLoWnlAo-HtywWrry7p-xGBs6XTlrUhHgo/s1600/cap2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="114" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhvB5rUtuYfXUPEnokBYVH_BD6FLfcu8HM4QL0LRkhpsicYsnvHAXYYv9nTCCAxR0WgkE3VNiymptxpX4UQY-gIuVDf0k5HTiuEHfYCA1APXZLoWnlAo-HtywWrry7p-xGBs6XTlrUhHgo/s320/cap2.png" width="320" /></a></div><br />
<br />
Esta de más aclarar la importancia de este sistema y de la información allí alojada. Sin mas rodeos, una captura del contenido de dicho archivo:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFvRukHql6ug8mG8BoPPq-YeWAxXVtqc4C5TeWA5_HxDanvmTQ1mIPQK4s6XJ2Fgn3PEFu5aqFU47Y071ZUOez74AJSic58KxIxm-z5uEpc_W3feZsWeC2unZzV08jMwsBvDf1sXOFK94/s1600/cap1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFvRukHql6ug8mG8BoPPq-YeWAxXVtqc4C5TeWA5_HxDanvmTQ1mIPQK4s6XJ2Fgn3PEFu5aqFU47Y071ZUOez74AJSic58KxIxm-z5uEpc_W3feZsWeC2unZzV08jMwsBvDf1sXOFK94/s320/cap1.png" /></a></div><br />
<br />
Lamentablemente este log da demasiada información, donde adicionalmente de los registros agregados, siendo los mismos ni mas ni menos que números de DNI de estudiantes, podemos ver (recuadro rojo) el nombre de usuario y contraseña de la persona que actualizó dichos registros.<br />
<br />
<br />
Me pregunto si estos datos servirán para autenticarse en el siguiente panel de administración:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtS91Qzv-MjdXGWHzucoi8WAIaSTvyEaO0CztnA5-Htei2aSfM7Lpaw3yqtz8oa7OcuBcn4VcpxqdsIPdE5t5Ed_a2Jl5ovAITJfORhOANdXRGQwNHUSQ11JGN3UVmy8rZFcfmzOKwLYY/s1600/cap3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjtS91Qzv-MjdXGWHzucoi8WAIaSTvyEaO0CztnA5-Htei2aSfM7Lpaw3yqtz8oa7OcuBcn4VcpxqdsIPdE5t5Ed_a2Jl5ovAITJfORhOANdXRGQwNHUSQ11JGN3UVmy8rZFcfmzOKwLYY/s320/cap3.png" /></a></div><br />
<br />
Es por eso que al momento de crear registros de sistema es importante alojar los mismos en una carpeta protegida (para más información leer "<a href="http://insegar.blogspot.com/2009/11/acceso-restringido-si-claro.html">¿Acceso restringido? Si, claro...</a>"), o cambiarle los permisos para que solo puedan ser visualizados por un determinado grupo de usuarios dentro del servidor.<br />
<br />
<br />
Por suerte parece que al administrador, quien por cierto tiene un humor bastante particular al momento de crear credenciales, elimino o movió dicho archivo. Estimo que observo los rastros del analisis que realice y se percato del problema.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com1tag:blogger.com,1999:blog-4827305581740763307.post-34656822856119545742010-02-11T13:00:00.006-03:002010-02-11T13:08:52.089-03:00Volar...¿es seguro? (Seguridad Aeroportuaria)</br><br />
Todos hemos escuchado la famosa estadística que nos dice que es más seguro volar que viajar en auto, que es mas probable tener un accidente automovilístico antes que uno aéreo. Sin contar que cuando uno se dispone a subirse a un avión, pasa por 700 máquinas (capaces de decirnos que comimos la noche anterior :P) y controles de seguridad de nuestro equipaje, donde una tijerita para cortar la barba equivale a una bazuca de ultima generación.<br />
<br />
Pero...¿Creen que estas personas tuvieron o tienen en cuenta la seguridad informática? ¿Creen que verifican que sus sistemas no hayan sido comprometido y que nadie los esta monitoreando?<br />
<br />
Mmmm...nos gustaría creer que si. Ahora, si yo les muestro la siguiente captura, donde se observa el trafico aéreo en tiempo real del aeropuerto internacional de San Diego, ¿qué es lo primero que se les viene a la mente?:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgo8KH4Gg7cr-I3Bf13ZV_TrTgQb0kdOH0Oug7ga_5MyS9-U6Zb58l0KX9cNNyH3PfNAItzzpzCUegzMUN5Hrfr_xD3JaXzI3eBRzKmfyiXIioSUfXSEDvu5mCBT_GDESxU9t_BiM_AOeQ/s1600-h/traffic.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgo8KH4Gg7cr-I3Bf13ZV_TrTgQb0kdOH0Oug7ga_5MyS9-U6Zb58l0KX9cNNyH3PfNAItzzpzCUegzMUN5Hrfr_xD3JaXzI3eBRzKmfyiXIioSUfXSEDvu5mCBT_GDESxU9t_BiM_AOeQ/s320/traffic.png" width="320" /></a></div><br />
<br />
Claro, ustedes seguro están pensando: "Este copio esa captura de Internet usando el buscador de imágenes de Google". ¿Y si no? Da miedo, verdad? Bueno, a continuación les dejo unos links de 14 monitores en tiempo real del trafico aéreo de 14 de los aeropuertos mas importantes de Estados Unidos:<br />
<br />
<br />
<a href="http://www4.passur.com/san.html">San Diego International Airport - San Diego, CA</a><br />
<a href="http://www4.passur.com/bur.html">Bob Hope Airport - Burbank, CA</a><br />
<a href="http://www4.passur.com/sna.html">John Wayne Airport in Orange County, CA</a><br />
<a href="http://www4.passur.com/sgj.html">St. Augustine Airport - St. Augustine, FL</a><br />
<a href="http://www4.passur.com/pie.html">St. Petersburg - Clearwater International Airport - St. Petersburg, FL</a><br />
<a href="http://www4.passur.com/bct.html">Boca Raton Airport - Boca Raton, FL</a><br />
<a href="http://www4.passur.com/msy.html">Louis Armstrong International Airport - New Orleans, LA</a><br />
<a href="http://www4.passur.com/bos.html">Logan Airport - Boston, MA</a><br />
<a href="http://www4.passur.com/ack.html">Nantucket Memorial Airport - Nantucket, MA</a><br />
<a href="http://www4.passur.com/ewr.html">Newark Liberty International Airport - Newark, NJ</a><br />
<a href="http://www4.passur.com/teb.html">Teterboro Airport - Teterboro, NJ</a><br />
<a href="http://www4.passur.com/jfk.html">JFK International Airport - New York, NY</a><br />
<a href="http://www4.passur.com/lga.html">LaGuardia Airport - New York, NY</a><br />
<a href="http://www4.passur.com/hpn.html">Westchester County Airport - White Plains, NY</a><br />
<br />
<br />
Increíble, no? Si, increíble pero verdadero. Estos aplicativos realizados en Java, nos muestran efectivamente el trafico aéreo en tiempo real, y nos permiten hacer clic sobre cualquier aeronave visible para así saber su altitud actual y el modelo de la misma.<br />
<br />
Para poder ver esto no tuve que meterme en ningún servidor ni ingresar alguna credencial, simplemente ingrese a <a href="http://www.passur.com/airportmonitor-locations.htm">esta</a> pagina.<br />
<br />
Imagínense el peligro que esto representa. Esta información podría ser utilizada tranquilamente por agrupaciones terroristas para monitorear el trafico aéreo de Estados Unidos (si no es que ya fue utilizada en el pasado). <br />
<br />
Se estarán preguntando que es ese ruido que escuchan desde que abrieron este post, no? Bueno, existe un grupo de radio aficionados que armaron un sitio donde tienen publicado feeds en vivo de las comunicaciones de radio de casi todas las torres de control de los aeropuertos del mundo. Si, como lo leyeron (y ahora escuchan)...ese ruido no es mas que una de las torres de control del aeropuerto internacional de Ezeiza, Buenos Aires.<br />
<br />
<br />
<div align="center"><object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" height="140" id="wimpy2862" width="330"> <param name="allowScriptAccess" value="always" /><param name="movie" value="http://www.liveatc.net/flash/wimpy/wimpy.swf" /><param name="loop" value="false" /><param name="menu" value="false" /><param name="quality" value="high" /><param name="scale" value="noscale" /><param name="salign" value="lt" /><param name="bgcolor" value="FFFFFF" /><param name="wmode" value="transparent"><param name="flashvars" value="wimpyReg=NiU1RTlYJTJDeSUyNlAlM0ElN0YlM0VRYSU1Q0FtcnYlMjNQMjElNUUwYXliM0Ix&wimpyApp=http://www.liveatc.net/flash/wimpy/d.php?mount=sabe&wimpySkin=http://www.liveatc.net/flash/wimpy/skins/skin_plain.xml&forceXMLplaylist=yes&getMyid3info=yes&theVolume=70&icecast=10&startPlayingOnload=yes" /><embed src="http://www.liveatc.net/flash/wimpy/wimpy.swf" flashvars="wimpyReg=NiU1RTlYJTJDeSUyNlAlM0ElN0YlM0VRYSU1Q0FtcnYlMjNQMjElNUUwYXliM0Ix&wimpyApp=http://www.liveatc.net/flash/wimpy/d.php?mount=sabe&wimpySkin=http://www.liveatc.net/flash/wimpy/skins/skin_plain.xml&forceXMLplaylist=yes&getMyid3info=yes&theVolume=70&icecast=10&startPlayingOnload=yes"
loop="false" menu="false" quality="high" width="330" height="140"
scale="noscale" salign="lt" name="wimpy2862" align="center"
bgcolor="FFFFFF" allowScriptAccess="always"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer" /></embed> </object></div><br />
<br />
Uno creería que estas comunicaciones deberían de viajar encriptadas o cifradas de alguna manera, pero no, viajan a través de simples ondas de radio, pudiendo ser captadas con cualquier equipo de onda corta y una antena casera. <br />
<br />
Les dejo <a href="http://www.liveatc.net/feedindex.php">este</a> link donde encontraran un mapa del mundo, donde haciendo clic en cualquiera de los países obtendrán la lista de aeropuertos dentro del mismo y sus respectivos feeds.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com10tag:blogger.com,1999:blog-4827305581740763307.post-42710287742169765912010-02-05T18:18:00.013-03:002010-02-05T20:01:00.470-03:00Nueva versión 2.1.1 de Nikto</br><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDYiX_OdoLqMzvCSVc2nSCB8h9eH3mCJ3gAfdC-kGde6-RmykX9pRmaXzU_oZ5RHG0xmmzfoy_y2k_uF-L2s1t-Ga4EqV28DD8oszPi0FcmW0Au4Qe2EWF6webYRFHhGj-JmWKIietfng/s1600-h/nikto.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDYiX_OdoLqMzvCSVc2nSCB8h9eH3mCJ3gAfdC-kGde6-RmykX9pRmaXzU_oZ5RHG0xmmzfoy_y2k_uF-L2s1t-Ga4EqV28DD8oszPi0FcmW0Au4Qe2EWF6webYRFHhGj-JmWKIietfng/s200/nikto.png" width="108" /></a></div>Hoy les dejo un post mas bien corto pero importante. El 30 de Enero pasado los muchachos de<a href="http://cirt.net/"> CIRT</a> liberaron la <a href="http://cirt.net/nikto2">versión 2.1.1</a> de Nikto. Esta es una excelente herramienta de auditoría, por lo que les recomiendo a todos aquellos interesados en la auditora de seguridad que lo descarguen, y para aquellos que ya lo tienen que lo actualicen.<br />
<br />
Les dejo los links de descarga:<br />
<br />
<b>Descarga:</b> Version 2.1.1 <a href="http://cirt.net/nikto/nikto-current.tar.gz">.gz</a> o <a href="http://cirt.net/nikto/nikto-2.1.1.tar.bz2">.bz2</a><br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Y a continuación les dejo el changelog (registro de cambios):<br />
<br />
<b>2010-02-01 Nikto 2.1.1</b><br />
<ul><li>Ticket 117: Fixed SKIPPORTS</li>
<li>Ticket 116: Moved User-Agent string to nikto.conf</li>
<li>Ticket 116: Added dynamic variables to User-Agent (Testid, Evasion methods)</li>
<li>Ticket 95: Added support for OSVDB, now the fun bit of filling it in</li>
<li>Ticket 111: Basic syntax checks for all databases</li>
<li>Ticket 109: Added an extra optional element to xml output to contain the SSL date. Need to do similar for html, txt and csv</li>
<li>Ticket 106: Shorts authentication being successful if an error is returned</li>
<li>Ticket 107: Support for short reads in LW2.5</li>
<li>Ticket 98: If -Format is missed guess the format based on file extension in -output. Default is none if -output is omitted.</li>
<li>Ticket 96: Multiple index file enhancements for groups and better unique file identification</li>
<li>Ticket 103: content in xml report is now wrapped in CDATA</li>
<li>Ticket 110: Mutate now respects db variables</li>
<li>Ticket 97: Fix for response caching</li>
<li>Ticket 99: Spelling disagreements between Brits and Americans</li>
<li>Added @RFIURL to nikto.conf for a remote file include location, and supporting code.</li>
<li>Added ~2300 RFI tests from the combined RSnake/OSVDB list</li>
<li>Removed NMAP and NMAPOPTS from nikto.conf as it is no longer used/supported</li>
<li>Reporting: simplify xml/html code, fix a bug when a space is in the uri, and load ony needed templates</li>
<li>Upgrade to LibWhisker 2.5</li>
<li>Enable 2 new LW evasion tacticts (carriage return or binary value as request spacer)</li>
<li>Added support to select plugins via -Plugins and -list-plugins option to list current plugins</li>
<li>Major bug fix for proxy usage</li>
<li>Don't report p3p header as unusual</li>
<li>Various changes to aid future binary db usage for mutates</li>
<li>Various changes to aid future multi-threading</li>
<li>Fix for multiple index files</li>
</ul><br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com2tag:blogger.com,1999:blog-4827305581740763307.post-69733138155210527852010-02-02T18:18:00.076-03:002010-02-02T18:20:01.113-03:00Humor Digital</br><br />
Buenas gente...hoy les tenia un post super interesante, pero mientras lo redactaba el editor del blogger decidió volverse loco y borrarme todo. :(<br />
<br />
Como me empaqué decidí postear un poco de humor digital para alegrarles la semana y ayudarme a pasar el mal trago. Prometo volver a redactar el otro post, pero mientras tanto a reírse un poco al estilo geek:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsb19Oz0sENCYPl4BgDZCEXs0qHG6VtcV_gnWnipMNBhb7z7m4SeFrqsEx-WB1UZ-5eezyvUxA_R_CaErPUVxvYPkfwEvnHpDt-9i0ZeGNHDPvwCXgWOu3VnFevFt6jss3Zn2e9bNhscY/s1600-h/exploits_of_a_mom.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="120" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsb19Oz0sENCYPl4BgDZCEXs0qHG6VtcV_gnWnipMNBhb7z7m4SeFrqsEx-WB1UZ-5eezyvUxA_R_CaErPUVxvYPkfwEvnHpDt-9i0ZeGNHDPvwCXgWOu3VnFevFt6jss3Zn2e9bNhscY/s400/exploits_of_a_mom.png" width="400" /></a></div><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnEhICkN_bYkC_q3QlcoIzfjCezsoO63gkoO5H-hLDFow-XahKHyBH4QEb821Fn0FlnDTcTaLDf1KR1Wa9NcnrjqdXilLUdPkHjxsjWhsPCWDthccz06qYx8dyWJVjiDV4ZfYJmLtQzIM/s1600-h/_46824621_bloodtransfusion.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnEhICkN_bYkC_q3QlcoIzfjCezsoO63gkoO5H-hLDFow-XahKHyBH4QEb821Fn0FlnDTcTaLDf1KR1Wa9NcnrjqdXilLUdPkHjxsjWhsPCWDthccz06qYx8dyWJVjiDV4ZfYJmLtQzIM/s320/_46824621_bloodtransfusion.jpg" width="285" /></a></div><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMqcLeLzUQZwFLvR9LrUci4B8sy8rL9zu3dGhJdFzy7FyuM4wSLIlFhJ9Ub00hFUKFmGJjdZcMB6WPwcfYqnFxFJkwOtxm_68CLzfX7E4bT7Brec1Lj9QttZ3du9p4gy9e9MtIjbb5AJ4/s1600-h/80275.strip.print.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="99" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgMqcLeLzUQZwFLvR9LrUci4B8sy8rL9zu3dGhJdFzy7FyuM4wSLIlFhJ9Ub00hFUKFmGJjdZcMB6WPwcfYqnFxFJkwOtxm_68CLzfX7E4bT7Brec1Lj9QttZ3du9p4gy9e9MtIjbb5AJ4/s320/80275.strip.print.gif" width="320" /></a></div><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjR7ATwtDPeQE3TK-6IVdW3YqSiW7LW27qXv1rYiDg5v5q3N1XjgcCRZdKNv3opImqTVt3tduWiVhKfoFgHvhmcpsDRZ7qZ7RUvKgNMU0q_s5ycPLh4s7SECk4NQDJK7GFgLFOwKkc3ly0/s1600-h/network.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="179" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjR7ATwtDPeQE3TK-6IVdW3YqSiW7LW27qXv1rYiDg5v5q3N1XjgcCRZdKNv3opImqTVt3tduWiVhKfoFgHvhmcpsDRZ7qZ7RUvKgNMU0q_s5ycPLh4s7SECk4NQDJK7GFgLFOwKkc3ly0/s320/network.png" width="320" /></a></div><br />
<br />
Espero les haya gustado...y recuerden:"Errar es humano, comentar es divino" :P<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com6tag:blogger.com,1999:blog-4827305581740763307.post-52083349051112234782010-01-15T18:18:00.005-03:002010-01-19T16:40:26.169-03:00De dulce no tiene nada (Ledesma infectada)</br><br />
Y si, otra vez sopa... Esta vez le toco a la pagina de Ledesma, la empresa más conocida a nivel nacional de producción de azúcar al igual que alcohol, molienda húmeda, papel, frutas, jugos, carne y granos.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyTfmYGJTJvm4QR867-XJe-8PbfHzX0nAnzG0JrCt3qFz9r4Qsy59B5rZQzbqt6fAlogISbcIHLOAGWNzBW4KctT6Zju5XJLgrsi8-iUx1rUI2zZ_Y5wP6_aTLK65liPbhRLKEdeU_vnY/s1600-h/ledesma.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyTfmYGJTJvm4QR867-XJe-8PbfHzX0nAnzG0JrCt3qFz9r4Qsy59B5rZQzbqt6fAlogISbcIHLOAGWNzBW4KctT6Zju5XJLgrsi8-iUx1rUI2zZ_Y5wP6_aTLK65liPbhRLKEdeU_vnY/s400/ledesma.png" /></a><br />
</div><br />
<b><i><br />
(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)</i></b><br />
<br />
Como les mostré la vez pasada en el post sobre <a href="http://insegar.blogspot.com/2010/01/solo-empanadas.html">Solo Empanadas</a> existe una metodología de infección que consiste en agregar Iframes en el home o pagina principal de sitios comerciales. Estas referencias a sitios maliciosos suelen estar ofuscadas para intentar evitar la detección de soluciones Antivirus y de webmasters.<br />
<br />
Hoy ingresé al sitio de esta empresa de renombre y antes de que el sitio pudiera terminar de cargar me salto una alerta de mi Antivirus, ESET NOD32.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7Ck6R2YtW4QaGh_A309JW_QXD2wCGewSt-4oKu-1VYzitquiVkfjUtG1xF1DaEMuwmlZvT5A_5E0pUVvXYZ38cs_OWDfHXi60epq7h4ZpaiaR1c5CHUVXsBYeG5Fiy29DVHHN0QZ2oMc/s1600-h/cap-script.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh7Ck6R2YtW4QaGh_A309JW_QXD2wCGewSt-4oKu-1VYzitquiVkfjUtG1xF1DaEMuwmlZvT5A_5E0pUVvXYZ38cs_OWDfHXi60epq7h4ZpaiaR1c5CHUVXsBYeG5Fiy29DVHHN0QZ2oMc/s320/cap-script.PNG" /></a><br />
</div><br />
<br />
Enseguida abrí mi máquina virtual de pruebas y me puse a mirar el código fuente. No fue sorpresa encontrarme con el siguiente script ofuscado:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-VZ8caySwE9XMnJrO0nvj9asawKdTJ040_b7UumK3pckjlVSub8wf2MXeLiZVWnEiNUgNQUiWGknUnNi3leSmpONa98Rxx1MOFGKwKLR-cZcUsJUodbFArOCzMz1hiVfRiWxpnum7LEI/s1600-h/Pantallazo-2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-VZ8caySwE9XMnJrO0nvj9asawKdTJ040_b7UumK3pckjlVSub8wf2MXeLiZVWnEiNUgNQUiWGknUnNi3leSmpONa98Rxx1MOFGKwKLR-cZcUsJUodbFArOCzMz1hiVfRiWxpnum7LEI/s400/Pantallazo-2.png" /></a><br />
</div><br />
<br />
Lo particular de este script es que posee una ofuscación bastante fuerte por decirlo de alguna forma...algo que no estoy acostumbrado a ver. Pero esto no fue un impedimento al momento de desofuscarlo ya que cualquier navegador es capaz de interpretarlo, solo se necesita la ayuda de algún debugger como es <a href="https://addons.mozilla.org/es-ES/firefox/addon/1843">Firebug</a> y una máquina virtual donde poder analizar el sitio sin preocuparse por infectar nuestro equipo. A continuación el código desofuscado:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0MVx_TLSK8HDTzARiKcpZlLswUmnZ75E0WaR5grgWoAO4M-NllmUn3FGhClRj_MRG_zRWcKCpw28r_KXoZYw3stUQXci-Qe6EEQHkinULpWh3AxR3SKtj9qr6kB9K_tblTtmC1s0Mkj4/s1600-h/cap_deofusc.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0MVx_TLSK8HDTzARiKcpZlLswUmnZ75E0WaR5grgWoAO4M-NllmUn3FGhClRj_MRG_zRWcKCpw28r_KXoZYw3stUQXci-Qe6EEQHkinULpWh3AxR3SKtj9qr6kB9K_tblTtmC1s0Mkj4/s400/cap_deofusc.png" /></a> <br />
</div><br />
<br />
Como pueden ver se trata efectivamente de un Iframe que nos lleva a un sitio de origen Ruso. En dicho sitio se ejecuta un segundo script ofuscado:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi33OgF1ILDgxFEhKQKcgD3SPpyntDp9VP-1O21gIPq0jgAUgHZGoz8dcLn7quxwYywzcJcBwR6DXorXCoAHTLK4Uf0AI0e3tzInAtcx-gl3c2_vHipNG0guCvegskCNIqst4wPH73PgvE/s1600-h/cap_script2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi33OgF1ILDgxFEhKQKcgD3SPpyntDp9VP-1O21gIPq0jgAUgHZGoz8dcLn7quxwYywzcJcBwR6DXorXCoAHTLK4Uf0AI0e3tzInAtcx-gl3c2_vHipNG0guCvegskCNIqst4wPH73PgvE/s320/cap_script2.png" /></a><br />
</div><br />
Este script es el encargado de intentar descargar un malware en nuestro equipo para luego ejecutarlo.<br />
<br />
Nuevamente les quiero remarcar lo importante de poseer un Antivirus con detección proactiva como recomendación a nivel usuario. A nivel administrador web les recomiendo utilizar contraseñas fuertes para sus servidores FTP o SSH y verificar que su sitio no posee vulnerabilidades analizándolo con herramientas como son <a href="http://cirt.net/nikto2">Nikto</a>, <a href="http://www.acunetix.com/">Acunetix</a> o <a href="http://w3af.sourceforge.net/">W3af</a>.<br />
<br />
Estén atentos al próximo post (miren la cuenta regresiva en la barra de la derecha)<br />
y recuerden que un blog se alimenta de sus comentarios, ya sean quejas, recomendaciones, invitaciones a comer o incluso hasta felicitaciones. :P<br />
<br />
<b>Actualización (19/01/2010): Luego de cruzar un par de correos, hoy han solucionado definitivamente el problema. :)</b> <br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com3tag:blogger.com,1999:blog-4827305581740763307.post-32983995491490863442010-01-11T08:59:00.005-03:002010-01-12T12:11:52.298-03:00¿Solo Empanadas?</br><br />
¿O sera que nos "ofrecen" algo más? <br />
<br />
Ayer Domingo, como es tradición, fui a almorzar a la casa de mis hermanas. Digamos que no me esperaban con un festín, sino con una hojita de Delivery de empanadas en sus manos. Luego de un rato notaron que varias de las casas de empanadas permanecen cerradas los Domingos al mediodia. Entre las casas que llamamos se encontraba "Solo Empanadas", la cual tampoco atendía, lo que me pareció raro, por lo que decidí entrar a la pagina para ver los horarios de atención.<br />
<br />
Para mi sorpresa (luego de googlear el sitio), al entrar a su pagina web me salto una notificación del antivirus avisándome de dicha web poseía un virus (vulgarmente hablando).<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjnhPZBI33i4KvVcjFEYWV_Qhf0LkCRow4noFZiNzqjsid1kZFlbKxZKUqmwu1vU2LEiDuHNQx5Pd4fZAh0DtIjp9S7ovzXG9dwshLWkOqH8LygDIBPNbTi2wAZ3wARVha54sbXIZXYeGM/s1600-h/cap_solo-empanadas.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjnhPZBI33i4KvVcjFEYWV_Qhf0LkCRow4noFZiNzqjsid1kZFlbKxZKUqmwu1vU2LEiDuHNQx5Pd4fZAh0DtIjp9S7ovzXG9dwshLWkOqH8LygDIBPNbTi2wAZ3wARVha54sbXIZXYeGM/s320/cap_solo-empanadas.jpg" /></a><br />
</div><br />
<b><i><br />
(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)</i></b><br />
<br />
Lo llamo virus para que todos los lectores sepan a que me refiero, pero el nombre correcto para cualquier código malicioso es malware. En este caso en particular se trata de un <a href="http://es.wikipedia.org/wiki/Troyano_%28inform%C3%A1tica%29">troyano</a> que es ejecutado por un <a href="http://es.wikipedia.org/wiki/Iframe">IFrame</a> dentro del sitio web de "Solo Empanadas."<br />
<br />
A continuación les dejo una captura del código que fue incrustado dentro del sitio web, el mismo se encuentra <a href="http://es.wikipedia.org/wiki/Ofuscaci%C3%B3n">ofuscado</a> (modificado para que solo sea interpretado por el navegador y no por el ojo humano):<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIGDwNuTP9dt5ABTExIi-lVy-BnTsG5skg-bHUpXXZKPp4Y3f5QIMNcmw_3sJlkWPbY0r5ebFezPIMDZ15Q4s7Va5Cdha77_8CqMlohrmd4pd405X6ckjdwS5A1M88WoRX5eaVfXOyo34/s1600-h/Pantallazo-31.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjIGDwNuTP9dt5ABTExIi-lVy-BnTsG5skg-bHUpXXZKPp4Y3f5QIMNcmw_3sJlkWPbY0r5ebFezPIMDZ15Q4s7Va5Cdha77_8CqMlohrmd4pd405X6ckjdwS5A1M88WoRX5eaVfXOyo34/s320/Pantallazo-31.png" /></a><br />
</div><br />
<br />
Lo que este código hace básicamente es abrir otra/s pagina web sin que nosotros lo notemos, ejecutando cualquier código o script que deseen. Con esto, los usuarios maliciosos buscan explotar cualquier vulnerabilidad que posea nuestro sistema operativo para así poder subir y ejecutar de forma remota un malware (algo malo, por si no quedo claro arriba).<br />
<br />
Logre desofuscar el código en cuestión y note que el mismo no poseía un solo llamado a una pagina maliciosa sino dos, y que también la URL en cuestión a la que accedía era armada por dicho script previa a su carga. Y para qué se preguntaran...Bueno, esta URL contiene información de que navegador estamos utilizando, que sistema operativo poseemos, y desde que sitio accedimos a esa pagina maliciosa. Con dichos parámetros la URL le "cuenta" toda esta información a su página y así esta decide que exploit o vulnerabilidad le conviene aprovechar para lograr la taza mas alta de infección.<br />
<br />
A continuación les dejo una captura del código desofuscado:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj810Q5jwpkbo1Xrftlja7wDNvaMKGlvm4tMD2x03PrmSdYxi72Ed0xwu6Q8tkC-jXvA1K4nZjLPmFbTBbgzwiXns56UkOxmfYwphhtJWA4Y7pNTbd1xEG2i-mX9eGD4_p7meRiaWnj0Y8/s1600-h/Pantallazo-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj810Q5jwpkbo1Xrftlja7wDNvaMKGlvm4tMD2x03PrmSdYxi72Ed0xwu6Q8tkC-jXvA1K4nZjLPmFbTBbgzwiXns56UkOxmfYwphhtJWA4Y7pNTbd1xEG2i-mX9eGD4_p7meRiaWnj0Y8/s320/Pantallazo-1.png" /></a><br />
</div><br />
<br />
Como se imaginaran esto es muy peligroso ya que cualquier usuario que este con antojo de empanadas y caiga en la pagina de esta popular casa de delivery, se puede ir con algo más que con una docena de empanadas de carne cortada a cuchillo y una cerveza...y creanme que le va a caer más pesado.<br />
<br />
Lo que es relevante rescatar de este post es lo importante de poseer un Antivirus con detección proactiva que corra en memoria, como es ESET NOD32 Antivirus, el cual instalé en la portátil de mi hermaníta que detecto el script antes mencionado.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com4tag:blogger.com,1999:blog-4827305581740763307.post-31379372302131955052010-01-07T08:59:00.017-03:002010-01-07T10:02:02.327-03:00Repost: "El crimeware durante el 2009"</br><br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgutTF6zE-Xo2AD4RxikKZ-hy1LKvqWXgIt3hz4b4i5cw3V0rYREJGdKFGvtmsBzag2bTNPTCJTGA-5PVZcW8jHxcRuKGwRgj0aZxFMzvmlCE6Uhou1MCp5k_wNLgv8fpaXW9CT6TNOT-Y/s1600-h/malwareint-anual-t.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgutTF6zE-Xo2AD4RxikKZ-hy1LKvqWXgIt3hz4b4i5cw3V0rYREJGdKFGvtmsBzag2bTNPTCJTGA-5PVZcW8jHxcRuKGwRgj0aZxFMzvmlCE6Uhou1MCp5k_wNLgv8fpaXW9CT6TNOT-Y/s200/malwareint-anual-t.png" /></a><br />
</div>"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.<br />
<br />
Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).<br />
<br />
A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:<br />
<br />
<ul><li>Panorama actual de negocio ocasionado por crimeware</li>
<li>Framework Exploit Pack para botnets de propósito general</li>
<li>Framework Exploit Pack para botnets de propósito particular</li>
<li>Servicios asociados al crimeware</li>
<li>Inteligencia en la lucha contra el crimeware</li>
<li>Campañas de propagación e infección</li>
<li>Otros Exploits Pack que se investigaron</li>
</ul><br />
Información<br />
<a href="http://www.malwareint.com/">Malware Intelligence</a><br />
Compendio anual de información. El crimeware durante el 2009<br />
262 páginas<br />
Idioma español<br />
<br />
<div style="color: orange;"><b><a href="http://www.malwareint.com/docs/MalwareInt-anual-2009.pdf">Descarga</a></b><br />
</div><br />
Jorge Mieres<br />
<br />
--------------------<br />
<br />
Este post fue publicado en el blog de mi amigo y colega Jorge Mieres. Recomiendo la lectura y descarga de este gran recurso que armo juntando e indexando todas sus publicaciones del 2009. El link al post original <a href="http://mipistus.blogspot.com/2010/01/el-crimeware-durante-el-2009.html" target="_blank">aquí</a>.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com0tag:blogger.com,1999:blog-4827305581740763307.post-10531553368466916522009-12-29T18:18:00.011-03:002009-12-30T12:09:13.034-03:00¡Mis felicitaciones a los lectores!</br><br />
El otro día estaba revisando el reporte de <a href="http://www.google.com/analytics/">Google Analytics</a> y se me dio por mirar las estadísticas que muestran con que navegador ingresan ustedes, los lectores, a este blog. Y la verdad me dejan muy orgullosos los resultados, ya que la mayoría de ustedes utiliza <a href="http://www.mozilla.com/firefox/">Firefox</a> como se ve a continuación:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQB_AzwPN9LcSR4k2KAZZQ1yMb1-t9vLhL7TLB86G9D18qp290AptGj7Hz9OoQz1nHBK7lqTDDvagGkZZuIRqbQmSCWXVa6mToPVg1MlxbRfOicHIzifNBNIbSItyt19UwWtL5N7PVTJw/s1600-h/cap_browsers.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQB_AzwPN9LcSR4k2KAZZQ1yMb1-t9vLhL7TLB86G9D18qp290AptGj7Hz9OoQz1nHBK7lqTDDvagGkZZuIRqbQmSCWXVa6mToPVg1MlxbRfOicHIzifNBNIbSItyt19UwWtL5N7PVTJw/s320/cap_browsers.png" /></a><br />
</div><br />
<br />
Considero esto muy importante ya que las fallas mas peligrosas de seguridad suelen afectar al navegador de Microsoft, Internet Explorer. Esto no significa que Firefox no posea fallas de seguridad, pero las mismas son solucionadas de inmediato y la ultima versión del mismo siempre incluye dichas mejoras.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEja86K99fAXH7n7HTrVscajvozl1ItMMYhS10lVfEF7GetMLPDdOO47o8QFEAo7NkNLsdyrgpwq29QSfywFq5pIss9pTByaU71rdDG7VgCFmq4z160LwTgL9la44pi6c8ShiRcwLfudSGs/s1600-h/cap_browsers2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEja86K99fAXH7n7HTrVscajvozl1ItMMYhS10lVfEF7GetMLPDdOO47o8QFEAo7NkNLsdyrgpwq29QSfywFq5pIss9pTByaU71rdDG7VgCFmq4z160LwTgL9la44pi6c8ShiRcwLfudSGs/s320/cap_browsers2.png" /></a><br />
</div><br />
<br />
Espero que sigan con estas buenas practicas y que en el futuro sean el %100 los que utilicen navegadores mas seguros como es Firefox.<br />
<br />
Aprovecho la oportunidad para desearles a los lectores una muy feliz navidad atrasada y un excelente año nuevo!<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com1tag:blogger.com,1999:blog-4827305581740763307.post-30555491481273819062009-12-15T18:40:00.009-03:002009-12-17T10:54:03.228-03:00Seguridad Web...placebo popular</br><br />
<div class="separator" style="clear: both; text-align: left;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcYszrDBkFGZ2FMRbeK8LWND6dGOwG4oemflrE15bjdZ1RonSPYJXRSwEeVYGute0FOVYCzzYrOTtM0lfPjiaycB2CQ682EiS5Vhcrx7NfwSmGJvbvdrytGmVtaP-1thA6sA-X5Rrv-sU/s1600-h/Pantallazo-28-1.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhcYszrDBkFGZ2FMRbeK8LWND6dGOwG4oemflrE15bjdZ1RonSPYJXRSwEeVYGute0FOVYCzzYrOTtM0lfPjiaycB2CQ682EiS5Vhcrx7NfwSmGJvbvdrytGmVtaP-1thA6sA-X5Rrv-sU/s320/Pantallazo-28-1.png" /></a></div>¿Podrías garantizarle a tus clientes que la información que alojas sobre cada uno de ellos se encuentra perfectamente segura? Existen muchos sitios que guardan información sensible de sus usuarios y clientes en el mismo servidor web donde se aloja su sitio.<br />
<br />
<div class="separator" style="clear: both; text-align: left;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0YD2verxAM_ppKEbrpLDG7Ux6hm5AEdUhUHiSFiOxWzTYQKbXv7Pzo4VUz9rcTIdEKbO3gIHnngeYOtfgPFIjTtxLTmxZIzXbsvQ48PPC5guQW3bN19U64IXuxgZMKg2oMJrbzIXwyHY/s1600-h/Pantallazo-29.png" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0YD2verxAM_ppKEbrpLDG7Ux6hm5AEdUhUHiSFiOxWzTYQKbXv7Pzo4VUz9rcTIdEKbO3gIHnngeYOtfgPFIjTtxLTmxZIzXbsvQ48PPC5guQW3bN19U64IXuxgZMKg2oMJrbzIXwyHY/s320/Pantallazo-29.png" /></a><br />
Y no es novedad leer avisos de confidencialidad indicando no solo que estos datos son correctamente resguardados sino también que los mismos han sido encriptados con cientos de bits (64, 128, 256, 512, etc). <br />
<br />
Lo que muchos de estos sitios no consideran es que la protección de los archivos de configuración que poseen las credenciales para acceder a las bases de datos que efectivamente contienen aquellos datos sensibles es igual o más importante que la encriptación de los mismos.<br />
</div><br />
<div class="separator" style="clear: both; text-align: left;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQMReeR9T1nlG-04OnWZNK_v7vGr0-XFEBSES5Ra3M-sioO8CfhoQpY7gEQCWYdlt-k9_Qz8iO_ZUmSxVKHdRJURM8vr9_W3z1Q-ziomnuCWnZeumLGBAtHsUx5Sl0kTmb3IedoeWzdVo/s1600-h/Pantallazo-30-1.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"></a><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQMReeR9T1nlG-04OnWZNK_v7vGr0-XFEBSES5Ra3M-sioO8CfhoQpY7gEQCWYdlt-k9_Qz8iO_ZUmSxVKHdRJURM8vr9_W3z1Q-ziomnuCWnZeumLGBAtHsUx5Sl0kTmb3IedoeWzdVo/s1600-h/Pantallazo-30-1.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQMReeR9T1nlG-04OnWZNK_v7vGr0-XFEBSES5Ra3M-sioO8CfhoQpY7gEQCWYdlt-k9_Qz8iO_ZUmSxVKHdRJURM8vr9_W3z1Q-ziomnuCWnZeumLGBAtHsUx5Sl0kTmb3IedoeWzdVo/s320/Pantallazo-30-1.png" /></a><br />
En las capturas se pueden observar varios ejemplos de estos descuidos de sitios de Hoteles o incluso uno relativo al golf.<br />
<br />
¿Les interesaría que los datos de su reserva para este verano sean accesibles por todos? ¿Y su handicap?<br />
<br />
Bueno, en ese caso les recomiendo que exijan el correcto almacenamiento de sus datos, y si son los propietarios de un sitio con alguna de estas fallas solucionen las mismas de inmediato.<br />
</div><br />
Ximo<br />
<script type="text/javascript">
tyntVariables = {"ap":"Leer m\u00e1s: "};
</script> <script src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es" type="text/javascript">
</script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com1tag:blogger.com,1999:blog-4827305581740763307.post-48913930965782239002009-12-09T08:59:00.002-03:002009-12-11T15:49:47.199-03:00The Blue Box - Escala de privilegios - Parte 3Como prometí en el anterior post, hoy les voy a mostrar que tan sensible es la información que se puede obtener por medio de esta shell.<br />
<br />
Como les dije, se posee acceso a toda la estructura de archivos del servidor, inclusive los archivos de configuración, como por ejemplo aquellos que poseen el usuario y contraseña de la base de datos de la intranet por la cual ingresamos en primer lugar:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP8VT1qBOsmyqq04_uaguu3xVUW9q_gu347xb-xr63lAhsY8VlMcIdudIkfCZ_J1TrnZ41iviyqBOil7GS9JelgckNktYyJ9Alig5AtmTapZssaJFbTEoMfED8HL5BQP2NjpggJNV2aac/s1600-h/Pantallazo-30-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP8VT1qBOsmyqq04_uaguu3xVUW9q_gu347xb-xr63lAhsY8VlMcIdudIkfCZ_J1TrnZ41iviyqBOil7GS9JelgckNktYyJ9Alig5AtmTapZssaJFbTEoMfED8HL5BQP2NjpggJNV2aac/s320/Pantallazo-30-1.png" /></a><br />
</div><br />
<br />
Y esto es solo el principio... Que me dirían si pudiéramos ver información mas relevante, como un archivo de configuración que posee los datos de uno de sus clientes...no sé, digamos.....Clarín:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaUpZBMhrP16MKBsXa8ncH7mvB3Rku8ea_JPsVRVeC1cdEL_ZDmboj_Qgiac2R0fa0_LLBVZHeJ7qeAt7XpS7j67sFqVJmoAKdhl6V1xvn9OiH4yaGToY_wZ1Ii6vzzb6XAT92EZAPTVE/s1600-h/Pantallazo-32-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaUpZBMhrP16MKBsXa8ncH7mvB3Rku8ea_JPsVRVeC1cdEL_ZDmboj_Qgiac2R0fa0_LLBVZHeJ7qeAt7XpS7j67sFqVJmoAKdhl6V1xvn9OiH4yaGToY_wZ1Ii6vzzb6XAT92EZAPTVE/s320/Pantallazo-32-1.png" /></a><br />
</div><br />
<br />
Como se darán cuenta ahora el problema cambia, porque no solo se encuentra vulnerada la privacidad de la víctima sino también la de sus clientes.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXoG7fxQAmKRW8Rh3919crQroRnLi6NEQx1uezQh-JqpDJzm2h1-HeR4uuVyGdUDF1P1zTZ8L55zfbDBE42wTIPUH_NOlLtlPXBOOIFBzUSZ3nVBss62-y57U4APzmIgSCx6n__RWXHsQ/s1600-h/Pantallazo-33-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiXoG7fxQAmKRW8Rh3919crQroRnLi6NEQx1uezQh-JqpDJzm2h1-HeR4uuVyGdUDF1P1zTZ8L55zfbDBE42wTIPUH_NOlLtlPXBOOIFBzUSZ3nVBss62-y57U4APzmIgSCx6n__RWXHsQ/s320/Pantallazo-33-1.png" /></a><br />
</div><br />
<br />
Esta shell posee un pequeño cliente que nos permite conectarnos a cualquier base de datos siempre y cuando se posean los datos de acceso, cosa que ya tenemos:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGeGU89JMOsoO2fJE02gj_-iB0Nu-JQWhzlzwDJOeiQ9kgV77oQVQOb94iq4-qs25p9AJaC-N8LF1L6uscDPnFwkYTsXSuUxi1NQP_2CUuYTwrpWhalLimu1y_Y1913FEdhMN_lhc0Y_g/s1600-h/Pantallazo-37-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGeGU89JMOsoO2fJE02gj_-iB0Nu-JQWhzlzwDJOeiQ9kgV77oQVQOb94iq4-qs25p9AJaC-N8LF1L6uscDPnFwkYTsXSuUxi1NQP_2CUuYTwrpWhalLimu1y_Y1913FEdhMN_lhc0Y_g/s320/Pantallazo-37-1.png" /></a><br />
</div><br />
<br />
Como ven, la información que se suponía privada de los clientes ya no lo es, y como vieron arriba, tampoco la de los clientes de los clientes (confuso, no?).<br />
<br />
Otra cosita interesante es poder ver todos los correos del webmaster los cuales se guardan como archivos:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi02NcwpES5JWu2EPvUIKM4s6znqYK0qS0xZbL19B50Dtnva81yhv_0qYEh9-Uw-MKvbJghRqSft9_xFBbzDS7Tj3PK64BiDcp86KsbySrlvaf1KBkuLTB-6k9vOMaAjmK9vUyf3oTXW2w/s1600-h/Pantallazo-34-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi02NcwpES5JWu2EPvUIKM4s6znqYK0qS0xZbL19B50Dtnva81yhv_0qYEh9-Uw-MKvbJghRqSft9_xFBbzDS7Tj3PK64BiDcp86KsbySrlvaf1KBkuLTB-6k9vOMaAjmK9vUyf3oTXW2w/s320/Pantallazo-34-1.png" /></a><br />
</div><br />
<br />
Y no solo del webmaster, sino del usuario que deseen:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiB7x_h6r48hCdGQlm_MUMz0wzISpVQm6frcZ5MP8-sEm2J9j3DQ4282pDWB_bN8povEYNDt8FO0BnqU3ZfzVRNXRnmJ7ebjp_j1qWZcxX20WDYg_yHZ0X7vX6GcSXhO96yveIwaexV4oY/s1600-h/Pantallazo-35-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiB7x_h6r48hCdGQlm_MUMz0wzISpVQm6frcZ5MP8-sEm2J9j3DQ4282pDWB_bN8povEYNDt8FO0BnqU3ZfzVRNXRnmJ7ebjp_j1qWZcxX20WDYg_yHZ0X7vX6GcSXhO96yveIwaexV4oY/s320/Pantallazo-35-1.png" /></a><br />
</div><br />
<br />
Y de la misma forma que podemos ver dichos correos, podemos ver los datos de acceso a la base de datos del servidor de correo:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPf4TB97QHRs5qmA_xTfSC_k2Vq6jI2xoQ7l-cze3ch2lYmloA6S9g4e4RLCjP4MmjOwi8iPcguTEmrha6sXpOS0hk84sU0WyOrE0JgX3fWJl7-GPrC1JjFVFJDOzqdSjyy-Ir3MMQt_g/s1600-h/Pantallazo-36-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPf4TB97QHRs5qmA_xTfSC_k2Vq6jI2xoQ7l-cze3ch2lYmloA6S9g4e4RLCjP4MmjOwi8iPcguTEmrha6sXpOS0hk84sU0WyOrE0JgX3fWJl7-GPrC1JjFVFJDOzqdSjyy-Ir3MMQt_g/s320/Pantallazo-36-1.png" /></a><br />
</div><br />
<br />
Ahora, un sitio web puede tener el mismo IP que otro, siempre y cuando estos se alojen en el mismo servidor. El servidor DNS es aquel que vincula cada dominio con su respectiva IP y carpeta dentro del servidor. Como pueden ver a continuación, el sitio de "The Blue Box" no es el único en este servidor:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha9S_IH4vVo5ylDqmp3bqEBEGhXG2eytYKcGj5UXF62Rf9fFptMDmR1dMKx5afk6ouJaG8gjX96zOKDPNNEALj9SQSgxxeVVqX3ZnCNHshdNBDgSSW2KlL7BjmRPeLliXsToftA3GPM08/s1600-h/Pantallazo-43-1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEha9S_IH4vVo5ylDqmp3bqEBEGhXG2eytYKcGj5UXF62Rf9fFptMDmR1dMKx5afk6ouJaG8gjX96zOKDPNNEALj9SQSgxxeVVqX3ZnCNHshdNBDgSSW2KlL7BjmRPeLliXsToftA3GPM08/s320/Pantallazo-43-1.png" /></a><br />
</div><br />
<br />
Mas allá de que estas carpetas no puedan ser accedidas revelan mucha información interna del servidor que pueden llevar a una nueva escala de privilegios.<br />
<br />
Creo que con esto queda claro que, al igual que una piedra tirada al agua, algo que empieza muy pequeño como las ondas de agua puede terminar inmenso.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com1tag:blogger.com,1999:blog-4827305581740763307.post-46655104219054220082009-12-04T08:59:00.118-03:002009-12-11T15:49:33.278-03:00The Blue Box - Escala de privilegios - Parte 2En el anterior post les mostré como ingresamos a una Intranet de un sitio web por medio de una inyección de SQL. En esta segunda entrega les mostrare como este pequeño subsistema puede brindar acceso a información mas sensible.<br />
<br />
Aquellos observadores, habrán notado que en la ultima captura del post anterior se podía ver la existencia de una sección llamada <b>SUBIR ARCHIVOS</b>. La misma, como su nombre lo indica, nos permite subir archivos al servidor web sin restricción alguna de la extensión de estos.<br />
<br />
Al ingresar por primera vez a esta Intranet, noté que en la sección <b>ADMINISTRAR</b> se detallaba la existencia de un archivo llamado <b>1259631071.php</b>. Cabe aclarar que en esta sección se detallan los archivos subidos por medio de la sección antes mencionada.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPX54ZiP_21YIwDbG0TkQqgOJCiEqC02MS8MvyX4MLQxdRju-DSCsBBWI08fzMD4fuXx8YzsTnwtuAmuDHhi7y67XZGxPJVSFbrcjrVTlc0NKmbbLgl-mIBhcurwJcDqSExLyRL1XatK8/s1600-h/1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgPX54ZiP_21YIwDbG0TkQqgOJCiEqC02MS8MvyX4MLQxdRju-DSCsBBWI08fzMD4fuXx8YzsTnwtuAmuDHhi7y67XZGxPJVSFbrcjrVTlc0NKmbbLgl-mIBhcurwJcDqSExLyRL1XatK8/s320/1.png" /></a><br />
</div><br />
<br />
Lo que el sistema no nos indica es donde se aloja este archivo. Por lo que me puse a mirar el cogido fuente del sitio web. De inmediato noté que estaba armado con <a href="http://www.desarrolloweb.com/articulos/791.php">frames</a> por lo que solo busque el archivo que me interesaba, es decir el de la sección <b>ADMINISTRAR</b> que se observa en la anterior captura, y encontré esto:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVSr_nMU6DFOSSlOGUmzMuIa5ug1lxmyj8Z6ZfQGgaLZlXZk0z2aLR2VmhiEFTqWc2PLkz9pn6pRIJYiMNDY89Omkks6XeDNvxejCsqe7WUfU6P6dkhKwwbCUdT5RZxl2l6-f957pl-TM/s1600-h/2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiVSr_nMU6DFOSSlOGUmzMuIa5ug1lxmyj8Z6ZfQGgaLZlXZk0z2aLR2VmhiEFTqWc2PLkz9pn6pRIJYiMNDY89Omkks6XeDNvxejCsqe7WUfU6P6dkhKwwbCUdT5RZxl2l6-f957pl-TM/s320/2.png" /></a><br />
</div><br />
<br />
Ese es el link que utiliza el botón <b>Borrar</b> el cual también nos dice donde se aloja este archivo. Por ultimo arme la URL de donde se alojaba este archivo y voila!:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAvUbsiJmHAhVZGESzSqRHOqxaTkzEQjfWy0zS2AA3jHLnAUukGQiRvYuRVaFEhARE8aetVVvelUTPPIq5x232VH1ojqcLNeE38V3eIQPr2bxeQzpxygEIt03ynzdHNsFpIV_TLdQKXew/s1600-h/3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhAvUbsiJmHAhVZGESzSqRHOqxaTkzEQjfWy0zS2AA3jHLnAUukGQiRvYuRVaFEhARE8aetVVvelUTPPIq5x232VH1ojqcLNeE38V3eIQPr2bxeQzpxygEIt03ynzdHNsFpIV_TLdQKXew/s320/3.png" /></a><br />
</div><br />
<br />
Esto señoras y señores es una <a href="http://es.wikipedia.org/wiki/PHP_Shell">shell</a>, particularmente una muy popular llamada C99 Shell. Este script permite navegar por el servidor libremente, pudiendo visualizar, editar, eliminar o subir archivos. Esto nos indica 2 cosas:<br />
<br />
- Que el servidor fue vulnerado por un usuario malicioso.<br />
- Que dicho usuario malicioso realizo el mismo procedimiento de escala de privilegios que intento describir.<br />
<br />
Al ver esto procedí a eliminar dicho archivo PHP para evitar que el servidor se encuentre completamente vulnerable. De igual manera ya le informe al administrador del sitio que asegure su base de datos ya que, mas allá de que la shell ya no existe en el sistema, se puede seguir ingresando a la Intranet sin conocer las credenciales.<br />
<br />
En el próximo post les mostrare a que tipo de información se puede acceder desde una shell (aplicado a este caso) para que vean la sensibilidad de la misma y la importancia de corregir este tipo de problemas.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com3tag:blogger.com,1999:blog-4827305581740763307.post-4800906956475829922009-12-01T08:59:00.102-03:002009-12-11T15:49:04.413-03:00The Blue Box - Escala de privilegios - Parte 1Buenas gente, hoy les traigo algo bastante interesante que decidí dividir en tres partes por la gran cantidad de información recolectada.<br />
<br />
<a href="http://www.thebluebox.com.ar/">The Blue Box</a> es una empresa publicitaria de gran importancia, con clientes como <a href="http://www.nokia.com.ar/">Nokia</a>, <a href="http://www.puma.com/">Puma</a>, <a href="http://www.jbonline.es/">J&B</a>, <a href="http://www.clarin.com/">Clarín</a>, <a href="http://www.dasani.com.ar/">Dasani</a>, <a href="http://www.fiaponline.net/">Fiap</a>, <a href="http://www.johnniewalker.es/">Jhonnie Walker</a>, <a href="http://canalfox.com/ar/">FOX</a>, <a href="http://www.sony.com.ar/">Sony</a>, <a href="http://www.sprite.com.ar/">Sprite</a>, <a href="http://www.hgcc.com.ar/">Hoyts</a>, <a href="http://www.latinamericanidol.com/">Latin American Idol</a>, <a href="http://www.axe.com.ar/">AXE</a>, <a href="http://www.cablevision.com.ar/">CableVisión</a> y <a href="http://www.ole.clarin.com/">Olé</a> entre otros.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1YIluCSyPUPdFgFIqA_c4QI9JuMO-OhxYQqB5dhiu3govRjWFyQ3Qnp6bDq1scl9EYfXHCUeK0gJ7bU6Nw5XLJ_veiqMmK_4BDaMrWZEPCY6KeA1EVh5Bo0s8NVVj8WZ0s3HeOBh1UZI/s1600/Pantallazo-38.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg1YIluCSyPUPdFgFIqA_c4QI9JuMO-OhxYQqB5dhiu3govRjWFyQ3Qnp6bDq1scl9EYfXHCUeK0gJ7bU6Nw5XLJ_veiqMmK_4BDaMrWZEPCY6KeA1EVh5Bo0s8NVVj8WZ0s3HeOBh1UZI/s320/Pantallazo-38.png" /></a><br />
</div><br />
<br />
Para analizar este sitio utilice una herramienta llamada <a href="http://cirt.net/nikto2">Nikto</a> que busca no solo las vulnerabilidades mas comunes de un servidor web sino también la existencia de algunas carpetas interesantes. En este caso di con la carpeta <b>/intranet/</b> que, como su nombre lo indica, es una red interna para el uso de los empleados y los clientes (en este caso).<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlRKCtfqOV4IUUzBYmfNKgHcm-VVQcnpLYhW-ML1Feznq8YczE_Ddtd3pMjyRvZi9Nv8OxoqyU-uh2Egoh7uCzw_lGhAUqvaZSCEdm7wYfQm7vsTyGDcoNDYm5_yN7xYdqbIsmp3pEhKU/s1600/Pantallazo-39.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlRKCtfqOV4IUUzBYmfNKgHcm-VVQcnpLYhW-ML1Feznq8YczE_Ddtd3pMjyRvZi9Nv8OxoqyU-uh2Egoh7uCzw_lGhAUqvaZSCEdm7wYfQm7vsTyGDcoNDYm5_yN7xYdqbIsmp3pEhKU/s320/Pantallazo-39.png" /></a><br />
</div><br />
<br />
Normalmente lo primero que se intenta es el clásico <b>admin:admin</b> pero en este caso no va a funcionar, ya que el problema no se trata de un error del administrador al utilizar credenciales por defecto sino que se debe a que la base de datos que consulta el sistema de certificación no se encuentra correctamente protegida, por lo que es vulnerable a un ataque de <a href="http://foro.elhacker.net/tutoriales_documentacion/tutorial_de_inyeccion_sql_sql_injection-t98448.0.html">SQL Injection</a>. Esto significa que utilizando las credenciales <b>' OR ''='</b> como usuario y contraseña se logra obtener acceso al sistema como si fuéramos el Administrador.<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjR_cBIs4YK97raqiI3-t8gMp8G83JfRB8zCIAg1juquAY2Ucokhkfh7TV9iIU1bzbWScWSlBu0DifXAwq0lj8xKc0wIhTJ2zGfU1EZ9xcdOEQriw85qkW3Z9T25iqNNFoq3oftYaY396I/s1600/Pantallazo-27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjR_cBIs4YK97raqiI3-t8gMp8G83JfRB8zCIAg1juquAY2Ucokhkfh7TV9iIU1bzbWScWSlBu0DifXAwq0lj8xKc0wIhTJ2zGfU1EZ9xcdOEQriw85qkW3Z9T25iqNNFoq3oftYaY396I/s320/Pantallazo-27.png" /></a><br />
</div><br />
<br />
Como verán, ya ingresamos al sistema. Aunque no lo crean esto es solo una pequeñísima parte de este post, más adelante mostrare como se puede lograr acceso a información aún mas sensible por medio de una falla menor (concepto básico de la escala de privilegios).<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com4tag:blogger.com,1999:blog-4827305581740763307.post-17864669936514869572009-11-25T08:59:00.005-03:002009-12-11T15:48:47.568-03:00La Universidad Nacional de La Rioja "hackeada" (Deface)Probablemente algunos de ustedes se haya enterado de esto, pero la semana pasada el sitio de la <a href="http://www.unlar.edu.ar/">Universidad Nacional de La Rioja</a> fue "hackeado". Lo escribo entre comillas ya que eso se llama <a href="http://en.wikipedia.org/wiki/Website_defacement">deface</a> y ni se asemeja a la definición de hacking (que por cierto no tiene porque tener connotación negativa).<br />
<br />
Los muchachos que hicieron esto se hacen llamar "[M]entes [C]riminales" y en el Home de la universidad dejaron esto:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1FGkf7XzIfU9vTSE7LTRoxuIeQv-MVYq9r7D4h0hUd6ksVOnip8U4O5apMv9629AU720nlOs4kRlI2zrf7Efr9Jp2ZTJDxJ8gxCP7FPy5RvH2lgNlLfSa33c3_hQCtrDy2tmuCHdJagU/s1600/Pantallazo-22.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1FGkf7XzIfU9vTSE7LTRoxuIeQv-MVYq9r7D4h0hUd6ksVOnip8U4O5apMv9629AU720nlOs4kRlI2zrf7Efr9Jp2ZTJDxJ8gxCP7FPy5RvH2lgNlLfSa33c3_hQCtrDy2tmuCHdJagU/s200/Pantallazo-22.png" /></a><br />
</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-Iy9KJvqH5u5YV5qYxUpUVbpQgOn4NpKdoPY0zQ_4ur7fwiLX5JtZkArBPZmoqpgR5GMW9keJw_8mjqXrTGcwzZdsKlOH7YcueFjEr7yx2HEpVaybgL2X0yQ7gyvu-fTePycxk0HfZhM/s1600/Pantallazo-23.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-Iy9KJvqH5u5YV5qYxUpUVbpQgOn4NpKdoPY0zQ_4ur7fwiLX5JtZkArBPZmoqpgR5GMW9keJw_8mjqXrTGcwzZdsKlOH7YcueFjEr7yx2HEpVaybgL2X0yQ7gyvu-fTePycxk0HfZhM/s200/Pantallazo-23.png" /></a><br />
</div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifFq7RME6rUDWFX7v8Owr7WoOv1b5gQOw8Q2d7Vz5oJPBYYSyBlkqtTxggOVw-YzgNvUMTuIIE7oSFldB7C-rf5scYbOD_P9iT9Z-fLdR30WkczOiT2Sz8lH4MqxlhyWZzM0HKJjnLGbA/s1600/Pantallazo-24.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifFq7RME6rUDWFX7v8Owr7WoOv1b5gQOw8Q2d7Vz5oJPBYYSyBlkqtTxggOVw-YzgNvUMTuIIE7oSFldB7C-rf5scYbOD_P9iT9Z-fLdR30WkczOiT2Sz8lH4MqxlhyWZzM0HKJjnLGbA/s200/Pantallazo-24.png" /></a><br />
</div><br />
<br />
Como verán, solo reemplazaron el archivo Index del sitio por uno armado por ellos (Básicamente en lo único que consiste el defacing).<br />
<br />
Lo interesante de todo esto es el mensaje que dejan, donde no solo critican públicamente al administrador del sitio sino que alegan no pertenecer a "<i>ninguna bandera política</i>" y que son capaces de "<i>controlarlo todo, porque en todos lugares hay una computadora</i>". Bueno...no se que creerán ustedes pero esto me parece de lo mas infantil, y no solo por haber realizado dicha modificación, sino también porque se contradicen en su mensaje, como lo pueden ver en <a href="http://www.misiones.gov.ar/acm/index.html--">este link</a> (Lean la linea siguiente a la amenaza que le hacen a Massa). ¿Ninguna bandera política? Por cierto, ese archivo quedo luego de un <a href="http://www.infobae.com/politica/466324-100918-0-Hackearon-la-web-del-gobierno-porte%F1o">deface masivo</a> que se realizo hace un tiempo contra sitios .GOV.AR protestando contra el impuestazo tecnológico.<br />
<br />
Ahora analicemos como fue que realizaron este "impresionante" ataque. El sitio en cuestión fue armado utilizando <a href="http://www.joomla.org/">Joomla</a>, un sistema de manejo de contenido (CMS) gratuito y de código abierto. En este caso el entorno se encuentra en la carpeta <b>/administrator/</b>, algo fácil de encontrar por lo genérico del nombre. Bueno, si recuerdan el ultimo post, donde hablamos de la utilización de credenciales por defecto, más puntualmente el famoso <b>admin:admin</b> se imaginaran a donde apunto. Así es, el administrador olvido cambiar esta contraseña, dando acceso completo a Joomla y por consecuencia al sitio web como pueden ver a continuación:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYA8zQCV-kXGwAaS7nvs8RM8JMrXysMYU3e_6HRF7PeTcsW3tzDdb-I2q27_CocmVUbG0NHdjPkAkEFDPwLUGiewRm9kWyaroedtLAKj9jC7KkpVbdTLEvvlPD0YnjmPAM_SSUXhgruzw/s1600/Pantallazo-25.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYA8zQCV-kXGwAaS7nvs8RM8JMrXysMYU3e_6HRF7PeTcsW3tzDdb-I2q27_CocmVUbG0NHdjPkAkEFDPwLUGiewRm9kWyaroedtLAKj9jC7KkpVbdTLEvvlPD0YnjmPAM_SSUXhgruzw/s320/Pantallazo-25.png" /></a><br />
</div><br />
<br />
Como verán no es ningún desafío intelectual el deface que realizo esta gente. Una vez que descubrí como realizaron la modificación del sitio, restaure el home del mismo al original y cambie la contraseña de la cuenta admin. Seguidamente le mande un mail al administrador explicándole lo sucedido e informándole las nuevas credenciales y dándole recomendaciones de como solucionar este y otros problemas de seguridad que poseía el sitio (cosa que siempre hago previo a un post).<br />
<br />
El día de ayer recibí una respuesta del administrador agradeciendo la mano y confesándome su desconocimiento en temas de seguridad informática, cosa que opino no es para avergonzarse. Creo que la manera de solucionar los problemas de inseguridad en los sitios web no es realizando un deface dejando a los administradores en evidencia sino asesorándolos en lo que se pueda para ayudarlos en su formación como profesionales.<br />
<br />
Lo que hace la gente del grupo denominado "[M]entes [C]riminales" no es mas que una búsqueda de fama y renombre...alimentar su ego si se quiere, como ellos mismos confiesan en <a href="http://www.delincuentedigital.com.ar/2009/09/hoy-mentes-criminales.aspx">esta entrevista</a> que les realizaron. El único fin de este grupo es hacer defacing a sitios gubernamentales (<a href="http://www.zone-h.org/archive/defacer=%5BM%5Dentes%5BC%5Driminales">aqui</a> una lista) y dicen querer ayudar a asegurar "nuestros" datos.<br />
<br />
Es por esto que los invito a ponerse el <a href="http://en.wikipedia.org/wiki/White_hat">sombrero blanco</a> y a realmente tratar de hacer una Argentina mas segura, sitio a sitio. Manden mails, realicen post, o cualquier actividad no maliciosa para poder ayudar a los administradores web ya que, de que sirve el conocimiento si no se comparte.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com0tag:blogger.com,1999:blog-4827305581740763307.post-69370813267438616692009-11-16T20:20:00.002-03:002009-12-11T15:48:16.124-03:00¿Acceso restringido? Si, claro...Hoy les traigo algunos casos de sitios que pasaron por alto los principios básicos al momento de restringir una sección o implementar el famoso "Acceso de Administrador".<br />
<br />
En primer lugar tenemos un error de programación en un sitio web de clasificados digitales. En su sección de administración encontramos lo siguiente:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjE_cx4tfpVHgUHPCXntyDVsBMwgookWTda0no7iWLvMCCjddXQd6eV-a3BA1iX92ih2d4QBQZSHszKn4RNyRRZ3jNV8tM5cDYo0jPimKRmGH5oIenLhwBdwr_J0_LGDrNTTtnkzDqvkA/s1600/cap_pass.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjE_cx4tfpVHgUHPCXntyDVsBMwgookWTda0no7iWLvMCCjddXQd6eV-a3BA1iX92ih2d4QBQZSHszKn4RNyRRZ3jNV8tM5cDYo0jPimKRmGH5oIenLhwBdwr_J0_LGDrNTTtnkzDqvkA/s320/cap_pass.png" /></a><br />
</div><br />
<br />
Nada raro hasta aquí...una típica solicitud de credenciales. Pero escribiendo cualquier cosa en ambos campos llegamos a esto:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgr4sS6zxEAdZhP0KQCARYs5oVmExDHGoVcPTdKwR0gFdXRB4GWyMGuGUIdyZgiR_ksrsM0Cz54ZVWB8-jT1OUcrSSrJ-7DRbaXYJ4wZ35ii2XeKQRkc4Q4CSTmw76kTpWvabfTsOsAyAY/s1600/cap_log.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgr4sS6zxEAdZhP0KQCARYs5oVmExDHGoVcPTdKwR0gFdXRB4GWyMGuGUIdyZgiR_ksrsM0Cz54ZVWB8-jT1OUcrSSrJ-7DRbaXYJ4wZ35ii2XeKQRkc4Q4CSTmw76kTpWvabfTsOsAyAY/s320/cap_log.png" /></a><br />
</div><br />
<br />
Como ven, ya estamos dentro del "privilegiado" sector de administración.<br />
<br />
Mas triste aún es lo que hizo el webmaster del site de venta de zapatilla de "5ta a Fondo", donde simplemente ingresando a la carpeta <b>/admin/</b> se llega a esto:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUev1gLnTjUNbVio8upRVdl10M-rfGRLCPfDOpfc9SpScpUz2nOvBBHIHW1_aYWsTyEDa0cR5BMde_QHRmvfBIzzjmWAI2CS-qt1FnfbYrnX3RL3GqqHWDp5y0afW7KOWneB9GkhA3B1E/s1600/cap_5ta.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgUev1gLnTjUNbVio8upRVdl10M-rfGRLCPfDOpfc9SpScpUz2nOvBBHIHW1_aYWsTyEDa0cR5BMde_QHRmvfBIzzjmWAI2CS-qt1FnfbYrnX3RL3GqqHWDp5y0afW7KOWneB9GkhA3B1E/s320/cap_5ta.png" /></a><br />
</div><br />
<br />
Y si dudan que desde allí se puede hacer algo, les dejo la siguiente captura:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLcRcMClF-Iq6CtArcHe3o6sbcTfdA4wwvK-v_trWcI2J7FJ9sIXw9ZI8BraGjoiaXKBwZnt-DcH9YYA2ojRbTZDDhGLwGGMiRiVsTPTh-D5ykkLNBcQsDxP5954TvTmiwGk2TLBkvs4Q/s1600/cap_5ta_mod.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLcRcMClF-Iq6CtArcHe3o6sbcTfdA4wwvK-v_trWcI2J7FJ9sIXw9ZI8BraGjoiaXKBwZnt-DcH9YYA2ojRbTZDDhGLwGGMiRiVsTPTh-D5ykkLNBcQsDxP5954TvTmiwGk2TLBkvs4Q/s320/cap_5ta_mod.png" /></a><br />
</div><br />
<br />
Si, lo se, increíble... Esto puede ser simplemente solucionado protegiendo dicha carpeta con <a href="http://www.elated.com/articles/password-protecting-your-pages-with-htaccess/">htaccess</a>. <br />
<br />
Pero esperen! Aún hay más! Una error frecuente es utilizar credenciales por defecto o muy sencillas como el clasico "admin admin" (es decir, usuario: admin , contraseña: admin), como es el caso del <a href="http://www.kyoren.com.ar/">Centro de Cultura e Idioma Japonés en la Argentina</a>, que en este caso solo utilizan una contraseña de protección (algo no recomendado):<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFXk4iaPh9NJJryVWZ35U8sxafEZktAXEyoAtcfBNAIzrs9CYa7OaMSAYcjppvT37F9Kz21sTSVaPMEbPDJMeI3ColQFAOJ1W_h8LQ5-PbkIc61RXn1vateH5uK2owilb2Rbd46jCkzRY/s1600/cap_jap_log.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFXk4iaPh9NJJryVWZ35U8sxafEZktAXEyoAtcfBNAIzrs9CYa7OaMSAYcjppvT37F9Kz21sTSVaPMEbPDJMeI3ColQFAOJ1W_h8LQ5-PbkIc61RXn1vateH5uK2owilb2Rbd46jCkzRY/s320/cap_jap_log.png" /></a><br />
</div><br />
<br />
Y aquí luego de ingresar:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhaiWkNSkBCqzwqP70zdx6OR2NmHCp5UEd_OMivUyfSh5p2xHW0opt33rtXKUT6IB6OgCHNUdCrOMJLSRDEYY5JjLpliFMXZwrGhjYPl9jSSAsmmdz9a5wqSE6CzbloGrjfNcBgUwkagfI/s1600/cap_jap_adm.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhaiWkNSkBCqzwqP70zdx6OR2NmHCp5UEd_OMivUyfSh5p2xHW0opt33rtXKUT6IB6OgCHNUdCrOMJLSRDEYY5JjLpliFMXZwrGhjYPl9jSSAsmmdz9a5wqSE6CzbloGrjfNcBgUwkagfI/s320/cap_jap_adm.png" /></a><br />
</div><br />
<br />
Como ven, se puede incluso hasta modificar las secciones del sitio web...siempre y cuando hablen Japonés... :P<br />
<br />
Como siempre digo, no hay que tomar la seguridad de nuestro sitio a la ligera, ya que por más que digan "No les sirve de nada hackear mi sitio" están muy equivocados. Este tipo de errores (ya que no son considerados vulnerabilidades) pueden permitir que usuarios malintencionados alojen malware en su sitio, o lo inyecten con código malicioso...entre otras cosas, por lo que estarían siendo participes sin quererlo de actividades ilegales.<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com2tag:blogger.com,1999:blog-4827305581740763307.post-67146267988230076462009-11-13T19:19:00.007-03:002009-12-11T15:47:59.534-03:00Camaras de seguridad Argentinas no tan segurasBuenas gente, si, volví...sepan disculpar la falta de posts, pero últimamente estuve con mucho trabajo.<br />
<br />
En esta oportunidad les dejo un link a una cámara de "seguridad" de un restaurante Argentino. El problema aquí fue que no configuraron correctamente la mismo para que solicite un usuario y contraseña al querer ingresar, permitiendo que cualquiera pueda echar un vistazo.<br />
<br />
<div align="left"><script language="JavaScript">
<!--
video("http://legado1.no-ip.com:82/mjpg/video.mjpg")
// -->
</script><br />
<img alt="If no image is displayed, there might be too many viewers, or the browser configuration may have to be changed. See help for detailed instructions on how to do this." border="0" height="480" src="http://legado1.no-ip.com:82/mjpg/video.mjpg" width="640" /><br />
</div><br />
<div style="text-align: center;"><a href="http://legado1.no-ip.com:82/view/view.shtml?videos=&size=1">Link directo</a><br />
</div><br />
<br />
Para aquellos que se preguntan como fue que di con este link. Bueno, con una simple búsqueda en Google, se obtienen muchos resultados. Lo único que hice yo fue acotar los mismos a solo sitios de Argentina (pueden verificar que la cámara esta en Argentina haciéndole un simple ping o traceroute).<br />
<br />
<div style="text-align: center;"><b style="color: #666666;">intitle:”Live View / - AXIS”</b><br />
</div><br />
<br />
Sino para los mas vagos: <br />
<a href="http://www.google.com.ar/#hl=es&q=intitle%3A%E2%80%9DLive+View+%2F+-+AXIS&meta=cr%3DcountryAR&aq=f&oq=&fp=e269b77aa52d6971">Link directo a la búsqueda en Argentina</a><br />
<br />
Les recomiendo que no restrinjan la búsqueda por país y verán una amplia variedad de resultados... :D<br />
<br />
<br />
Ximo<br />
<script type="text/javascript">tyntVariables = {"ap":"Leer m\u00e1s: "};</script> <script type="text/javascript" src="http://tcr.tynt.com/javascripts/Tracer.js?user=b8c0co5Omr3QApab7jrHcU&s=111&lang=es"></script>Ximohttp://www.blogger.com/profile/06651457944490304952noreply@blogger.com1