Cómo buscar vulnerabilidades en software

Hace mucho que no escribo nada, y esta vez será solo para recomendaros un artículo escrito por mi. El artículo describe las formas de búsqueda de vulnerabilidades actuales, aunque con ingenio seguramente se os ocurra alguna que sea eficaz también.

Cómo buscar vulnerabilidades en software
Voy a introducir en mi primer post en este blog, el cual trata sobre la búsqueda de vulnerabilidades enfocadas a binarios y no a aplicaciones web. Normalmente, los software vulnerables a buffer overlow, vulnerabilidades double free, null dereference… están programados en C o C++, lo que aumenta su peligrosidad, ya que otros lenguajes de programación tratan, por ejemplo, los arrays de caracteres de forma segura chequeando el tamaño de los mismos, en cambio en C Y C++, se le da total libertad al programador y es él quien debe encargarse de esos chequeos, esto no pasa en lenguajes como Java, Ruby, Perl, Delphi, etc.
Cuando auditamos una aplicación en busca de vulnerabilidades, podemos hacerlo de dos formas, a partir de su código fuente, lo que se llama análisis de código fuente, también llamada auditoría de Caja Blanca (WhiteBox), o a partir del binario de la aplicación llamada auditoría de Caja Negra (BlackBox). Realmente, en ciertas ocasiones podemos tener sólo disponibles partes del código pero de momento vamos a ir viendo esos dos casos:

Auditoría de código fuente
Para realizar dichos análisis, debemos indispensablemente saber programar muy bien en algún lenguaje como C y alguno orientado a objetos. Cuantos más conocimientos se tenga de programación, varios lenguajes completamente distintos, tecnologías, framework’s, etc. Nos será más efectivo llevar el análisis de código, además de conocer los posibles tipos de vulnerabilidades existentes, y normalmente en qué situaciones son provocadas o qué funciones son muy peligrosas de utilizar, si no se controlan bien. Para ello, nos podemos informar en internet aunque al final dejaré enlaces y libros enfocados a fallos típicos en binarios, los cuales pueden ser de nuestro interés para analizar aplicaciones en busca de vulnerabilidades. En la auditoría de binarios veremos algunas técnicas que perfectamente pueden servir para esto.

Análisis de binarios
En este caso suele estar disponible sólo el ejecutable, ya sea el típico PE de Windows, ELF de Linux, ROM…Veremos ejemplos más delante de binarios sobretodo enfocados a Windows. Veamos varias formas de buscar vulnerabilidades en binarios:

-Fuzzing: Consiste en realizar pruebas automáticas, en base a una investigación previa sobre la estructura de lo que queremos analiza, ya sea mediante el documento de especificación, o reverseando algún programa. Se utiliza para todo tipo de programas, pero es normal verlo para programas que abren “X” tipo de fichero y tienen una estructura interna por dentro. Por ejemplo, los pdf’s que están de moda, tienen una estructura y si se hace un programa que vaya generando numerosos documentos pdf’s malformados, pueden salir que un mismo pdf puede afectar a varios programas que no tienen nada que ver o que van copiando partes unos de otros, incluso varios fallos en un mismo lector de pdf’s.

-Ingeniería inversa: Mediante un depurador o desensamblador, como IDA Pro u OllyDbg, se puede ver el código en ensamblador y depurar el mismo. Tenemos el problema de que puedan ir protegidos, y se necesita un conocimiento en estas áreas, pero son herramientas perfectas si sabemos dónde buscar y nos pueden ayudar bastante a encontrar vulnerabilidades complejas, o incluso backdoors dejadas por programadores, que no se esperan que nadie pueda verlas, por ejemplo un condicional tipo ” if(password == “magicword:P”) “.

-Decompilación de código: A partir de decompiladores específicos de cierto lenguaje como los existentes para Delphi o .NET, tendríamos disponible el código fuente, siempre y cuando no viniera ofuscado ni con otras protecciones que llevaran más tiempo analizar. En este tipo de lenguajes y binarios pueden ser comunes los fallos tipo Command Injection y demás. Si intentamos decompilar un binario con código C/C++ podemos usar el IDA Pro con un plugin llamado Hex-Rays Decompiler que te lo traduce a código C aunque se pierden todos los símbolos y es difícil de seguir, pero mejor C que ensamblador en muchas ocasiones. De este modo, podríamos comenzar una auditoría manual y un análisis automatizados del código fuente como el de Buguroo BugScout.

-Ejecución simbólica: Es una técnica que, a partir de un método que se ejecuta al principio (un mecanismo interesante es el de proporcionar de entrada “X” valores de interés como entradas de usuario, para ello habría que adaptar el programa) es capaz de recorrer dinámicamente, todas las posibles rutas de ejecución de un programa y así encontrar vulnerabilidades difíciles de encontrar mediante otros métodos. El compilador-optimizador se llama LLVM y para esta tarea de búsqueda de vulnerabilidades se suele usar la máquina virtual KLEE. Se necesita compilar el código fuente de C, por ejemplo, con gcc-llvm. Se utiliza para programas que ya han sido testeados muchas veces. Este método puede descubrir alguna vulnerabilidad adicional ya que explora todo en ejecución y algunos compiladores modifican el código cuando compilan, (optimizaciones y demás) y se han dado varios casos en los que los códigos se han vuelto inseguros a través de estas modificaciones.

- Diff de binarios: Actualmente, un modo de hacer exploits es una vez que han parcheado un software, se aplican comparaciones entre la versión parcheada y la antigua, como pasa con los parches de Microsoft del tipo MS11-xxx, y se descubre el trozo de código que ha cambiado y se puede ver el fallo. Aunque propiamente el fallo ya ha sido descubierto antes, a veces se puede usar para encontrar fallos que han parcheado de manera silenciosa. Esta técnica también se puede aplicar a la auditoría manual si es un diff de código disponible.

-Testing manual: Hay varias formas de realizar este testeo para lograr buenos resultados, vamos a repasarlos brevemente:

Dejar la aplicación en manos de compañeros desarrolladores, y que vayan accediendo por todos lados probando inputs aleatorios y en algún caso, si existen zonas restringidas se les pase claves para que vayan probando en todas las zonas.

Una técnica utilizada por muchos productos, es lanzar el producto en versión Beta, y que la gente reporte problemas y errores descubiertos mediante su uso, estas versiones suelen llevar formas de reporte especial, además algo molestas para usuarios que en versiones oficiales no tienen.
Después de repasar cada método podemos inferir que ventajas y limitaciones tiene cada uno. En base a las limitaciones temporales que conlleva en muchas ocasiones la búsqueda de vulnerabilidades, elegiremos uno u otro. Utilizando todos de forma eficaz se puede llegar a un construir un software seguro.

También hay que destacar que hay tipos de análisis que se solapan. Por ejemplo, en este artículo no veo necesario entrar en el caso del threat model. Abajo os muestro algunos enlaces divididos por vulnerabilidades descubiertas con los distintos tipos de búsqueda de vulnerabilidades. Además, os dejo información de algunos de los temas tocados para que investiguéis en profundidad, aunque en posteriores post se irán tocando estos temas y otros de cómo aprovechar dichas vulnerabilidades mediante exploits.

Enlaces sobre distintos tipos de vulnerabilidades descubiertas con los métodos vistos:

Fuzzing:

• http://www.fuzzing.org/
• http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day-in.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0748

Ingenieria Inversa:

• http://aluigi.altervista.org/adv.htm
• http://www.computersecurityarticles.info/antivirus/having-fun-with-adobe-0-day-exploits/

Decompilación:

• http://nchovy.kr/uploads/3/317/VulnerabilityDiscoveryInClosedSourcePHPApplications.ppt

Ejecución Simbólica:

• http://www.vupen.com/english/advisories/2008/2919
• http:// security.ece.cmu.edu/aeg/aeg-current.pdf

Diff de binarios:

• http://www.abysssec.com/blog/2008/11/microsoft-patch-analysis-binary-diffing/

Manual testing:

• http://www.exploit-db.com/exploits/5068/

*Decir que hay cientos de ejemplos en Internet, es cuestión de buscarlos. Entre ellos, alguno mio del que estoy seguro del método que se usó para descubrir la vulnerabilidad. En algún enlace se puede ver mezcla de métodos, incluso alguno general que tienen muchas vulnerabilidades pero que considero interesantes.
Otros enlaces de interés:

• https://www.securecoding.cert.org/confluence/display/seccode/CERT+C+Secure+Coding+Standard
• http://www.exploit-db.com/
• http://www.securityfocus.com/

 Link: http://blog.buguroo.com/?p=344

Saludos!!

MetaSploit Framework eXploits Development Contest

Feliz 2009, más que nada porque llevo más de dos meses sin escribir por aquí jeje. Y bueno aprovecho el primer post de este año a este concurso.

El concurso organizado por Jerome Athias de JA-PSI, trataba de conseguir el mayor número de puntos. Éstos se podían conseguir dependiendo del tipo de exploit que hicieras, si era un poc, un exploit para aplicaciones web, o si eran locales o remotos funcionales. Todo ello portado para metasploit. En el link del final tenéis mejor la info del concurso y los exploits mandados al mismo.

La verdad fue un mes duro ya que todo exploit portado de milw0rm a metasploit tenía que probarlo en mi máquina, ello implica buscar la app vulnerable, ajustarlo a mi sistema y que funcione de forma simple(Se irán mejorando con tiempo), y muchos de los probados ya estaban en metasploit o directamente la gente los envió a milw0rm como buenos y luego realmente tienen filtros u otras cosas que hacen que no funcionen. Vamos que sobreescriben el ret con AAAA y luego los 4 siguientes BBBB, y como eip es 41414141 y esp 42424242, a la hora de modificarlo ponen una shellcode cualquiera y un salto a esp en EIP y aunque no lo prueben lo mandan...Eso lo ví en varios desbordamientos de pila.

Además, aunque personalmente veía mal que enviasen webapp porque metasploit está enfocado más en otro tipo de aplicaciones, me puse a fondo para conseguir ventaja y hasta envié yo webapp sin probar, pero que modificados casi nada, son todos iguales(los RFI jeje).

Así que después de tanto currar al final tuve lo prometido, gané y me enviaron el premio sin problemas a mi cuenta, y además estoy apuntado para la FRHACK, conferencia a la que me gustaría ir, si alguien de España lee esto y se apunta que me diga que voy sólo jeje. Hablaré de ella en otro momento :D.

Finalmente, agradecer a Jerome Athias porque las veces que hablé con él fue muy majo y por organizar este tipo de concursos, que más que nada era me animaba a hacer exploits para metasploit, cosa que tenía pensado hacer pero que nunca me animaba.
Así que parte de lo aprendido, lo plasmaré en algún lugar o mi amigo Boken lo hará con sus tutos.

Tutos para hacer exploits para metasploit:
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 1 - Boken
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 2 - Boken
Desarrollo de Exploits para Metasploit 3 desde cero - Parte 3 - +NCR CRC!

Además os digo que si tenéis app vulnerables que no estén en la lista siguiente, hacérmelo saber a mi o a la cuenta de correo que sale en la siguiente web:
https://www.securinfos.info/old-softwares-vulnerable.php

Link del concurso:
https://www.securinfos.info/metasploit/msfxdc.php

Venta de Vulnerabilidades en software

Hoy en día, muchos informáticos con conocimientos sobre vulnerabilidades, explotación de las mismas, e ingeniería inversa en general, se pueden ganar un buen sueldo con la venta de lo que descubren de forma legal, vendiéndolo a empresas que tienen clientes que proteger, y reportándolo a la empresa propietaria del software afectado o a los encargados de hacer ese software.

Actualmente, de forma legal conozco 2 y aunque habrá más, son las más conocidas. También hay otra que no es muy "legal" que se pueda decir, ya que vende vulnerabilidades a los que pongan el precio sin importar quien sea, pero con los datos del comprador en teoría, no directamente a la empresa que lo reportará a la afectada como debería ser para evitar problemas.

Os voy a hablar un poco de las 3:

ZeroDayInitiative(ZDI)
Pertenece a 3com-TippingPoint y pagan bastante bien. Es una de las 2 empresas que conozco, y la verdad, parece muy buena. Ellos te proporcionan una lista de las aplicaciones y fabricantes que seguramente acepten vulnerabilidades, y a partir de ahí, dependiendo del tipo de vulnerabilidad, uso extendido y demás de la aplicacion te pagan más o te pagan menos.
Ejemplos conocidos:

Adobe Pdf Reader 8.1.2 Local and Remote Code Execution across Web Browser --> 4000$

Adobe Flash Player 9.0.115.0 and earlier DeclareFunction2 Invalid Object Use Vulnerability --> 5500$

Sacado de infolancer - Vallejo.cc

iDefense Labs
La otra empresa que parece bastante buena y pertenece a Verisign, y que recientemente hizo algunos cambios por lo que pagará más en algunas vulnerabilidades importantes porque creo que quitaron concursos que hacían antes. Ésto me llegó al mail ya que ando registrado ahí desde hace tiempo. No tengo ninguna suma conocida, pero en la misma web que en ZDI, la de Vallejo, comenta que una vulnerabilidad con ejecución de código en algún software, de momento desconocido, le han llegado a pagar 8000$.

Wabisabilabi
Desde hace pocos días, no me aparece las que se venden actualmente, no muestra ninguna, así que no se si seguirá en funcionamiento si quiera...Ya bastante info hay de este en las noticias de internet.
Os dejo una lista de lo que se ha pagado por algunas vulns:

PostgreSQL 8.3.1 con PoC, Remota(No especifica de que tipo) --> 800 Euros
Safari 3.1 con Poc, Remota(Visitando un link seguramente) --> 300 Euros
IBM DB2 9.1.0 sin Poc, Remota --> 1050 Euros
SAP GUI v 620 con Poc x 3 Vulnerabilidades --> 5100 Euros/Vulnerabilidad

Ahi teneis lo que se ha pagado y por cuales.
http://www.wslabi.com/wabisabilabi/initAssignedBid.do?

Luego hay otras que ofrecen menos dinero y son menos conocidas, o directamente las ventas ilegales, que ahí si que te pueden pagar grandes cantidades. Pero merece la pena hacer eso y que te miren mal, pues no.

Espero que os sirva, y el día que consiga vender una, os daré mejor mi opinión, si es que algú día lo consigo, que cada bug que consigo o ya ha sido encontrado o es flojillo y no lo compran porque no les merece la pena.

Trillian muy vulnerable

Como ya le comenté hace tiempo a Juan Pablo López cuando descubrió una vulnerabilidad en Trillian poco después de que yo descubriera otra y también le comenté a boken lo mismo, les dije que trillian parecía muy vulnerable y el tiempo lo ha demostrado, está muy mal programado para ser una empresa que parece que tiene buen nivel económico. En cuestión es Cerulean Studios, y al entrar hoy en SecurityFocus, veo 3 advisories procedentes de Zero Day Initiative, lo miro a ver que es y me encuentro con el siguiente link donde está toda la información.

Gapping holes in Trillian IM client

Entre los fallos parece que hay varios fallos remotos sencillitos de explotar, ya veremos con tiempo de que se trata.

Viejo artículo sobre cutre ataques en flash

Bueno aquí os dejo un viejo artículo que hice para la ezine de un amigo, la de cicklow pero que por diversas razones al final no se publicó la ezine, como ya esta paginani existe y queda obsoleta, pues lo publico, decir que actualemtne hay páginas del mismo estilo y con mejore premios que son vulnerables, y que aunque una fue avisada hace más de un año, no la ha arreglado, tendrían que cambiar la web entera xDD, les iba a costar más dinero arreglarla que lo que la gente pueda llevarse en premios.

Edito: La página esta On de nuevo después de tanto tiempo, no se si lo habrán arreglado, lo miraré cuando no me de pereza registrarme jeje, si alguno lo mira y ve que siguen los fallos que avise al admin jeje :P, no seais malos.

--------------------------------------------------------------------------------------------------

Cómo saltarse las aplicaciones Flash para ganar en páginas web

Introducción
Hace tiempo ya, un amigo me comentó una página web en la cual se podía hacer trampas y sin comentarme nada más, me puse a investigar a ver que podía ser.

La página web en cuestión es:
http://www.futbolreto.com/ -- Actualmente, Fuera de línea.

Me registré en ella con el nombre de Antonio13 para hacer pruebas, me autentifiqué y me lleva a esta web.
http://www.futbolreto.com/login/index.php?open=aktiv


A la carga
Le damos a jugar y nos lleva a la siguiente:
http://www.futbolreto.com/login/index.php?open=secure
Le damos a ver código fuente y nos fijamos en esta parte:

[Código]
[object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=7,0,19,0" width="600" height="400"]
[param name="movie" value="preguntas_v5.swf?sasa=Antonio13&datum=2006-08-11" /]
[param name="quality" value="" /]
[embed src="preguntas_v5.swf?sasa=Antonio13&datum=2006-08-11" quality="high" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" width="600" height="400"][/embed]
[/object]
[/Código]

Esta línea es interesante: preguntas_v5.swf?sasa=Antonio13&datum=2006-08-11, nos muestra como se llama el archivo Flash: preguntas_v5.swf, el nombre: sasa=Antonio13 y la fecha: datum=2006-08-11.

Bueno metemos en http://www.futbolreto.com/login/preguntas_v5.swf y observamos que es el flash de antes.
Nos lo bajamos por ejemplo con el flash get u otro acelerador de descargas y lo guardamos. Luego para ver el código de los archivos .swf nos bajamos por ejemplo el flash decompiler 2.90 que es el que tengo yo y lo abrimos con ese programa.
Si nos fijamos a la derecha vemos varias cosas como shape,image,morph,sound,video, etc. A nosotros nos interesa la parte de sprite en la cual hay 84, podemos ir mirando y tenemos que tener en cuenta las variables que tenía la url del código anterior, sasa y datum. Buscamos esas variables y nos paramos en el de sprite 219 ("mama") y nos fijamos en el archivo.
----------
usuario = -root.sasa;
puntos = _root.puntos;
fecha = _root.datum;
Y más abajo:
trace("sasa" + _root.sasa);
trace("puntos" + _root.puntos);
trace("fecha" + _root.datum);
getUrl("guardar.php", "dave", "POST");
----------

Esas son las variables que tiene en el juego para ir apuntando el usuario, fecha y puntos y la última para guardar todos los datos anteriores, así que ya tenemos todo hecho solo falta hacer una cosa.

Siendo un crack en el futbol
Si probamos con la siguiente dirección estas variables y las modificamos a nuestro gusto:
http://www.futbolreto.com/login/preguntas_v5.swf?sasa=Antonio13&puntos=28000&datum=2006-08-11
Al ir a esa dirección nos sale para jugar, cogemos cualquier categoría y le damos a responder sin marcar nada y dirá que perdimos, pero como somos unos expertos en el fútbol, como se aprecia en nuestros puntos "acumulados", vamos al ranking y aparece Antonio13 en primer lugar con 28000 puntos, así que podéis modificar eso como más os guste.
Ranking - http://www.futbolreto.com/login/index.php?open=rank
También os podéis ingeniar un programa que haga registros automáticos ya que sabéis como funciona y donde lo guarda, así que eso os lo dejo a vosotros por si queréis probar.

Viendo las respuestas a las preguntas:
Bueno, vamos a ver otras cosas interesantes a la vista. En el mismo sprite 219 ("mama"),nos fijamos en estas líneas:

[Código]
das = random(_root.npreg) + 1;
Obj1 = new LoadVars();
Obj1.load("./" +_root.ram + "/" + das + ".txt", 0);
Obj1.onload = function ()
{

titulo = Obj1.pregunta;
rta1 = Obj1.rta1;
rta2 = Obj1.rta2;
rta3 = Obj1.rta3;
rta4 = Obj1.rta4;
soplo = Obj1.soplo;
verdad = Obj1.verd;

[/Código]

Ahora nos fijamos aquí: Obj1.load("./" +_root.ram + "/" + das + ".txt", 0); -- esto quiere decir que en donde actualmente está el .swf, www.futbolreto.com/login , hay una / y carga las categorías que son 5 (_root.ram) y luego otra / y carga el número de preguntas y lo pone como .txt por lo que quedaría así “www.futbolreto.com/login/1/1.txt” y como tiene 5 categorías hasta aquí www.futbolreto.com/login/5/1.txt y lo que es el 1.txt(das) varia hasta muchos números, así que vamos probando y guardamos las respuestas.
Y aquí termina este documento, podréis hacer vosotros vuestras pruebas y si queréis ganar, sin que se note mucho, aunque ya no hay premios porque hace tiempo que mi amigo informó y los quitaron y el fallo siguen sin arreglarlo.
Actualmente hay más páginas con este tipo de vulnerabilidades que muestran información sensible y que hace posible el poder saltarse las reglas.

Hecho por: Trancek, trancek@p1mp4m.es

El final de hakin9 en español

Me acabo de acordar de una noticia la cual creo que no está en ningún sitio o al menos yo no lo vi y es que resulta que hakin9 en español desaparece después de años ofreciendo buena información tanto teórica como práctica. No se si la empresa se habrá pronunciado pero al tratar de hablar con ellos para ponerme a escribir un artículo, me contestaron y la contestación fue clara y precisa, la edición española de hakin9 ya no va a salir, así que toca recopilar todas las revistas hasta el momento.

Por lo que una de las últimas entregas es la de Enero creo, del 2008, en la que el señor xD Chema habla de sql injection con consultas pesadas, y además tambien una recopilación de artículos para principantes.

Primero desaparece HackXCrack y ahora Hakin9, con que revistas de hacking en español nos vamos a quedar?? :(

¿Phising o tontería?

Hoy entro en mi correo y veo un mensaje como lo que me envían últimamente de scam, no se puede registrar la web en ciertos directorios....y bueno los ando guardando todos, para ver al final de año cual ha sido el más original y más creible. Pero resulta que el de hoy no trataba de ello, era un típico correo para quitarte tu cuenta. Yo creo que es la primera vez que me llega uno de un banco, soy feliz jejej pensaba que nunca me llegaría nada así después de tanto tiempo, ahora solo falta que lleguen los virus potentes para asi mirarlos un poquito como son o exploits en archivos.
Ahi va:
------------------------------------------------------------------------
Dear Sir/Madam,

Citibank always looks forward for the high security of our
clients. Some customers have been receiving an email claiming to be
from Citibank advising them to follow a link to what appear
to be a Citibank web site, where they are prompted to enter
their personal Online Banking details. Citibank is in no
way involved with this email and the web site does not belong to us.

Citibank is proud to announce about their new updated secure system.
We updated our new SSL servers to give our customers a better, fast
and secure online banking service.

Due to the recent update of the servers, you are requested to please
update your account info at the following link.

https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do

	This web site is operated by Citibank, N.A., Member FDIC	Security | Site map | Careers | privacy
	Copyright © 2007 Citigroup Inc.

----------------------------------------------

Bonito link ese último..el que en realidad es: http://www.dewithmaaltijden.nl/include/www.citibank.com/Citi/CitiBank/citibank/index.html

Eso si que es sospechoso, por lo que me fijé envia todo a un archivo .php llamado yassino.php , y estuve buscando en google y aparecieron 2 entradas distintas de foros que daban estas webs:

http://www.autolek.com/images/stories/www.bankofameria.com/Online_BofA_Banking/repution/updating.cfmpage=corp_bofacom/yassino.php
http://yourallergysymptoms.com/onlinebnkig-nw-bankofamerica-com/yassino.php

Es muy probable que sea del mismo autor, al menos la primera porque es del mismo estilo, la cosa que no puedo comprobarlas porque andan off. Ala tengan cuidado que esta forma es de las más sencillitas que te encuentras.

PD: Lo envie a Phistank una web que me encontré para publicar phising, parece importante debido a su número elevado de webs con phising enviados.

Distintos Blogs y paginas buenas

Para que no ocupe mucho los links que suelo ver a diario y que me parecen buenos, o algunos que veo de vez en cuando, voy a poner una lista aqui que ire reyenando.

En Español:
Lista de CracksLatinos
El Lado Del Mal - Chema
Blog S21Sec
Blog de Boken
48bits
SecurityByDefault
Kriptopolis
Blog de Zhodiac
JV Vallejo
Laboratorio de Hispasec
Foro de bugs - elhacker.net
Wadalbertia
h4ck1t - h1t
Blog de JosS
Blog de HaDeS
Blog de Thor
Blog de +NCR/CRC!
Blog de Yibam
Blog de AmeRiK@nO
Todo sobre Hack It - Euskal

En Ingles:
SysInternals - Mark Russinovich
BrowserFun - Cerrado :(
KernelFun
OpenRCE
Alexander Sotirov
Alpha3 Shellcoder - Skylined
Luigi Auriemma
Milw0rm
rvdh - 0x000000 - Browser Attacks
Halvar Flake
Pedram Amini - OpenRCE
Jeremiah Grossman - Web Hacking
Ero Carrera
RSnake - ha.ckers
SecurityTeam
Peter Ferrie
Archivos de las conferencias CanSecWest
Archivos de las conferencias BlackHat
Archivos de BugHunter sobre todo

Ireagregando segun me vaya acordando

Organizando la 1º Ezine Yashira

Hoy es día de revisar la creación de la ezine, ya que me enviaron un artículo largo pero bastante interesante y además tengo que maquetar otro que tenía por ahí, todavía estoy abierto a más artículos que me quieran enviar y hablaré con los admins de Yashira.org para ver si a los que escriban un artículo que se publique en la ezine se les da una cuenta @yashira.org, de momento cuento con 3 maquetados completamente, 1 hecho casi al completo pero que le faltan imágenes y 2 que me tienen que enviar. La cosa sería llegar a los 10 artículos y publicarlos antes de fin de año o al comienzo de éste, pero no se si dará tiempo. Os aseguro que os gustaran para algo está tardando. Recuerdo el link que dejé en yashira:

--------------------------------------------------------------------------------------
Bueno, pues despues de ver todos los votos y la mayoria a favor del si, solo queda abrir la ezine y ponerse al desarrollo de ella.

Para empezar:

1º-Temas a tratar: Pues relacionados con la informática, hacking, ing inversa, criptografía, programación que se puede incluir en alguna de las anteriores, y algunas curiosidades que haya , o artículos especiales, todo dependerá de la información que haya.
2º-Cómo escribirlos: Bueno pues escribirlos como queráis y en el formato que queráis, eso si nada rarito...xD, luego los pasaré a pdf para que se vea mejor y tal, y se pueden incluir imágenes pero no lo carguen demasiado, teoríaa y práctica estaría bien en todos los artículos que se pueda.
3º-Artículos: No tengo por que publicar todo lo que enviéis, cualquier fallo en el artículo se intentará mirar con todo el staff que lo revise y además se pedirá un nivel medio-alto para la ezine, para hacerla una de las mejores que se pueda, aunque se tarde en publicarla.
4º-Colaboraciones: Enviármelas a mi agregándome al msn trancek@gmail.com(el correo no me funciona...),enviando un correo a trancek@yashira.org o enviarme un MP por yashira posteándome un link para coger la info, me meto a diario así que lo veré ok?
5º-Ortografía: Esto intentar ponerlo con las menores faltas posibles y tal, y bueno para explicar algo no utilicen palabras del país propio para que así todos puedan entender bien el artículo.

Saludos y esperemos que este proyecto vaya hacia delante!!!!

Arrestado por espionaje "SyS64738"

Uno de los importantes en la red, Roberto Preatoni(Alias-SyS64738),en el campo de vulnerabilidades y auditorías ha sido detenido por espionaje a Telecom Italia, es famoso por ser el fundador de dos páginas muy famosas en el ámbito del defacing y la auditoría de software, las páginas en cuestión son WabiSabiLabi de la que hablé y que se dedicaba a la venta de vulnerabilidades con sus correspondientes exploits, y además la web para registrar defaces Zone-h. Imparte conferencias en todo el mundo y es el que lleva Hero-Z comics. Respecto al arresto la razón de la detención fue unos ataques junto a otros que no estaban autorizados a hacer los ataques y por realizar intervenciones telefónicas y por ello Telecom Italia les ha denunciado. Así que veremos que pasa y bueno hasta hoy no supe que era también el de Zone-h cosa que me defraudó por ser el creador de la web WabiSabiLabi.

P1mp4m T34M

Bueno hace nada nos mudamos del Blog de P1mp4m a la web oficial y foro de momento P1mp4m.es en el cual se va a dar ayuda a todos los usuarios que lo necesiten, además de integrar algunos cambios que principalmente no tienen todas las web de este tipo como son: Un laboratorio (la idea que más me gusta), en el cual al principio se cogerá software que tienen vulnerabilidades para estudiarlo y de ese modo aprender, además de poder encontrar otras posibles vulnerabilidades en el mismo software que no estén publicadas, el tipo de aplicaciones principalmente serán las basadas en Web, y muy probable que PHP las que más, pero a lo largo del tiempo si todo va bien, se podría incluir bajo ASP.Net y aplicaciones software (tema bastante interesante).

También se va a incluir una biblioteca con todo tipo de manuales, y artículos escritos por el team o por gente de la comunidad, abarcando temas actuales sobretodo.

Todo esto se está planeando y está quedando montado de tal forma que cuando empiecen a llegar usuarios ya esté finalizada la web.

Así que espero que os guste y disfruten con el contenido y aprendiendo!! Sobretodo hay que ser autodidacta muchas veces pero con ayuda de alguien que siempre viene bien.

P1mp4m

Fuzzing: Brute Force Vulnerability Discovery (Paperback)

Hoy voy a escribir sobre un libro que me quiero comprar que la verdad me parece muy interesante sus contenidos y que claramente es muy profesional solo hay que ver a los autores que lo han escrito y donde trabajan. Bueno ahi va la descripción que aparece en amazon.com, traducida por mí más o menos bien. En el link de la fuente viene info además sobre los autores.

Autores:
Michael Sutton
Adam Greene
Pedram Amini

Fuzzing
Actualmente es una de las más poderosas técnicas para revelar fallos de seguridad. El fuzzing es una de las formas más efectivas de ver la seguridad del software. Para fuzzear, tu atacas a la entrada de datos de un cógido aleatorio del programa, y después sistemáticamente identificas los fallos que surjan. Los hackers llevan confiando en el fuzzing durante años: Ahora, es tú turno. En este libro, reconocidos expertos en fuzzing te muestran cómo usar el fuzzing para descubrir debilidades en tu software antes de que alguien lo haga.

Fuzzing es el primer y único libro que cubre el fuzzing desde el principio hasta el final, dándote una disciplina mejor para practicar una técnica que ha sido implementada de una manera informal tradicionalmente. Los autores empiezan por revisar como trabaja el fuzzing y como leer entre líneas da ventajas cruciales sobre otras formas de ver la seguridad. Después, ellos introducen lo más reciente en técnicas en el arte del fuzzing para encontrar vulnerabilidades en protocolos de redes, formatos de archivos, y aplicaciones web; demuestran el uso automatizado de las herramientas de fuzzing; y presentan varios casos profundizando como trabaja el fuzzing.

El libro incluye:

• Porqué el fuzzing simplifica el testeo del diseño y obtiene otros métodos perdidos de encontrar fallos.
• El proceso del fuzzing: desde identificar entradas de datos a evaluar si es explotable.
• Entendiendo los requerimientos necesarios para un fuzzing efectivo.
• Comparaciones entre fuzzers basados en mutación y en generación.
• Usando y automatizando el fuzzing de variables de entorno y argumentos.
• Dominando las técnicas de fuzzing en memoria.
• Construyendo frameworks y herramientas de fuzzing personalizadas.
• Implementando sistemas inteligentes de deteccion de errores.

Los atacantes normalmente usan fuzzing. Tú deberías también. Si tu eres un programador, ingeniero de seguridad, tester o un especialista QA, este libro te enseñara como construir software seguro.

Índice del libro:

Foreword
Preface
Acknowledgments
About the author

Part I: Background
Chapter 1: Vulnerability Discovery Methodologies
Chapter 2: What Is Fuzzing?
Chapter 3: Fuzzing Methods and Fuzzer Types
Chapter 4: Data Representation and Analysis
Chapter 5: Requirements for Effective Fuzzing

Part II: Targets and Automation
Chapter 6: Automation and Data Generation
Chapter 7: Enviroment Variable and Argument Fuzzing
Chapter 8: Enviroment Variable and Argument Fuzzing: Automation
Chapter 9: Web Application and Server Fuzzing
Chapter 10: Web Application and Server Fuzzing: Automation
Chapter 11: File Format Fuzzing
Chapter 12: File Format Fuzzing: Automation on UNIX
Chapter 13: File Format Fuzzing: Automation on Windows
Chapter 14: Network Protocol Fuzzing
Chapter 15: Network Protocol Fuzzing: Automation on UNIX
Chapter 16: Network Protocol Fuzzing: Automation on Windows
Chapter 17: Web Browser Fuzzing
Chapter 18: Web Browser Fuzzing: Automation
Chapter 19: In-Memory Fuzzing
Chapter 20:In-Memory Fuzzing: Automation

Part III: Advanced Fuzzing Technologies
Chapter 21: Fuzzing Frameworks
Chapter 22: Automated Protocol Dissection
Chapter 23: Fuzzer Tracking
Chapter 24: Intelligent Fault Detection

Part IV: Looking Forward
Chapter 25: Lessons Learned
Chapter 26: Looking Forward

Index

Fuente:Amazon.com - Fuzzing

Certificaciones de Seguridad

Hoy voy a hablar de estas certificaciones famosas entre los jefes y que les gusta que los empleados las tengan cuando trabajan en seguridad informática, sin saber realmente que algunos son puro papel y diploma y realmente enseñan conocimientos que puedes adquirir tu rápidamente de internet excepto algunos que hay práctica de laboratorio pero a la hora del exámen es solo teórico, para mi perspectiva hay varios problemas en este tipo de certificaciones:

1- El precio de este tipo de certificaciones es muy elevado para mi cartera.
2- Los exámenes suelen ser en inglés excepto el CCNA que puede hacerse en español y por lo tanto te dificulta a lo mejor a la hora de entender perfectamente lo que te pregunta.
3- A la hora de los conocimientos muchas veces se pueden aprender de internet y te ahorras los anteriores problemas.

Por lo tanto, los aconsejo para los que tengan dinero y se lo puedan permitir fácilmente ya que algunas empresas se fijan más en ello, para los que tengan poco lo mejor es esperar tal vez y cuando puedas permitirlo si quieres hacerlo y tal hay buenas empresas que hacen los exámenes en zonas de España y no tienes que viajar muy lejos. A veces, algunas empresas regalan cursos de este tipo a sus empleados pero eso depende de cada una.

Estos días iré poniendo varios tipos de certificaciones con su temario y tal. Hay un larga lista de ellas:

- EC-Council Security Certification
+CHFI - Computer Hacking Forensic Investigator
+CEH - Certified Ethical Hacker
+ECSA - EC-Council Certified Security Analyst
+LPT - Licensed Penetration Tester
- (ISC)²
+CISSP - Certified Information Systems Security Professional
+ISSAP - Information Systems Security Architecture Professional
+ISSMP - Information Systems Security Management Professiona
+ISSEP - Information Systems Security Engineering Professional
+CAP - Certification and Accreditation Professional
+SSCP - Systems Security Certified Practitioner
- Computing Technology Industry Association
+CompTIA Security+
+CompTia A+
- ISACA
+CISA - Certified Information Systems Auditor
+CISM - Certified Information Security Manager
+CGEIT - Certified in the Governance of Enterprise IT
- GIAC
+GIAC - Global Information Assurance Certification
+GREM - GIAC Reverse Engineering Malware
+GHTQ - GIAC Cutting Edge Hacking Techniques
+GWAS - GIAC Web Application Security
- CISCO
+CCENT - Cisco Certified Entry Networking Technician
+CCNA - Cisco Certified Network Associate
+CCSP - Cisco Certified Security Professional
+CCIE - Cisco Certified Internetwork Expert
- Microsoft
+MCP - Microsoft Certified Professional
+MCSA - Microsoft Certified System Associate
+MCSE - Microsoft Certified System Engineer
- Next Generation Security
+NSC - NGSEC Security Certification

Auditoria de una pagina a nivel Web

Esta vez voy a hablar de como vulnerar una web de un modo general y sencillo, es decir, los pasos que tenemos que seguir generalmente para encontrar posibles fallos para defacear una web y ya de paso también sirva a los webmasters que quieran comprobar la seguridad de su web y asi estar siempre mas seguros. Asi que os muestro mas o menos mi metodologia que utilizo yo. Para ello haremos un riguroso analisis de la web en cuestion.

Podemos seguir estos 10 sencillos pasos:

1-Mirar con que lenguaje se programo la web: Php, Asp, Html, XML, Flash...
1.1- Html: seguramente haya que buscar otro modo, como por el servidor o mirar a ver si hay alguna parte que no sea html
1.2- Javascript, Flash, Java...paginas que contienen partes importantes en estos lenguajes como autentificacion pueden ser vulnerados facilmente, ya que se puede conseguir el codigo.
1.3- Asp, Php, XML...suelen tener graves problemas ya que se puede hacer muchas cosas con esos lenguajes, en esta nos centraremos a nivel web muchas veces.

2-Buscar si la pagina web es un paquete precompilado tipo CMS, por ejemplo, como Joomla, Php-Nuke, etc. Si lo es suele ser algo a nuestro favor ya que dispondriamos del codigo porque es libre y visible para todos.

3-Ver si existe robots.txt que sirve para ver directorios ocultos que el robot de google por ejemplo mira para que no cachee esos directorios, suele dar info de cosas importantes como directorio del admin.

4-Uso de buscadores para encontrar posibles archivos o directorios importantes: site:www.sitio.com eso encontraria varios enlaces en lo que podria estar alguno importante.

5-Directorios y archivos comunes: admin.***, administracion.***, login.***, etc y entre directorios: /zona admin/;/administracion/...etc. Un programa que da buenos resultados en busqueda de directorios es el acunetix que suele buscar directorios comunes en los que puede a ver logueos y demas.

6-Referenciado al punto 2, se podria buscar posibles fallos de ese paquete en www.milw0rm.com del colega str0ke, pagina que suele albergar todo tipo de exploits.

7-En caso de no encontrar nada ahi o en otras webs, tantear y probar tu mismo en sistemas de logueo de usuarios, de administracion, de busqueda, etc, inyecciones o sino en variables mediante GET O POST inclusiones, XSS, y otros tipos de vulnerabilidades.

8-Si nada de esto funciona la cosa es ponerse a investigar en el codigo tu mismo si lo tienes disponible, para ello deberas saber mas informacion de como y donde se producen las tipicas vulnerabilidades.

9-Un meto alternativo ya fuera de esto seria la Ingenieria Social, pero que no he probado ya que nunca he atacado un servidor especifico por algun motivo pero suele ser muy buena debilidad porque los empleados no estan preparados como deberian estarlo.

10-Otras formas ya que no tienen que ver con este texto, como es entrar por el servidor o ir a la empresa y hacer a lo espia, ahi con tu traje negro como si fueras uno mas, asi seguro te lo pases mejor.

*Un metodo bastante importante que se me olvidaba es buscar si es un servidor compartido para ello tenemos la herramienta Reverse IP de Seologs y a partir de ahi buscar en otras webs para lograr entrar al servidor y al fin llegar a la nuestra.


Este texto principalmente esta hecho rapidamente y para que tengan una idea mas o menos asi que es posible que la cague por las prisas y bueno como me lo pidieron varios usuarios de yashira.org pues me anime a escribirlo aunque es algo que se va aprendiendo con la experiencia, espero que al menos os guie un poco.

Cualquier cosa decirme y lo cambio, aun asi mañana le dare un vistacillo si saco tiempo, ademas me acostumbrare a poner tildes que no las suelo poner para evitar problemas.

Yashira OFF, por mucho tiempo?

Comunicado de Pescaodeth

-------------------------------------------------------

Yashira Regresa?
Publicado por PescaoDeth - 12-10-07 19:44
Muchos se preguntarón que sucedió.

para resumir todo... dejaré los mensajes enviados por DH fué como sigue:
CITA

Hello,


Your account has been permanently disabled for violations of our Terms of Service (operation of "hacking"/computer intrusion sites, presence of unauthorized copyrighted materials). It will not be re-enabled.


Jeff,

------------------------------------

luego de un petición para recuperar los backups correspondientes y una posible reactivación, la respuesta fué la siguiente:
"Tomando en cuenta que tardaron de 2 días en enviar la respuesta (total ya pagamos así que led dá igual)". y dando como escusa que nuestro sitio se trata principalmente de wargames y similares orienta a comprender las distintas ramas de informática.

CITA

This is a commonly heard excuse, but it rings hollow. Not only are some
of the tools you have under your account clearly meant for brute force
attacks against others, you are also engaging in copyright infringement
(ebooks, etc).

The account will not be re-enabled under any circumstances.

Jeff,

------------------------------------

aún seguimos esperando una respuesta para recuperar al menos la base de datos.
pero ya se perdieron esperanzas.

¿creen que es justo pagar por todo 1 año sin derecho a reemboloso de los meses no utlizados y además sin derecho a tus backups?
yo pienso que no!!!, me parece que es una estafa.

alguien se ha preguntado como llenar un disco de 250 gigas con material 100% legal, es decir sin mp3,videos,juegos,ezines, etc....

es por el mismo motivo que ofrecen esa cantidad de espacio ya que es casi imposible llenarlo.
y encaso de que alguien comiencé o ocupar espacio fuera de lo normal, no tardarán en encontrar una escusa para clausurar tu cuenta. ya que no estaba presupuestado que ocuparas mas de 10 gigas ya que nadie ocupa esa cantidad sin que sea 100% legal.

ya saben ;) pasen el dato que dreamhost vale vergas.

lo concreto es:
-el backup mas reciente es del día en que aparecen los puntajes del podium , es decir: 27 de septiembre 2007
- no tenemos host.
- y al menos yo como admin no gastaré 1 peso en un host que seguramente a los 3 meses lo vuelvan a cerrar por el mismo motivo.

Entonces regresará yashira?
- depende de los usuarios. si en realidad les interese que vuelva comuniquense con garcez,Alexhk_23 o g30rg3_x sobre ofertas de host y/o colaboraciones desinteresada de dinero.
les recordamos que yashira consume mas de lo normal en recursos y que necesita de al menos unas 40gigas de transferencia mensual y al menos 2 giga de espacio.

Cual es el pronóstico?
- lo mas probable es que yashira no vuelva a estar online, y no es debido a que los admin sean kagones con el dinero, si no mas bien que en todos los lugares donde se aloje, estará fuera de lo legal y/o terminos del host ya sea host o servidor dedicado "ya que al final de cuentas igual está regido por las mismas reglas".

y si vuelve reestructurada?

opciones:
- una posibilidad sería que no existan descargas de ninguna clase de tools, y ser mas exigentes en el material a alojar en el sitio.
- dejar el sitio solamente como wargame+foro activos.
- cerrar yashira y dedicarlo solo a wargame.
- cerrar y dejar los retos hasta donde estaban sin pocion de agregar contendio ni retos.

que puedo hacer para colaborar y que vuelva?
comunicarse con garcez,Alexhk_23 o g30rg3_x sobre ofertas y colaboraciones monetarias.
por cierto lean http://www.dreamhost.com/tos.html que aparece cuando contratan el servico:
pero milagrosamente tienen oculto al momento de contratar.
http://abuse.dreamhost.com/ el cual aparece milagrosamente.
en otras palabras te dicen que pueden cerrar los sitios cuando se les antoje ya que todos están fuera de lo legal.

Saludos

------------------------------------------------------------------------

Pues leo esto y pienso que al menos con lo que costo el server, podrian devolver algo o en vez de cerrar hablar con el admin y que le de unos dias para que lo cambie o se le cierra, pero no ganar dinero y ala a olvidarse de la gente, asi se forran todos y asi va el mundo, con gente asi es de esperar que no muy bien, pero bueno se esta haciendo lo posible para que vuelva y todos tengan un lugar donde reunirse y hablar, si no esperen con el host que vengo que es bueno barato y tal vez haciendole unas pocas modificacioens se pueda.

Os veo Yashirosss y pez trankilo que esta vez lo pagan los yashiros y si se puede con el que digo lo pago yo mismo!!! Ya lo sabes!!

¿Buscaban "Hacker" o persona con conocimientos minimos?

Bueno me meti en el blog de mousehack, un user de elhacker.net y aunque anda algo desactualizado el blog me fije en un escrito que habia hecho, donde decia que:

Buscan Hacker...

Una empresa inglesa busca un "hacker" para mejorar o rehacer páginas webs seguras. Los candidatos que se ajusten al perfil deberían encontrar facilmente la dirección a la que enviar su curriculum en la siguiente cadena de texto: 43616c6c204a756c69616e206f6e20303230203739323420363632206f7220656d61696c206a756c69616e406c6f6e7265732e636f6d Solo admiten curriculums en texto plano o pdf.


y me llamo la atencion y pense...a ver si va a ser un hash de esos raros tiger o algo asi que suelen ser largos... y bueno dije mejor pasar aunque ande aburrido, pero bueno por probar no me pasaba nada...y me fue a desencriptar como si eso fuera texto ascii cifrado en hexadecimal, aunque pensaba que no seria porque buscaban un "hacker" pero derrepente veo que me lo descifra y dice: Call Julian on 020 7924 662 or email julian@lonres.com
Entonces ahi pense, este no necesita un hacker...este no tiene ni idea, y lo tercero menuda tonteria mas grande, asi que na, no avise para ver si tenia el curro porque no merece la pena...
Asi que nada, gente asi falta mas jejeje se encontrara trabajo mas facilmente.

Ataque XSIO

Hay una "nueva" o conocida, pero en la que no se ha hablado antes, vulnerabilidad llamada "XSIO" o lo que es lo mismo Cross Site Image Overlaying que se produce a causa del atributo style, nos permite un nuevo modo de hacer defaces..que se van a reir de ti como los hagas con estas cosas... o phising mediante links en imagenes, hay algunos sitios en los que para ir a algun lado hay que apretar en la imagen...¿que pasaria si en vez de la imagen esa vieramos una nuestra con nuestra sitio para hacer phising?Pues sencillo se podrian sacar datos como hacen actualmente y hacer que el usuario vea lo mismo cuando no lo es.

Le veo el problema a la vulnerabilidad de que en muchos sitios no va a funcionar ya que necesita para funcionar o HTML habilitado en algun lugar...pocos lo hacen, o mediante CSS que o eres admin, o en algunos blog esta esa posibilidad pero seguramente no funcione en muchos sitios aun asi en este funciona jejej, la cosa es que si pones para que vaya a una web...tendria que tener un sitio donde redireccione paginas web, ya que sino quedaria algo asi: http://trancek.blogspot.com/http://yashira.org y daria un error .
Lo probe en algunos sitios y algunos ya traen proteccion por si intentas hacer algo asi aun si puede ver e intentar hacer cosas malignas, es solo tener imaginacion.

Ejemplo:


Al hacer un post por ejemplo con el codigo:

{img src=http://img514.imageshack.us/img514/163/dibujobi1.jpg style=position:absolute;right:350px;top:90px;/}

{} es lo mismo que <> es que esto tmb es vulnerable...jejeje

Solo lo probe ahi, una web que me encontre por ahi, y nada mas probarlo lo borre soy buena gente.
Asi que los que lean esto lo prueben con sus webs por si acaso y no hagais muchas maldades, con conocimientos del html se te ocurriran mas cosas que hacer.

Articulo: XSIO