Game Over

Llevo unos pocos días trasteando con Game Over, una plataforma de aprendizaje de pentesting de aplicaciones web. A pesar de que aún no he explorado todas sus posibilidades, puedo decir que esta plataforma (en realidad es una distribución mínima de Linux) es ideal para aquellos que quieran aprender y poner en práctica conceptos básicos sobre web hacking.

¿Cómo funciona? Muy sencillo. Te descargas la iso y la montas en una máquina virtual. Lo que hace es levantar un servidor web en el que están los diferentes escenarios de testeo (Hackademic, Vicnum, etc...) y desde tu host u otra máquina virtual realizas los ataques. Yo por ejemplo utilizo la distribución Samurai WTF en otra máquina virtual, para no tener que instalar y configurar todas las aplicaciones en mi máquina (pero para gustos los colores).

Por último, decir que Game Over ofrece dos secciones, una para simplemente ejemplificar las diferentes vulnerabilidades del OWASP Top Ten (a modo de prueba de concepto), y otra para poner en práctica los diferentes ataques que se pueden llevar a cabo ante ciertas vulnerabilidades concretas.

Para los más beginners, recomiendo empezar por la sección I, y cuando se tengan los conceptos claros pasar a la sección II. Para los que tenéis nivel medio, podéis empezar por la sección II, coger soltura e ir pasando por los diferentes escenarios/retos/juegos. Y para los más h4x0rs, seguro que para vosotros esto es como jugar con muñecos de peluche.

Y como dicen por ahi... ¡Feliz Hacking!

Algunos hackers buenos

Algunos crecimos con el Spectrum, con apenas 8 años leyendo el manual de instrucciones el cual incluía un pequeño tutorial de programación en Basic, tecleando aquellas instrucciones sin saber muy bien lo que hacíamos. De vez en cuando destripábamos algún radio-cassette para ver qué tenía dentro, aunque no entendiéramos muy bien qué era aquello. Tras unos cuantos años de "descubrimiento personal" y de "buscar tu sitio en el mundo", descubrimos ezines como SET, el potencial de Google como fuente de información, blogs como Security by default o El lado del mal, nos apuntamos a cursos, acudimos a eventos y congresos, ponemos cara (e incluso tenemos el privilegio de conocer) a gente como Alejandro Ramos, Chema Alonso (y perdón por la redundancia), Pedro Sánchez, y muchos otros grandes profesionales de la seguridad informática como Jose Selvi, Rubén Santamarta o Martín Obiols, por citar a unos pocos.

Como decía, algunos soñamos con que gente de esta talla nos diga "¡que pasa, hacker!" algún día. A otros nos llaman "hacker" una pequeñísima minoría... y otros sentimos que, cuantos más manuales leemos, RFC's, howto's y especificaciones técnicas entre muchas otras lecturas, más ignorantes somos.

Pero cuando te encuentras ante una lectura como la que os dejo a continuación, no te importa que de repente alguien te diga "¡friki!", no te importa ser parte de esa mayoría que al mirar hacia arriba ve un mar de gente de la que aprender, no. Simplemente... te sientes orgulloso de ser así.

Algunos Hackers Buenos (I de III)

Algunos Hackers Buenos (I de III)

Algunos Hackers Buenos (III de III)

Flame: Flame

El título de la entrada no es caprichoso, y es que está dando mucho que hablar la última "super-ciberarma" (como algunos la han calificado) descubierta: Flame.


Según Kaspersky, quien ha descubierto el hallazgo y lo ha bautizado con este nombre, se trata de un malware del mismo tipo que Stuxnet (2010) o Duqu (20011). El primero, recordemos, se centraba en atacar sistemas scada y propagarse (en concreto se descubrió por el ataque a una central nuclear de Irán), focalizando su acción en una región específica. El segundo se centraba más en robar información de la máquina infectada, y su focalización era global, a diferencia de Stuxnet. Ambos estaban dotados de una sofisticación y complejidad especiales, no vistas hasta entonces, lo que desató las sospechas de que ambas "herramientas" estaban financiadas por algún gobierno.


Además, los analistas de Kaspersky Lab añaden que analizar por completo a Flame les llevaría unos 10 años, ya que su complejidad supera con creces a la de su predecesores:

It took us half a year to analyze Stuxnet (...) This is 20 times more complicated. It will take us 10 years to fully understand everything.

Por describir un poco este malware, podemos decir que su tamaño es de nada menos que 20mb con todos sus módulos, de los cuales 900kb sería la ocupación del núcleo. Es este último el que descarga los módulos necesarios para su funcionamiento, quedando así evidenciada la existencia un backdoor que abre el troyano, y su objetivo son misiones de inteligencia y espionaje, aparentemente en la región de oriente medio.


Lo que lo hace tan sofisticado es, sobre todo, su poder de configuración para objetivos concretos, a modo de toolkit, aunque tiene otras características que llaman la atención: hace uso de bluetooth para identificar y comunicarse con otros dispositivos, algunas partes del código están escritas en LUA (lenguaje de programación muy utilizado en videojuegos), tiene capacidad para grabar conversaciones a través del micrófono del sistema, o hacer capturas de pantalla sólo cuando ciertas aplicaciones específicas están en uso (como por ejemplo aplicaciones de mensajería instantánea), por citar algunas.


Se han encontrado hasta cinco tipos diferentes de cifrado en el código, y se ha visto que hace un uso intensivo de ofuscación de código, lo cual dificulta enormemente su análisis. Además, es capaz de infectar un sistema Windows 7 totalmente parcheado, lo cual quiere decir que muy posiblemente haga uso de uno o varios exploits que aprovechen vulnerabilidades hasta el momento no publicadas (0-day).


Los medios de infección son varios, mediante phising, visita de una web, un usb o un pc infectado de la misma red.

Así mismo, vemos que Flame tiene también varios vectores de replicación, a otros usb's, otros pc's de la LAN, impresoras con la vulnerabilidad MS10-061, o tareas remotas.


Por ahora, han sido 8 los países infectados por este troyano, destacando Irán, con al menos 189 infecciones. Israel y Palestina en segundo lugar con 98 infecciones cada uno. En tercer lugar está Sudán, con 32 infecciones, seguido por Siria con 30 infecciones, Líbano con 18 y Arabia Saudi con 10. En último lugar está Egipto, con sólo 5 equipos infectados. Estas cifras son sólo referenciales, ya que pueden estar variando ahora mismo, pero sí que da una idea de la focalización del virus en Irán.

Pero lo que realmente hace tan excepcional a este tipo de malware es que pase tanto tiempo inadvertido. Se ha descubierto rastro de la existencia de algunos de los archivos que utiliza con fecha de 2011, según las bases de datos de VirusTotal. Respecto a las muestras encontradas en Irán, en cambio, nos iríamos a 2007. Este hecho pone en jaque a las medidas de seguridad adoptadas hasta ahora, ya que aún disponiendo de la tecnología adecuada, está claro que los algoritmos que hacen uso de ella no son lo suficientemente eficientes; y esto, en última instancia, reside en la mentalidad que tengamos a la hora de diseñar las reglas de un IDS/IPS, firewall, etc (de esto tampoco se libran las empresas antivirus).


Así que, como decía el maestro Tanaka en Contacto sangriento, "ganadora la palmera".

Referencias:

Security By Default

Securelist

Kungfoosion

Viruslist

Una Al Dia

Master Class Certificación D-Link

Ayer tuvo lugar la Master Class de la certificación D-Link en tecnologías firewalling. Impartido por Chema Alonso en la Universidad Europea de Madrid, empezamos la mañana del sábado repasando conceptos básicos de seguridad informática en general, y de redes y firewalling en particular. La Master Class se centró durante el resto de la mañana en la administración y configuración de los firewalls D-Link, donde no faltaron anéctodas curiosas en clave de humor, como por ejemplo cómo montar Kerberos en una discoteca.

Descanso para comer (no demasiado, que después entra el sueño), despejarse y repasar conceptos y apuntes tomados, para después realizar el exámen de la certificación. No fue fácil precisamente (aunque no soy partidario de este tipo de afirmaciones, ya que depende de quién lo juzgue), pero tampoco fue extremadamente difícil.

Ahora falta esperar los resultados de los exámenes, enviados a la sede de D-Link en Barcelona para su corrección. Si apruebo prometo escribir una entrada al respecto, de modo que si en unos días no escribo nada relacionado, tampoco preguntéis :P.

The Debian Administrator's Handbook

Escrito por dos desarrolladores de Debian, Raphaël Hertzog y Roland Mas, este proyecto es una traducción al inglés del libro original Cahier de l'admin Debian. Una herramienta imprescindible para cualquier usuario de Debian, desde principiantes (entre los que se incluye el menda) hasta administradores.

Comenzamos este "handbook" de casi 500 páginas con una buena dosis de GNU, el típico ¿por qué Debian? y una vista de pájaro de los subproyectos que contiene, estructura de desarrolladores y un acercamiento al proceso de desarrollo de paquetes (experimental, unstable, testing y stable), siguiendo por la administración pura y dura de cualquier suite de Debian (servidores, escritorios y el resto de proyectos).

Los chicos de Debian handbook se han arriesgado con la traducción, y han hecho un trabajo excelente bajo licencia Creative Commons, siempre en consonancia con la filosofía Free.

Se puede descargar de su página web de forma gratuita en pdf, o bien puedes comprar una copia o hacer una donación.

Hoy en día, que tan de moda está la piratería, el "¿pagar por un programa/juego/película/cd/dvd? que va, si yo lo descargo todo de internet!", he de decir que una cosa es el software libre, y otra muy distinta que se viva del aire (los servidores no se mantienen solos, mucha gente invierte su tiempo en desarrollar software por pasión para que el resto podamos usar libremente sus creaciones, y un largo etcétera del cual soy profano).

En definitiva, que este libro ha venido como agua de mayo para tener una recopilación de todo el "googleo"  y experiencia personal en la administración de Debian.

Redes de Siguiente Generación

Hace poco publiqué un vídeo sobre cómo veía Microsoft el mundo tecnológico en 2020. Pues bien, para llegar a ese grado de desarrollo hay que pasar por desarrollar las Redes de Siguiente Generación, o más comúnmente conocidas como NGN (Next Generation Network). Este tipo de redes tienen la peculiaridad de que, además de ser redes de conmutación de paquetes, integran datos, voz y multimedia de forma totalmente transparente para el usuario. Cada día estamos viendo la proliferación de servicios de VoIP (Voz sobre IP) como el que ofrece Skype, o cualquier persona que monte un Asterisk y poco más, a través del cual podemos hacer llamadas por Internet, e incluso videollamadas mediante un servidor multimedia. También estamos viendo que las empresas necesitan estar en constante comunicación, entre ellas o con los clientes, ya sea en la oficina o fuera de ella, enviándose correos electrónicos, mensajes de voz, SMS, compartiendo presentaciones o estableciendo videoconferencias, donde el tiempo real prima como ayuda de mayo. Todo ello estaría integrado en la misma red, e incluso cada empresa podría solicitar su propio servicio bajo demanda, adaptada totalmente al cliente con una velocidad aceptable.

A muchos de nosotros nos sucede que tenemos un proveedor de servicios para acceder a Internet (y teléfono fijo), otro para el móvil, otro para la televisión... Pues bien, imagináos que el mismo proveedor nos ofrece todo ello. Esto ya es una realidad, con la diferencia de que, con una red de este tipo, podríamos tener televisión interactiva, llamadas internacionales a precio local, o incluso un frigorífico que haga la compra él sólo, sin necesidad de instalar software adicional en nuestros ordenadores, con la configuración correspondiente y conocimientos técnicos que un usuario no tiene porqué saber.

¿Creéis que esto llegará más tarde que pronto? ¿Será esta solución asequible a los bolsillos de la mayoría? ¿Querríais tener en vuestras casas/oficinas una solución de este tipo? ¿O pensáis que en España se nos da mejor abrir bares y hablar de fútbol? Sólo el tiempo lo dirá...

El mundo en 2020

Han publicado en Flowing Data un vídeo sobre cómo será el mundo en el año 2020, según Microsoft, tecnológicamente hablando. Un mundo en el que priman las pantallas táctiles, la realidad aumentada y la información al instante en pos de la comodidad, la productividad, el ocio e incluso la enseñanza.

Un detalle que me ha gustado mucho ha sido, al principio del vídeo, cuando la chica se pone las gafas traductoras (¿tanto aprender inglés para esto?).

Es muy común, sobre todo acercándose el final del año, que se lancen previsiones sobre qué pasará el año venidero, o cuáles serán los hábitos de la humanidad dentro de x años. ¿Será esta previsión acertada? Y sobre todo, ¿tendremos en nuestros hogares una conexión a internet lo suficientemente rápida y económica que lo permita?

Reflexión: Por lo menos no hemos visto paredes blancas acolchadas, puertas automáticas redondas ni coches voladores.