nonr00t'S stuff (uid != 0)

BarCampSE v 2.0

2011-12-10T13:24:00.000-05:00

http://www.barcampse.org/

MiniReto - Deface It!

2011-10-31T13:44:00.003-05:00

Hace un par de días publiqué un mini reto (lo encuentran aquí) con el objetivo de pasar un rato agradable y aprender un poco. La verdad el tema central del reto tiene como base una historia de pentesting real en un ambiente corporativo, pero quise recrear el escenario para que otros profesionales y estudiantes no descarten estos vectores de ataque dentro de sus propios análisis. Obviamente cambian algunas condiciones como por ejemplo que en la vida real fue un entorno LAN y se usaban NAS y SANs reales, en este caso el protocolo se lleva a Internet y se usa un simple servidor corriendo Linux.

Hasta el momento he publicado un total de 3 mini retos, casi siempre dentro del entorno académico donde enseño, pero esta vez con ayuda de algunas listas de correo tuvimos un juego no tan local. El mini reto tuvo una duración de 24 horas aproximadamente, tiempo estimado para que alguien pudiera dar con la solución, quizás fue poco tiempo, quizás fue mucho, lo importante era aprender en el camino.

El reto fue anunciado así:
Link en Sec-Track (http://www.sec-track.com/deface-it-reto-3-by-nonroot)

La administradora de red vanessa  publicó su primer portal web.
Su fuerte son otros temas, sin embargo le causa curiosidad el tema de los servidores web, por eso se animó a crear su propio espacio personal.

Misión: Hacerle un DEFACE al portal:  http://107.22.221.188/

Reglas:
- Permita el juego de los demás (juego limpio)
- Gana el primero que haga el defacement
- El premio es una calcomanía de BlackHat (es enserio, no hay mas plata para premios :P )
- Canal de soporte en #ctf-colombia (irc.freenode.net)
- Vale todo! (menos D.o.S, D.D.o.S)
- Think Different!

A jugar!

Algunas estadísticas del reto:

Hasta donde me dice el apache y sus logs, entraron mas de 700 visitantes y un total de 477 IPs únicas, como quien dice, que estuvo movido el reto. La mayoría de logs se recolectaron del sistema web incluso después de haber twitteado (@nonroot) que el reto NO era web.

Hubo jugadores no solo desde Colombia, las dos IPs que mas se acercaron estaban en Egipto y otra desde Argentina. Sin embargo nadie solucionó el reto.

Muchos de los jugadores estuvieron preguntando por la solución, así que saqué los archivos de configuración y los discos usados para que puedan recrear el escenario.

El reto como se dijo mientras estuvo abierto, si bien tenia como objetivo hacer un defacement (lo que claramente implica una plataforma web), no obligaba a que se resolviera usando vulnerabilidades web.

Siempre hay que analizar todos los vectores de ataques posible, porque no sabemos donde encontraremos la vulnerabilidad. Herramientas como nikto, dirbuster, etc, son buenas, pero no siempre van a funcionar en todos los entornos y este no era el entorno para usarlas.

El reto apuntaba a un target iSCSI implementado en Linux con la herramienta:

http://sourceforge.net/projects/iscsitarget/files/

Las pistas iniciales debían conducir a encontrar el puerto correcto y usar las herramientas para dicho protocolo, después se encontrarían con mas pistas hasta alcanzar la solución final.

Para reproducir el escenario se requiere un sistema linux, instalar el target ISCSI mencionado y poner los "Discos Duros" en el directorio /backup/ , para mas información mirar la configuración anexa del target (ietd.conf).

El archivo necesario para reproducir el escenario lo pueden descargar desde aquí:

http://dc444.4shared.com/download/xaTbUIAE/Reto3-Defaceit.zip

Y la plataforma web?, la plataforma web era un joomla con todas las configuraciones necesarias para que no fuera vulnerable (a menos que alguien tenga un zeroday para la última versión), así que no era relevante en la prueba. El objetivo era conseguir el password de acceso administrador por otro medio y luego ingresar al portal y hacer el defacement.

A tener en cuenta durante el desarrollo del reto:

Los LUN están formateados, tener en cuenta estos formatos para seleccionar un cliente adecuado.
Existe una recomendación para usar 12 caracteres en los passwords CHAP en ISCSI, esto aunque no lo crean reduce el ámbito de pruebas para un bruteforce, por ejemplo, pocas personas quieren recordar passwords de 12 caracteres complicados.
¿Cómo hago para saber que el protocolo es iSCSI, si no esta en el puerto por defecto?
¿Cómo hago para hacerle fuerza bruta al proceso de discovery de los targets? (para el reto el discovery estaba sin passwords, pero es posible configurarlos, cómo haríamos para descubrirlo?)
¿Cómo hago fuerza bruta para el password del target (CHAP)?
Si logro encontrar los tokens en el intercambio CHAP, ¿Cómo puedo encontrar el password?

Espero que se animen a montar el reto y postear sus conclusiones, como ya saben, tenemos el wiki de Sec-Track disponible para hacer los aportes.

Gracias a todos los que jugaron y a los diferentes proyectos (kungfoosion, sec-track, ctf-colombia, hackplayers) por replicar el tema.

Saludos.

Challenge 7 of the Forensic Challenge 2011 - HoneyNet.org

2011-07-20T19:26:00.001-05:00

Unos días después de anunciar los ganadores del reto 7 de honeynet me ha llegado el fabuloso premio que pueden ver en la imagen. La verdad el premio es compartido con Camilo Zapata (duma) ya que participamos juntos en el reto, pero como usé mi dirección de correo, me quedo con el :P

El reto consistió en un análisis forense a una maquina Linux comprometida por el servicio Exim y aunque personalmente no quede muy a gusto con el resultado, nos divertimos analizando las imágenes de memoria del sistema.

En el paper final pueden encontrar las respuestas a las preguntas del reto y unos comentarios sobre nuestros puntos de vista, pues en las imágenes a analizar encontramos evidencia del proceso de construcción del reto, por lo tanto lo descartamos como evidencia de intrusión, cosas como:

- La maquina que recolectaba la imagen (dd) con la que jugamos no podía ser la maquina del intruso (según el timeline), sin embargo el primer puesto dijo que eso era cierto.

-La maquina del intruso correspondía a una sola IP, la segunda IP parecian ser pruebas contra el reto (pruebas de diseño), en nuestro concepto estos fueron pequeños errores en la preparación del reto, sin embargo en el paper ganador estos datos se asociaron a los intrusos.

Para validar el alcance de la explotación de los dos exploits usados, investigamos el tiempo de acceso a las librerias de los binarios ejecutados, esto nos daba la certeza del momento exacto y si hubo o no intrusión.

Eso es todo, con este post los quiero animar a participar en los próximos retos del proyecto HoneyNet, que si bien no esperamos ganar premios significativos ($$), es un escenario propicio para aprender.

Los solucionarios al reto 7 de forense los pueden descargar de:

http://www.honeynet.org/challenges/2011_7_compromised_server

Update: Solucionario en Español:
http://www.openbsdcolombia.org/honeynet/RetoForense7-Honeynet-Fernando_Y_Camilo.pdf

Hasta la próxima!

Campus Party Colombia 2011

2011-07-08T08:02:00.003-05:00

Este año mi participación en #CPCO4 estuvo bastante movida, por un lado y como lo he hecho en las pasadas 3 Campus Party de Colombia, estuve apoyando el equipo de tecnología con el montaje y puesta en marcha de la red (IPv4, IPv6) para más de 4500 campuseros, este año el equipo de tecnología recibió el apoyo de todo un batallón de estudiantes de la Escuela de Ingeniería Julio Garavito.

[Pegar foto de los estudiantes de la escuela Aquí]

Luego y durante la semana de campus estuve pendiente de que las cosas funcionaran adecuadamente, encontrando intrusos informáticos y solucionando problemas no tan comunes como personas saltando en las cajas de los switchs, mientras gritaban BXXBIS!! BXXBIS!!.

Este año también estuve con dos grandes amigos (Jhonatan Silva y Camilo Zapata) presentando un taller en el área de seguridad y organizando el reto informático denominado para esta edición: WarGame Campus Party (#WGCPCO4), por primera vez en Colombia se diseña un reto con estas características y la expectativa es que los niveles de los juegos deben seguir aumentando.

El reto patrocinado por Campus Party buscaba que los participantes solucionaran 10 niveles de diferentes dificultades y sumaran puntos hasta obtener 900 puntos. El premio para el ganador fue un IPAD 2.

Algunos pantallazos de la plataforma que desarrollamos:

Sistema de captura de banderas

Comandos por consola, para los mas geeks!

Sistema de descarga de retos con pistas incluidas

Cada nivel entregaba sus correspondientes pistas, por entorno gráfico o consola

La pirámide de retos, diferentes niveles de dificultad

Pantallazo general de la plataforma del #WGCPCO4

En el #WGCPCO4 se inscribieron 129 personas de las diferentes ciudades del país y estuvieron jugando hasta el último día 40, la puntuación final se puede ver a continuación:

Desde hace varios años hemos estado participando en retos de seguridad, también trabajando en el desarrollo de diferentes plataformas que hacen posible que las personas puedan divertirse y aprender jugando. Para dar soporte a todos los retos de seguridad informática tenemos una lista de correo donde puedes conocerte con otras personas interesadas en estos temas:

LISTA DE CORREO:

https://groups.google.com/group/ctf-colombian-team

Las diferentes presentaciones que hicimos como grupo en #CPCO4 las pueden descargar aquí:

Y lo más esperado, las soluciones (Writeups) del #WGCPCO4:

Por ahora no es más, quiero agradecer a todas las personas de las cuales siempre aprendo algo en cada evento, a los amigos con los que me reencuentro cada año y en general a todas las personas que hacen posible que una Campus Party sea tan divertida como puede ser. Próxima estación #CPES15 y #CPMX3

Hasta la próxima!

WriteUP GB200 CTF QUALS DEFCON

2011-06-05T21:09:00.000-05:00

En el reto "Grab Bag" 200 encontramos un servidor corriendo en el puerto 6000 y para el cual nos dan la clave: "Never\$olv3d!". Cuando nos conectabamos al puerto y enviamos cualquier carácter obteníamos la siguiente salida:

000111222333444555000111222333444555000111222333444555

Después de esto el sistema esperaba una entrada y respondía con otra fila de números similar o con un mensaje de mensaje incorrecto. En el análisis encontramos:

1. Los números solo eran desde el 0 al 5.

2. El mensaje de error se generaba cada 4 números, por lo tanto lo que el sistema esperaba era de 4 números. Por lo que teníamos posibles combinaciones de 0000 a 5555.

3. Si no respondiamos una supuesta secuencia correcta entonces se generaba un error.

La solución:

Después de probar diferentes cosas intenté con cada combinación de números así: 0000, 1111, 2222, 3333, 4444, 5555, el único que generó una respuesta diferente fue: 2222, con este número obteníamos un "0" y luego el programa abortaba (close socket).

Intenté entonces enviarle la información de otra manera:

$perl -e 'print "Never\$olv3d!\n"' | nc pwn522.ddtek.biz 6000

y al ver que lo podía hacer, entonces envié el caso especifico del 2.

$perl -e 'print "Never\$olv3d!\n2222"' | nc pwn522.ddtek.biz 6000
000111222333444555000111222333444555000111222333444555
000111222333444555000111222333444555000111222333444555
Let's not be too rough on our own ignorance; it's what makes America great!

Busqué esta frase en Internet y encontré que el autor era: Frank Zappa

Intenté varias combinaciones en el scoreboard, pero finalmente use la clave:

KEY= "Let's not be too rough on our own ignorance; it's what makes America great!"

Resultando ser la KEY correcta => + 200.

Fácil no? :P

Pd:

Este reto fue resuelto durante una clase de seguridad con los aprendices del SENA, gracias a ellos!.

Programación Flisol Medellín 2011

2011-04-07T19:52:00.000-05:00

El Flisol Medellín será en el Museo de Antioquia durante todo el día Sábado 9 de Abril de 2011. La programación oficial del evento la encuentra a continuación:

Recuerde que puede llevar su computador para que sea reinstalado con Software Libre (Linux, BSD, Haiku, etc) o puede asistir en compañia de sus amigos a las conferencias y talleres. Si quiere asistir a los talleres por favor lleve su portatil con un sistema operativo Linux funcional para que pueda aprovechar al máximo a los expertos.

Si necesita un espacio donde hablar acerca de sus proyectos de Software o Cultura Libre, recuerde que tendremos una zona BarCamp donde podrá reservar 20 minutos para contarle al público sus experiencias. Si requiere mas información, por favor visite la página oficial del #FlisolMed y contacte a uno de los organizadores.

Quedan todos cordialmente invitados.

Seguridad en Internet - Versión Beta Tv

2011-03-17T21:12:00.001-05:00

Watch live streaming video from puntolink at livestream.com

La última parte del video está dedicada a todas esas personas que siguen vigentes en su quehacer y para todos aquellos nuevos hackers que están inyectándole energía a la escena colombiana.

“We work in the dark,

We do what we can,

We give what we have,

Our doubt is our passion,

And our passion is our task,

The rest is the madness of art”

;)

FLISOL 2011 MEDELLÍN

2011-03-15T17:54:00.000-05:00

Séptimo Festival Latinoamericano de Instalación de Software Libre en Medellín

—FLISOL—

El evento de difusión de Software Libre más grande de Latinoamérica

En Abril regresa a Medellín el Festival de difusión de Software Libre más grande de Latinoamérica. Esta vez se realizará el día Sábado 9 de Abril en el Museo de Antioquia entre las 9 a.m. y las 5 p.m. Este espacio estará abierto de manera gratuita para que estudiantes, profesores, empresarios, expertos, escépticos y curiosos de la tecnología se enteren de las alternativas que el Software Libre tiene para ofrecerles. No es un evento sólo para conocedores, es una espacio donde cada uno de nosotros encontrará algo para aprender y compartir. Quedan cordialmente invitados.

¿Qué encontraremos de bueno?

Instalación de sistemas operativos libres como GNU/Linux y *BSD

Puedes llevar tu computador (desktop o portatil) e instalar todo el software libre que quieras (incluyendo los sistemas operativos) completamente gratis, desde software de diseño gráfico hasta software de redes, bases de datos o seguridad informática.

Soporte especializado en problemas de Software Libre

Aún no encuentras solución a un problema con plataformas o aplicaciones libres?, el 9 de Abril es el momento de conocer expertos que pueden orientarte en el tema.

Conferencias sobre temas relacionados con Software Libre

Todo lo que siempre quisiste entender sobre el Software Libre, como se usa?, para que sirve?, con que se come?

Talleres prácticos
Aprende haciendo, trae un laptop configurado para el taller y sigue paso a paso los procedimientos para .... configurar redes IPV6, hacer música, crear diseños gráficos y mucho más!

Asesoría para empresas y proyectos

Piensas que debes dejar de invertir en licencias de software y concentrarte en tu infraestructura y proyectos?, entonces este 9 de Abril puedes conocer a las personas indicadas para hacer realidad este cambio. Te esperamos.

Demostraciones (software libre aplicado), juegos y concursos

El Software Libre funciona?, este es el momento de verlo en acción funcionando, demostraciones relacionadas con sistemas de correo electrónico, clonación masiva de equipos, telefonia IP, seguridad informática y mucho más.

Mas información y registro: http://medellin.flisol.info/

Nos vemos en el FLISOL!

Configurando ATS (Apache Traffic Server)

2011-03-11T20:05:00.000-05:00

Muchas veces en networking necesitamos trabajar con servidores proxy/cache, proxy inverso, de balanceo de carga, etc, etc. Y si somos afines con el mundo del SL casi siempre optamos por trabajar con squid o varnish, pero que sucede cuando necesitamos considerar la escalabilidad, el alto rendimiento o la posibilidad de hacer cache inversa de forma efectiva?.

Quiero hablarles del proyecto Traffic Server, un proxy con el cual he trabajado hace un tiempo y se ha comportado bastante bien, este servidor nos permite hacer lo mismo que hacen otros servidores proxy/cache pero quizás por su diseño nos pueda dar mas rendimiento en funciones claves como el balanceo de carga o la cache inversa. De forma adicional nos presenta otras características como la posibilidad de personalizar plugines o generar reportes detallados de los hits (esto lo incorpora el mismo software y no es necesario agregar un complemento). Otras características se pueden encontrar en el sitio oficial del proyecto.

Pero como no todo es perfecto, el problema actual es que no existe mucha documentación ni ejemplos prácticos disponibles, tenemos como fuente principal la documentación oficial pero puede llegar a no ser suficiente si es la primera vez que nos encontramos con este servidor. A continuación voy a dar un procedimiento básico para ponerlo en marcha. La parte avanzada queda como ejercicio :P

PASOS PARA INSTALAR TRAFFIC SERVER:

1. Lo primero que debemos hacer es descargar la última versión estable disponible del sitio oficial:

http://trafficserver.apache.org/downloads.html

2. Luego lo descomprimimos y desempaquetamos, continuando con el procedimiento normal para compilar software desde las fuentes:

anonymous#bunzip2 trafficserver-2.0.1.tar.bz2
anonymous#tar xfv trafficserver-2.0.1.tar
trafficserver-2.0.1/
trafficserver-2.0.1/m4/
trafficserver-2.0.1/m4/apr_network.m4
trafficserver-2.0.1/m4/ltversion.m4
trafficserver-2.0.1/m4/lt~obsolete.m4
trafficserver-2.0.1/m4/ltoptions.m4
trafficserver-2.0.1/m4/libtool.m4
trafficserver-2.0.1/m4/apr_common.m4
...

anonymous#cd trafficserver-2.0.1

anonymous#./configure

En este punto es posible recibir errores relacionados con librerías, en un sistema debian por ejemplo, es necesario instalar las librerías tcl,expat, sqlite, pcre :

apt-get install tcl-dev

apt-get install libexpat1-dev

apt-get install libsqlite3-dev

apt-get install libpcre3-dev

También es importante que tengamos los componentes para construir software:

apt-get install build-essential

3. Intentamos compilarlo

anonymous#make

En este punto es posible recibir un error porque el grupo llamado "nobody" no existe, una solución rápida para esto es crear un grupo en el sistema llamado "nobody".

anonymous#groupadd nobody

anonymous#grep nobody /etc/group

nobody:x:1001:
anonymous#

4. Finalmente lo instalamos en el sistema.

anonymous#pwd

/traffic/trafficserver-2.0.1

anonymous#make install

Muy bien !, nuestro sistema queda instalado en la ruta /usr/local/etc/trafficserver/. Ahora que?

Todos los archivos de configuración:

Binarios relacionados con el servicio:

Como dijimos al principio es posible configurar el servidor Traffic Server para funcionar de diferentes formas, así que intentaremos hacerlo funcionar como un proxy común y corriente, para esto debemos editar variables en el archivo de configuración principal. Si hacemos una prueba rápida con la configuración por omisión nos encontramos con un error.

El servidor Traffic Server por omisión bloquea la salida de peticiones, esto lo hacen sus desarrolladores para evitar que los proxies mal configurados queden abiertos posibilitando ataques y todas esas otras amenazas que trae consigo exponer un servidor de esta forma.

Después de buscar, buscar y buscar en foros y demás encontré que la forma como se estructura el servicio es muy clara y debemos tener bien definido el rol o los roles (es posible hacer varias funciones al tiempo, por ejemplo reverse y transparente) que queremos tener.

**TRAFFIC SERVER EN MODO TRANSPARENTE**

En el archivo de configuración records.config (el archivo principal) debemos editar la línea:

CONFIG proxy.config.url_remap.remap_required INT 1

Y dejarla así:

CONFIG proxy.config.url_remap.remap_required INT 0

Tengan mucho cuidado en no cambiar la estructura del archivo de configuración, como se puede observar el software es bastante antiguo y los parsers para estos archivos son bastante "exigentes".

Una vez hecho el cambio podemos reiniciar el servicio:

anonymous#trafficserver restart
Restarting start/stop Traffic Server: trafficserver.
anonymous#

Y eso es todo, ya podemos usar nuestro proxy como siempre lo hemos usado:

A. Configurandolo en los browsers de los clientes

B. Haciendo un redireccionamiento en el firewall para que todo el tráfico web apunte al puerto 80 donde estará el proxy (modo transparente), para esto se debe modificar la siguiente variable:

CONFIG proxy.config.http.server_port INT 8080

Por defecto el proxy escucha en el puerto 8080, así que debemos modificar esta línea, quedando así:

CONFIG proxy.config.http.server_port INT 80

**TRAFFIC SERVER EN MODO CACHE INVERSO**

En este escenario aceleramos las consultas a nuestros sitios web, haciendo una cache inversa, para esto necesitamos dejar la variable como estaba inicialmente.

CONFIG proxy.config.url_remap.remap_required INT 1

Y luego debemos editar el archivo de configuración remap.config, algo de información se puede encontrar en el manual.

En el archivo remap.config podemos agregar todos los "mapeos" línea por línea dependiendo de lo que queramos hacer, por ejemplo este mapeo uno a uno cambiando la IP y el puerto:

map http://[IP EXTERNA]:[PUERTO EXTERNO] http://[IP INTERNA]:[PUERTO INTERNO]

Con esta sencilla sintaxis vamos a lograr que nuestro servidor proxy haga cache de las peticiones externas y las redirija al servidor interno (que puede ser el mismo con un servidor web escuchando en otro puerto). Una vez modificado el archivo reiniciamos el servicio y esta listo nuestro proxy inverso.

Para terminar podemos observar una salida del sistema de estadísticas que trae incorporado el software:

Aún queda mucho por explorar, este software cada vez esta tomando mas fuerza dentro de la comunidad de Software Libre, recuerden que ahora es un hijo de la fundación apache y seguramente seguirá mejorando como cada uno de sus productos.

Les dejo algunos enlaces donde se hacen benchmarks logrando que una maquina promedio pueda soportar hasta 100 mil peticiones por segundo (100.000 r/s)

http://www.ogre.com/node/350

http://www.ogre.com/node/364

Otros enlaces donde pueden obtener mas información:

Wiki:

https://cwiki.apache.org/TS/traffic-server.html

Guia de administración:

http://trafficserver.apache.org/docs/v2/admin/

Teoría:

http://people.apache.org/~amc/tiphares/home.html

Foros:

http://mail-archives.apache.org/mod_mbox/trafficserver-users/

Tracking The Tracker

2011-03-03T23:53:00.005-05:00

Quiero compartir en esta entrada un "truco" que les puede ser útil en algún momento cuando alguien este tratando de hacerles email tracking.

#set mode black On

En algunas ocasiones (personales, laborales) es posible que se necesite encontrar la dirección IP de una persona y después de haber probado los trucos de MSN y similares, decidimos que es mejor hacer un rastreo por medio del sistema de correo. Para esto podemos escribir un correo y esperar a que nos devuelvan una respuesta y tratar de identificar la dirección IP desde donde escribieron el correo, sin embargo en los sistemas públicos como Gmail, Hotmail, Yahoo, etc es posible que no podamos identificar esta dirección porque los servidores "la esconden".

Si enviar este correo no funciona pasamos a lo siguiente que consiste en enviar un email con un sistema de rastreo incorporado (email tracking), la técnica que se usa es incluir una imagen única dentro de los correos que nos permita identificar los datos básicos del navegador y la dirección IP de la persona que abra el correo, magnifico no?. Esta técnica es bien conocida y existen sitios web que se dedican a ofrecer este servicio, ofreciéndonos un portal de administración web donde podemos recibir los datos de forma organizada. Ejemplos:

Claro está, si lo vemos de una forma mas común, el email tracking lo hacen las empresas de salud, pensión, bancos, centros comerciales, etc, que nos envían publicidad, recordatorios de eventos o promociones.

#set mode white On

Cuando recibimos estos correos que intentan rastrearnos hay forma de identificarlos, un procedimiento básico es este:

1. Buscamos una alerta indicándonos que el correo cargará imágenes desde sitios externos.

2. Recibimos mensajes que nos incentivan a hacer click.

3. Cuando supuestamente cargan las imágenes pero no vemos nada, realmente si están allí,, solamente que están del color del fondo o transparentes. Una forma de verlas es resaltar el texto hasta encontrar pequeños recuadros, rectángulos, etc.

Muchas veces las imágenes de tracking son pixeles de 1x1, bastante pequeños para que los veamos.

4. Una vez identificados los recuadros podemos sacar las URL de tracking de las imágenes (haciendo click derecho - ver código fuente) estas son las que se cargarán cuando se abra el correo y son las que posibilitarán que detecten la IP desde el lugar que la abrimos. Otra forma de verlas es quitando el soporte de HTML del sistema de correo, de esta forma las imágenes no podrán cargar automáticamente.

Ejemplos de Urls son:

http://email.smdigital.com.co/a/hBNcCI6B8Il1IB8Zcq0Nsh0BH6t/imagen
http://200.31.94.56/DMG.BulkMailReports/Rastreo/AbrioMail.aspx?compania=xxx&amp;campana=201l-1&amp;email=juanito@google.com&amp;accion=clic&amp;url=http://www.xxx.com/
http://www.getnotify.com/white.asp?eid=6611e6bc619fe9e0c6d68a5328319104
http://images.mail69.com/2b71b/signature.gif

En conclusión, no tenemos que abrir el correo que consideramos sospechoso, pero si podemos identificar cuales son las imágenes de tracking que se quieren robar nuestra información.

Un sistema de estos se puede programar fácilmente, con los siguientes pasos:

1. Instalar un servidor web público.

2. Crear un script que genere una imagen y use como nombre un código único (por ejemplo un hash) en una ruta especifica.

3. Insertar en el correo el link de la imagen dentro de una etiqueta OnLoad o SRC de HTML.

4. Esperar a que la persona abra el correo.

5. Verificar los logs de acceso del servidor web y extraer la información relacionada con el código de la imágen, los datos que se pueden extraer son los mismos que genera el navegador cuando visita un sitio web, en apache los podemos ver en access_log.

Entonces cual es la diferencia con esta técnica y con lograr que el usuario haga click sobre un enlace cualquiera?, la verdad ninguna, los datos que podemos conseguir son los mismos, el único detalle es que esta técnica de las imágenes se puede ver como algo automático.

#set mode Gray On

Ahora sí, contragolpe!

El truco que quiero explicarles es que podemos rastrear a la persona que nos quiere rastrear por medio del correo, cómo?. Los sistemas de tracking de emails generalmente no validan la respuesta que obtienen de los logs del servidor, así que podríamos intentar insertar código HTML, JAVASCRIPT tal y como si se tratara de un bug de XSS logrando con esto obtener información de la persona que nos rastrea. Para comprobar esto tomé dos de los sistemas gratuitos mas populares y con estas líneas de python inserté una alerta en javascript:

import urllib2

url = 'INSERTAR_URL_DE_LA_IMAGEN_QUE_NOS_RASTREA'

user_agent = '<script>alert("XSS en sistemas de Tracking de Emails")script> (Mozilla 4.4 compatible; MSIE 5.5; Windows NT)'

headers = { 'User-Agent' : user_agent }

req = urllib2.Request(url, '', headers)

response = urllib2.urlopen(req)

Demostración:

Con esta técnica también se pueden rastrear defacers, spammers, pedófilos y todo esa gente que pide a gritos que la encuentren.

Algo para pensar:
Muchas veces cuando estamos investigando, usamos plataformas disponibles en Internet y confiamos ciegamente en ellas. Sistemas de mensajería instantánea, sistemas de correo, aplicaciones en la nube y en general todas esas herramientas que nos ayudan a hacer la tarea. Pero pocas veces nos cuestionamos sobre la seguridad de las mismas, sobre la confiabilidad de los plugins que descargamos, sobre los shellcodes que ejecutamos y esto simplemente es otro vector de ataque en Ingeniería Social, muchas personas liberan código, aplicaciones, plugins, etc, solo con el objetivo de insertar malware por doquier. ¿Cuantas aplicaciones has instalado que nunca hayas usado?, cuantas puertas traseras tienes en este momento?

Como ejemplo de esto expongo una vulnerabilidad de uno de los servicios antes mencionados para hacer tracking de emails, la cual me permitirá en determinado momento hacerle seguimiento mas completo a alguien que me lo haga a mí. Es un ataque simple de SQL Injection, pero cuantos de nosotros nos cuestionamos que esto pueda suceder en un servicio con miles de usuarios?

Eso es todo,
Saludos.

Social engineering - Example

2011-02-19T18:19:00.000-05:00

La ingeniería social se puede dar de muchas formas, pero dos vectores de ataque principales ocurren en las siguientes circunstancias:

1. La víctima tiene deseos de colaborar y de sentirse útil, en ese momento esta persona será vulnerable si es posible intercambiar el servicio por unas palabras que provoquen sensaciones de satisfacción o por una remuneración que estimule positivamente a la víctima.

2. La víctima esta solicitando un favor, tiene una necesidad, en ese momento es vulnerable porque su foco de atención es la necesidad puntual y cualquier otra cosa estará en segundo plano, por lo tanto siempre y cuando parezca que esta obteniendo una solución a su necesidad la víctima “estará dispuesta” a entregar la información.

En este caso de estudio evaluaremos un ataque tipo 2.

Documento: http://www.openbsdcolombia.org/documentos/others/IngenieriaSocial_CasodeEstudio.pdf

Serial numbers for AppZapper

2011-02-13T22:41:00.001-05:00

Existe una herramienta para MacOSX bastante útil que nos permite eliminar esas molestas aplicaciones que instalan archivos donde menos lo pensamos, su nombre es AppZapper. Esta herramienta no es software libre, pero tiene un demo de 5 Zaps (nada mas) después de los cuales hay que registrarla para seguir usandola.

AppZapper (2.0.1 - build 216) tiene un menú donde podemos registrar la aplicación introduciendo un usuario con su respectivo serial válido. Antes de comprarla quise buscar posibles seriales para probar (XD) y me encontré que pasandole un simple strings al binario salen nombres y seriales que al parecer son válidos, probé uno y funcionó. Será que es verdad? o fue pura casualidad?

Si alguien lo prueba que me avise:

MacOSx>pwd
/Applications/AppZapper.app/Contents/MacOS
MacOSx>strings AppZapper | grep -i APZ
APZP-101-109-198-114
APZP-105-108-206-110
APZP-97-99-208-99
APZP-98-97-207-101
APZP-112-102-226-115
APZP-110-91-217-103
APZP-101-115-217-101
APZP-101-112-198-122
APZP
MacOSx>

Ahora ya no se si comprarlo ...

Update:

Gracias a (R) me entero de este articulo donde explican lo débil del algoritmo de generación de seriales: http://leah.chooseyourownerotica.com/blog/?p=60

BarCamp Security Edition (BarCampSE)

2010-11-23T00:46:00.005-05:00

Les recuerdo que el próximo 4 de Diciembre tendremos un evento BarCamp en 4 ciudades de Colombia (Cali, Pereira, Bogotá y Medellín), estamos haciendo todo lo posible por que el evento salga muy bien y logremos pasar un rato agradable aprendiendo de los temas que nos interesan.

Desde aquí quiero enviar un saludo a todas las personas y entidades que hacen posible que podamos organizar un evento como este, gracias a todos.

*Update*: Confirmado el Streaming por Internet para todos los que no puedan asistir al evento, mas información: http://www.renata.edu.co/index.php/renata-en-vivo/22-especiales/1722-barcamp-security-edition-museo-de-antioquia.html

Les cuento además que estamos preparando un WarGame (#WarCamp) para todos aquellos que quieran aprender un poco probando sus habilidades en el tema de seguridad informática.

Mas información sobre el evento en:

Sitio Web: http://www.barcampse.org/
Wiki: http://barcamp.org/BarCampSE

@BarCamp_SE

Nos vemos en el evento!
;)

---

Update:

BarCamp Security Edition - ¡ TODO UN ÉXITO !

"La respuesta del público fue mejor de la esperada, algunas personas llegaron incluso dos horas antes de comenzar las desconferencias que iniciaban a· las 10:00A.M. según la programación, y terminaron aproximadamente a las 6:30PM, en total tuvimos 42 charlas diferentes en todo el país. Podemos decir por esto y por todos los comentarios recibidos durante la jornada que el evento BarCamp Security Edition fue un Éxito total." - http://www.barcampse.org/

Wargame de Hacking Ético - INTECO

2010-10-29T17:44:00.002-05:00

Una buena noticia. =)

"Respecto al segundo concurso de “Hacking ético”, o wargame, que ha contado con más de 90 participantes, se ha premiado a Fernando Quintero en la modalidad reservada a alumnos de último curso de Universidad o de Formación Profesional de grado superior, dotado con un Diploma acreditativo y una Beca INTECO de 6 meses para realizar prácticas en el INTECO-CERT. El correspondiente a la modalidad B, reservada a alumnos de 2º de Bachillerato o de Formación Profesional de grado medio (familia Informática y Comunicaciones), ha quedado desierto."

Y otra mala. =´(

"Estimado Fernando,

El que usted no sea estudiante, supone el incumplimiento de las bases establecidas para poder optar al premio indicado, por lo que lamentablemente, tendremos que cancelar su nombramiento como ganador y pasar a la siguiente persona en la lista.

Reciba un cordial saludo,"

Ni modo. XD

EkoParty 2010 - Que la sigan rooteando ...

2010-09-23T17:16:00.006-05:00

Por fin pude asistir a la EkoParty!, hace un par de años que queria viajar a Argentina al evento y conocer un poco como hacen las cosas en tierras gauchas. La verdad fue una buena experiencia pues el evento estuvo muy bien organizado, los speakers estuvieron geniales y el ambiente en general fue bastante agradable. La delegación colombiana fue de aproximadamente 12 personas entre las cuales estaban Giovanni Cruz (fixxxer) como expositor y Jaime Restrepo (dragon) como organizador del reto forense que fue un éxito total.

Entre las key words que tengo del evento están las siguientes:

LockPicking, SerePick, APs en migration mode de Cisco, http://subterfugue.org/, Faraday, Vasto, Maltego (nueva versión, mas peligrosa que nunca), security payloads con w3af, SecComp.

Son cosas sobre las que hay que buscar mas información pero las demostraciones y explicaciones introductorias de las charlas dejaron una buena base para continuar investigando.

Por otro lado la visita a la ciudad de buenos aires me permitió saludar y conocer amigos y saber un poco a que están orientando sus investigaciones, definitivamente la EkoParty proyecta el buen nivel de los investigadores Argentinos, buena por los organizadores, speakers y asistentes al evento, todo salió fenomenal!

Para los interesados en los CTF, se realizó un pequeño juego y creo que aún se pueden obtener los niveles aquí: http://canhack.me/, lastimosamente solo pudimos resolver dos niveles pero de baja puntuación, crackear hashes SHA1 en una eee1000H no es algo muy practico :(, felicitaciones al equipo ganador que se llevo un IPAD+Trofeo como reconocimiento a su trasnochada :P.

Larga vida a la EkoParty y que la sigan rooteando ;)

Update +2 days: Video (PoC).

Hacking a IP Camera (ACTI ACM-4000)

2010-08-09T18:18:00.016-05:00

Esta entrada la hago para recordarle a algunos estudiantes que las vulnerabilidades estan en cualquier parte y eso significa en cualquier dispositivo, en cualquier software, en cualquier momento, en cualquier persona, etc. Durante un análisis de vulnerabilidades es imprescindible no dejar pasar nada, les queda de lección ;)

Fig 1. Posando para la foto

También escribo esta entrada porque al parecer al fabricante nunca le importó este bug (reportado hace mas de 1 año) o fué que no encontré alguna referencia al mismo en la Internet?, de cualquier modo puede ser instructivo para todas las personas que trabajan en estas áreas ;)

NO prometo bajar el upgrade del firmware disponible en el sitio y volver a probar

La historia comienza en un pentest lejano con un barrido IP (como comienzan muchas historias, supongo ;), allí encontré unas camaras ip conectadas a la red que brindan (?) toda la seguridad de acceso físico, solo fueron como 20 o 30 cámaras ubicadas en un sector de 200 metros cuadrados.

Fig 2. Interfaz de acceso Web

Una vez entramos con un navegador a la IP de la camara, nos encontramos con un sistema de autenticación que usa al parecer CGIs, en este momento y con el permiso respectivo podemos planear hacer algunas pruebas para verificar la seguridad de este formulario de validación.

Lo primero es intentar las claves que vienen por omisión de fabrica y Bingo!, las cámaras son vulnerables a un ataque de passwords by defaults, pero que gracia tiene esto?, por si alguien quiere hacer pruebas, en el manual oficial encontramos que estas cámaras tienen los siguientes datos por omisión:

IP: 192.168.0.1
User: admin
Pass: 123456

Como fue tan fácil, decidimos explorar un poco la interfaz y nos damos cuenta que no hay permisos adecuados en el servidor web embebido que esta usando la cámara y esto nos permite listar el contenido de todo el directorio.

Fig 3. Listado de archivos y directorios del DocumentRoot

Por la forma en que se listan los archivos, los permisos, el color de fondo, etc, llegamos a la conclusión de que se trata de un sistema linux embebido dentro de la cámara que tiene un servidor web (thttpd) con soporte para CGIs.

Lo que hago a continuación es explorar un poco cada uno de los archivos y encuentro uno que me parece interesante.

Fig 4. Script test, el script vulnerable.

El script test al parecer invoca el programa iperf que nos permite hacer pruebas de conectividad entre diferentes maquinas y puertos, esto quizas sea usado por la cámara para conectarse al servidor maestro donde se almacenan los videos.

Fig 5. Probamos el funcionamiento normal

Como se puede ver en la imagen, el comando se ejecuta como si estuviera en un shell lo que me lleva a pensar si seria posible inyectar comandos en esa línea ...

Fig 6. Ejecución de comandos arbitraria dentro de la camara IP

Como ustedes ya deben de saber en una consola de linux es posible ejecutar varios comandos al tiempo dependiendo del éxito o no de los comandos anteriores, por ejemplo:

$ ls -la ; pwd ---> Esto ejecutará dos comandos

$ls -la || pwd ---> También

$ls -la && pwd ---> También

La diferencia esta en que unos se comportan como OR, AND o sin condiciones.
Lo más común es usar el símbolo ; que nos permite ejecutar un comando tras otro sin importar el resultado del comando anterior.

Fig 7. Listamos con permisos

Unas pruebas más ...

Fig 8. Linux Camera 2.4.19, usará aleatoriedad en el stack?

Fig 9. Las claves de estos htpasswd son las mismas, admin, 123456

Explorando un poco mas nos damos cuenta donde estamos ubicados dentro del sistema y verificamos si podemos alcanzar el /etc

Fig 10. /var/www/cgi-bin/

Fig 11. Listando el /etc

Podemos ver una estructura común de archivos en /etc, me decidí por buscar un archivo que pudiera contener información interesante.

Fig 12. Archivo de configuración de la cámara

Y de hecho así fue, en este archivo es posible encontrar la información del rango de red, las ip del servidor de almacenamiento, los algoritmos de compresión usados, etc. También el usuario y clave actual para ingresar a la cámara ip, esto significa que no importa cual clave este usando el administrador, siempre será posible entrar al panel administrativo, ver las cámaras, moverlas, etc.

Fig 13. Usuario y clave almacenados en el archivo de configuración

Fig 14. Access Granted!

Descargar los binarios o los scripts CGIs que tenia la cámara resultaba imposible, pues el servidor web siempre los ejecutaba antes de permitir descargarlos (el modo normal de funcionamiento), lo primero que a uno se le ocurre es cambiarle la extensión al archivo para intentar descargarlo:

(camara)$cp script.cgi script.txt
(cute-astrid)# wget http://IP/script.txt

Pero incluso con una extensión TXT el servidor no permitía la descarga de los ficheros, ¿por que?, quizás estaba verificando el header del archivo y por esto no lo permitía, en este punto y solo por probar lo que hice fue agregar un par de letras a la cabecera del binario y el servidor web lo interpretó como un fichero de texto y permitió la descarga, luego simplemente retire esas dos letras y pude recuperar el binario.

Fig 15. Descargando el binario nando

root@mail:~# file nando
nando: ELF 32-bit LSB executable, ARM, version 1, dynamically linked (uses shared libs), stripped
root@mail:~#

Si queremos auditar mas a fondo estos binarios, recordemos que son binarios compilados para Linux/ARM, así que tenemos varias opciones:

a. Trabajar sobre una plataforma ARM y jugar con los binarios de la cámara
b. Usar Qemu para emular la plataforma y correr allí los binarios
c. Usar el último plugin ARM para IDA PRO y desensamblar los binarios

Is your choice ;)

Pero bueno ustedes se preguntarán, que de malo puede tener que alguien ajeno a mi empresa pueda monitorear las cámaras de seguridad?, si aún sigues preguntandote eso y no encuentras respuestas, te dejo una lista de cosas que alguien con suficiente creatividad y tiempo podría hacer.

Lista de cosas que alguien puede hacer una vez tenga control de una cámara IP

1. Apagar la cámara (por lo tanto los ladrones pueden aprovechar para entrar)

2. Cargarle un firmware incorrecto a la cámara, lo que ocasionaría un daño de fábrica y $$ en mantenimiento, reparación y puesta en marcha.

3. Espiar, espiar y espiar, con esto se rompe la confidencialidad porque estaría viendo cosas que quizás no debía ver, como el modus operandi de la compañía.

4. Usar el Zoom 10X de la cámara para enfocar teclados y pantallas de computador, con el objetivo de registrar los movimientos de un usuario, un shoulder surfing remoto?

5. Usar los comandos disponibles en la cámara para repetir el mismo frame durante un tiempo especifico (como en las películas!!), de esta forma el jefe de seguridad (física y lógica) estará viendo la misma escena durante mucho tiempo.

6. Borrar los archivos importantes de la cámara, como por ejemplo el binario de arranque o sus archivos de configuración. Todas las cámaras de la entidad a garantía?, algo raro no?, Cual es el tiempo de respuesta para volver a instalar 30 cámaras ip?

7. Compilar aplicaciones para la plataforma, en este caso ARM y ejecutarlas dentro de la cámara, a quien se le ocurriria pensar que la cámara IP le esta haciendo un nmap o un DoS? o que la cámara IP esta realizando un Arp Spoofing y esta recolectando datos de los usuarios?

8. Si la cámara IP se puede girar (80, 120, 360 grados), puede hacer que la cámara apunte para un lugar donde no se vea nada (una esquina de 90 grados, una matera) o se vea mucho (un baño privado :P ).

9. Si el servidor central que recibe la información de la cámara confia en esta y la cámara a su vez confía en mi (0wned), significa que el servidor central que tiene los vídeos, los backups y la información CONFIDENCIAL confía también en mi? ;)

10. ¿Qué se te ocurre que alguien podría hacer con el control de las cámaras IP de tu empresa?

Fin de la lista

Y a propósito, ya le hiciste una auditoría de seguridad a las cámaras de vídeo?, recuérdalo siempre ...

!Big Brother is watching You!

smpCTF ( smpChallenges WriteUps )

2010-07-22T21:30:00.022-05:00

Voy a escribir algunas soluciones a los retos del pasado CTF organizado por la gente de SMP.
Para mas información sobre el reto, por favor lee la entrada anterior.

[smpChallenge - 1]

En este nivel nos daban algunos datos y un procedimiento, con ayuda de astro pudimos encontrar una ecuación válida para el procedimiento y generar un pequeño script:

u@h:w$cat n.py
import sys

a=int(sys.argv[1])
r=int(sys.argv[2])
b=a+1
c=2*a+1
d=a*b*c
e=d/6
f=r*a
resp=e+f+1
print f
print resp
u@h:w$

Este script (el original creado en el momento de angustia :P) recibe dos valores como argumentos y genera el número de la secuencia que buscamos. En el código fuente de la página encontrábamos la información que el algoritmo cambiaba valores después de un tiempo, entonces la tarea era ejecutar algo rápido para que los valores funcionaran en ese rango de tiempo.

[smpChallenge - 2]

Donde esta waldo?, esa era la pregunta, una vez logueados en el sistema quedabamos directamente en el vim, y recordando un reto pasado en los prequals de defcon inmediata mente pudimos salir al shell ejecutando la sentencia en vi:

:set shell=/bin/bash
:!shell

Una vez en el sistema observamos todos los archivos posibles y tratamos de recuperar la integridad de unos archivos .swp que estaban generados en el home del usuario, pero finalmente ejecutamos el siguiente comando (un poco desesperados):

Buscamos todos los archivos donde se mencionara a waldo, luego seleccionamos los mas propensos a tener la bandera y finalmente lo encontramos.

[smpTrivial- 1]

Para resolver esta trivia es cuestión de analizar la salida del tcpdump e inmediata mente podemos analizar que se trata de DecNet (LOL).

[smpChallenge - 4]

Este fue el primer reto web, por lo que se asume que tiene un nivel de complejidad menor, pero nos quito un buen tiempo porque no probamos "las cosas de siempre".

Al cargar la página aparecía un formulario donde podíamos ingresar cualquier cosa y el nos devolvía el mismo nombre (un escenario para XSS, pero no permitia ningún tipo de explotación), pero si ingresábamos el nombre Administrator encontrábamos un letrero de DENEGADO, por lo que nos insinuaban que este nombre de usuario tenia algo que ver. Después de intentar cosas como Xss, SSI, Xpath, sql, pensar etc, decidimos hacer la misma petición pero usando el método POST, ya que siempre que hacíamos click en el botón del formulario enviaba los datos por GET.

Cuando lo hicimos por POST no paso nada, pero volvimos a intentar un par de veces y obtuvimos un resultado diferente.

Este texto era base64 y producía una imagen donde se encontraban las respuestas (la bandera y el ID). Después de chequear un poco el nivel nos dimos cuenta que el proceso era aleatorio, algunas consultas con método POST daban resultado y otras no, así que si alguien paso de largo y no probó varias veces el envió de datos, seguramente no pudo pasar el nivel.

[smpChallenge - 12]

El segundo nivel web era algo relacionado al parecer con cookies, sin embargo la pista nos decía que no se trataba de un ataque con las cookies del sistema.

Lo que hicimos en este nivel fue empezar a inyectar todas las posibles variables que se nos ocurrieran y descubrimos que existían las variables id, name, pass y otras que no me acuerdo, el asunto es que la que parecía mas vulnerable era la variable pass, pero al intentar un ataque que tuviera espacios nos denegaba el acceso. Como el objetivo era alcanzar una flag, asumimos que todo se encontraba en la base de datos, entonces intentamos una consulta anidada donde imprimiéramos el campo que nos interesaba, la inyección final quedó de la siguiente forma:

Al lado izquierdo se puede observar la respuesta correspondiente a la bandera para superar este nivel.

[smpChallenge - 13]

Este era el segundo reto forense que consistía en una descripción de un evento astronómico.
Lo primero que hicimos fue intentar buscar en Internet texto que correspondiera con el texto que aparecía en el reto y el resultado fue:

Lo que nos indicaba que los hechos ocurridos estaban relacionados con el choque de un cometa con Júpiter. Cuando consultamos con uno de los miembros del equipo SMP nos confirmó que la bandera era el titulo del articulo, pero aún nos faltaba el id del reto.

Aclaro que este wargame tenia algo diferente y era que para pasar un reto se tenían que tener 2 cosas, una era la bandera (una cadena de texto larga con una frase cualquiera) y el identificado del reto, casi siempre un código de 8 dígitos hexadecimales, por lo tanto el ejercicio era doble, a veces era sencillo encontrar el ID oculto en el código fuente de las páginas, pero a veces era mas complicado.

En este reto el ID no aparecía por ningún lado hasta que uno de los miembros del equipo dio con el resultado

El ID estaba oculto entre el texto que nos daban como pista para solucionar el reto, de que forma se sacó?, con una diferencia entre los textos originales y la pista se obtiene una única línea que no coincide, misteriosamente esa línea es muy elite ;)

Con estos dos datos pudimos pasar el reto.

Algunas otras soluciones se pueden encontrar en SinfoCol o ingresando "smpCTF writeups" en tu buscador favorito. ;)

Saludos y hasta la próxima.

smpCTF (reto informático)

2010-07-22T20:56:00.006-05:00

Durante las fechas de la final del mundial se organizó un nuevo reto informático (wargame, CTF) en Internet, esta vez por parte del grupo Spider Monkey Phenomena- SMP, la "tarea" consistía en pasar 20 niveles que se iban liberando poco a poco y resolver 7 preguntas relacionadas con el mundo de la seguridad informática.

Para jugar nos unimos a uno (SecTrack) de los dos grupos colombianos registrados, pero solo estuvimos dos personas tratando de pasar los niveles. Entre final de fútbol y otras actividades logramos realizar 8 retos que nos dejaron en la posición 37 .

Al principio el CTF estuvo muy desorganizado, se fugó alguna información, tambien se tuvieron algunos errores en los niveles iniciales, pero luego todo se normalizó. La parte quizas que no me gustó mucho fue el diseño de algunos niveles, pues aunque uno tuviera la respuesta no habia forma de encontrar la bandera ya que estaban esperando un ingreso de datos sumamente especifico. Pero bueno, seran cosas para mejorar, de todos modos fue un gran wargame y pasamos un buen rato.

Algunos apuntes en el chat a la hora del cierre.

Sobre el nivel relacionado con el CSSdescrambe:

[pwn0rz]sk: dude, that sucks, i copied EXACTLY the CSSdescrambe function and sha1'd it, didn't work
[18:06] [smp]j5_: Google won't help for this challenge
[18:06] [smp]j5_: Copy/paste won't help, some writing will be required
[18:06] [smp]j5_: It's a small text box for a reason, so full code is not required

Sobre el reto más raro que haya visto:

[18:10] [smp]j5_: THINK GREEN -> SSL EV certificates (browser bar goes green when you surf traffic
[smp]j5_: THINK GREEN -> SSL EV certificates (browser bar goes green when you surf traffic
[18:11] [smp]j5_: millions of people per day -> verisign ads 175 million hits a day
[18:11] [smp]j5_: search on EV certs on verisign, and you get their Intermediary certificates on their website
[18:11] [smp]j5_: search on EV certs on verisign, and you get their Intermediary certificates on their website
[18:11] [smp]j5_: if you ever implemented EV certs, you sometimes need to include the intermediary certificates in your appliance or else the browser complains
[18:11] [smp]j5_: they have primary (1) certificate and secondary (2) certificate
[18:12] [smp]j5_: (1,2,1) and (2,1,2) are a 2-stage encrypt
[18:12] [smp]j5_: (a,b,c)
[18:12] avatare: Nahhh
[18:12] [smp]j5_: a= first public key to transpose
[18:12] [smp]j5_: b= second key to transpose
[18:12] [smp]j5_: c= reverse output
[18:12] [smp]magikh0e: lol
[18:13] [smp]j5_: with 1,2,1 you start with the primary intemediary certificate and then use secondary
[18:13] [smp]j5_: you take every 3rd, but not 9th, nor 21st character
[18:13] [smp]j5_: and if it's even, use from 1
[18:13] [smp]j5_: if it's odd, use from 2
[18:13] [smp]j5_: the end result is a 103 length string
[18:13] [smp]j5_: which is conveniently prime
[18:13] [smp]j5_: with inputs of 2,1,2 you start with secondary intemediary then primary intemediary, and reverse your answer at the end
[18:14] [smp]j5_: had anyone got far enough, help would have been provided to deal with the reversing
[18:14] [smp]j5_: people got as far as SSL EV certs
[18:14] [smp]j5_: and started looking at verisign
[18:14] [smp]j5_: people got as far as SSL EV certs
[18:14] [smp]j5_: and started looking at verisign
[18:14] [smp]j5_: and suggested to those teams to consider values longer than 103 chars (ie public keys)
[18:15] [smp]j5_: i know SSL is practically uncrackable (for now) so any standard implementation of RSA was not on the table, even for my craziness
[18:16] [smp]j5_: oh, and the strings were rot13'd which many people figured out
[18:16] [smp]j5_: k, pretty much done
[18:16] [smp]j5_: i have java source to build the solution if anyone cares (for c14)
[smp]magikh0e: hehe

LOL

[18:51] [smp]magikh0e: my head is pounding
[18:51] [wod]bios: hrhr
[18:51] [smp]magikh0e: but not tired
[18:51] [smp]magikh0e: its weird
[18:51] [smp]magikh0e: over tired i guess

---

magikh0e: its gonna be so lonely after smpctf
[14:39] magikh0e: everyone will go back to life
[14:39] magikh0e: lol

...

Felicitaciones al equipo ganador del concurso que una vez mas se posiciona como uno de los mejores teams en competiciones CTF: http://nibbles.tuxfamily.org/

Y nuevamente quiero hacer la invitación a que participemos de forma coordinada en próximos retos como equipo colombiano. Todas las personas que sientan curiosidad por los temas de hacking, reversing, forense y quieran recibir y aportar conocimientos son bienvenidos.

La lista donde compartimos información sobre estos temas es:
http://groups.google.com/group/ctf-colombian-team?pli=1

Algunas soluciones del reto:
http://nonroot.blogspot.com/2010/07/smpctf-smpchallenges-writeups.html

Saludos y hasta la próxima.

Ruta de certificación en (Sun/Oracle) Solaris 10

2010-07-14T21:31:00.009-05:00

Las rutas de certificación permiten que alguien tenga de forma clara hasta donde quiere llegar con un proceso de entrenamiento, generalmente son procesos que pueden durar varios años y se requiere una experiencia determinada para ir ascendiendo de escalón en escalón.

Si tomamos el sistema operativo Solaris como ejemplo, podemos ver que existen varias certificaciones y la ruta es la siguiente.

1. SCSAS (Sun Certified Solaris Associate)

Esta certificación es la mas básica y corresponde al nivel asociado, tal como CCNA en el mundo Cisco. Esta certificación es para las personas que quieren entrar en el mundo Unix y lo quieren hacer con un sistema ejemplo como lo es Solaris 10. Actualmente estas certificaciones son para la versión 10 de este Sistema Operativo, aquí se aprende como usar de forma básica un sistema Unix, su sistema de ficheros, sus editores, algunos comandos avanzados para la shell y algunos protocolos de transferencia de archivos remota.

Mas información:
http://in.sun.com/training/catalog/courses/CX-310-105.xml

2. SCSA (Sun Certified System Administrator)

Esta certificación se compone de dos partes, cada una con su temario independiente y los examenes se presentan por separado. Esta certificación es para las personas que quieren administrar sistemas Solaris en general, no con un enfoque de networking pero si haciendo las funciones de un sysadmin tradicional, cosas como instalar y desinstalar software y parches, administrar sistemas de archivos, administrar usuarios , perfiles y de elementos de red, hacer backups, también administrar los servicios de directorio donde se deben ver servicios como DNS, NIS+ y LDAP. En la parte final se aprende como hacer instalaciones automatizadas de este sistema operativo a través de la red LAN o WAN.

Mas información:

Parte 1:
http://in.sun.com/training/catalog/courses/CX-310-200.xml

Parte 2:
http://in.sun.com/training/catalog/courses/CX-310-202.xml

3. SCNA (Sun Certified Network Administrator)

Esta certificación se encuentra en un nivel profesional y es apta para aquellos que quieran administrar redes basadas en Sistemas Operativos Solaris. De todos los examenes de certificación de Solaris este fue el que me pareció mas complicado, aunque cuente con el menor temario. En este examen se abordan temas como la configuración de las interfaces de red (no es tan simple como se pensaría, sobre todo por el asunto de soporte de drivers, licencias y etc.), implementación de servicios de red, tales como DNS, DHCP y NTP, y por último se toca la configuración del firewall que para mi agrado es IP Filter y tiene una similitud con la sintaxis de Packet Filter ampliamente usado en los sistemas BSD.

Mas información:

http://in.sun.com/training/catalog/courses/CX-310-302.xml

4. SCSECA (Sun Certified Security Administrator)

En esta certificación podemos ver el uso avanzado de las herramientas propias del sistema Solaris, esta certificación esta diseñada para todos aquellos que quieran entender cual es la marcada diferencia que existe entre Solaris y otros Sistemas Operativos existentes. Si alguien quiere aprender como administrar la seguridad en sistemas Solaris este debe ser el objetivo.

Aquí se ve en detalle como hacerle hardening a un sistema Solaris recien instalado, como usar las características que vienen por omisión en los sistemas Solaris tales como el Solaris Cryptographic Framework o BART, también como asegurar los servicios que se instalan en el sistema ya sea a traves de herramientas sencillas o con la configuración avanzada de IPSEC, otro de los temas interesantes es el montaje de infraestructuras con kerberos y como usar servicios que se validen contra el master de kerberos, esto es, servicios "kerberizados" como el SSH, FTP, NFS o el proceso de login. Y por último y no por ser un tema aburrido, toda la parte de aseguramiento del componente de zonas en Solaris, que para el que no lo recuerde es la posibilidad de tener otras instancias de Solaris "corriendo" dentro de un solo Solaris global (virtualización).

Mas información:

http://in.sun.com/training/catalog/courses/CX-310-303.xml

En total son 5 examenes con un costo promedio de US$250 c/u, así que no vale la pena perderlos. Por el momento he llegado hasta esta última certificación y creo que no seguiré adelante, pues cada vez los temas se vuelven mas específicos y se requiere mas compromiso con el sistema operativo y yo sigo amando OpenBSD :P, por ahora invito a todas las personas que quieran entrar en estos procesos de certificación a que busquen espacios donde puedan practicar y personas que los puedan orientar para presentar estos examenes, a veces los "testkings" y los cursos teóricos no son suficientes si uno quiere aprender de verdad, a veces es mas divertido contar con un hacklab que tenga los recursos (técnicos y humanos) adecuados para afianzar ese conocimiento.

Si alguien requiere apoyo en estos temas o simplemente usa Solaris como "hobby" y quiere experimentar con algún proyecto en particular, no dude en contactarme.

Esta entrada que esta relacionada con las rutas de certificación me hace pensar en una idea que suena bastante interesante en mi cabeza, que tal que existiera un lugar abierto, con personas que saben de los temas y están dispuestos a compartirlos, un lugar que fuera como tener un laboratorio en casa, donde se pudieran seguir "rutas de certificaciones", pero para "temas" un poco diferentes, cosas como por ejemplo: Networking (Linux, BSD, MACOSX, Solaris, Plan9, OS400), Hacking, Ingenieria Inversa, Analisis forense, etc, etc, etc ...

Solo pienso que seria algo bastante interesante. :P

Espero que haya sido informativa esta entrada y nos vemos por ahí.

Campus Party Colombia 2010

2010-07-14T18:40:00.006-05:00

Fig 1. La arena

Así quedo la arena, vacía, sin campuseros, sin conferencias, sin retos, sin premios, sin diversión. Terminó la 3ra versión de Campus Party Colombia.

Fig 2. Tomada de una conferencia de CP Colombia.

Por tercer año consecutivo he tenido la oportunidad de trabajar en el equipo de tecnología en el montaje de la arena de Campus Party, me refiero al área de conectividad (switches, cableado, etc), porque para montar una arena se necesita mucha mas logística y muchas mas personas.

Esta vez como grupo de apoyo y soporte en redes estuvieron los estudiantes de la escuela colombiana de ingeniería Julio Garavito a quienes debo felicitar por el trabajo realizado y por la seriedad que le pusieron al tema durante toda la semana previa de montaje y durante la semana de soporte en campus y aunque dicen que algunos de ellos vivieron esto como una cruz (ver Fig.3), se que todos aprendieron y se divirtieron haciendolo ;). Un saludo muy especial para todos ellos.

Fig 3. no comments :)

Este post lo hago como nota mental para recordarme que ya he participado de X campus, para recordar que cada campus trae cosas nuevas y si bien tiendo a pensar que siempre es la misma rutina, los "detalles" de cada evento lo marcan como algo único. Esos "detalles" también son los que le dan el toque de humor y alegría a esta experiencia.

Fig 4. Equipo de soporte tecnológico en Campus Party Colombia 2010

Un saludo para todos los colegas/amigos en las áreas de tecnología y producción que trabajan muy duro para que este evento salga bien y para todos aquellos que hacen que estar en una campus sea una experiencia (sniff, sniff) inolvidable :P

Nos veremos en la próxima Campus Party.

Wargame en CampusParty 2010

2010-07-08T20:44:00.021-05:00

Era un sábado en la tarde cuando se puso en marcha la creación de un par de nuevos retos informáticos en Campus Party, uno que fuera fácil y el otro un poco fácil. Pero que como siempre entretuviera a los concursantes y no los dejara dormir durante las últimas noches del Campus.

Uno de los retos (el fácil) consistía en una maquina Windows 2000 Server con solo algunos parches de seguridad expuesta para todo el mundo, como todos sabrán penetrar una maquina en este estado no es para nada complicado, entonces en que consistía el reto?. El reto consistía en mantener el control de la maquina (0wned) hasta que el reto finalizara. Obviamente los RET mal calculados y los D.o.S tuvieron a fixxxer y p@d@w@n mas ocupados de lo normal.

El segundo reto (el un poco fácil) consistía en ..., uhmmm, mejor pongo aquí la solución al reto y así se darán cuenta de lo que había que hacer.

Un saludo para todos los participantes del wargame (cerca de 30 personas) y gracias por participar. En próximas oportunidades tendremos mucho más.

INICIO

El reto empezó publicando las pistas en un servidor X prestado por el gordo, el porque del dominio no tiene ninguna explicación, pero quizás se divirtieron mas de lo normal tratando de explotar sus CGIs. :P

Sitio inicial con las pistas del reto

Las pistas concretas, solo dos pistas iniciales, CGI no era una pista XD

Una vez se obtuviera esta información y con las indicaciones dadas por los organizadores, la idea era empezar a resolver el archivo .pcap que se entregaba y tratar de encontrar la bandera.

Lo primero es abrir el archivo .pcap y estudiarlo

Abrir el archivo con wireshark

Seguir las conexiones

Analizar el contenido de las descargas

Una vez pasabamos las pistas falsas intentamos reconstruir la información transmitida, esto lo podemos hacer a mano, exportarlo con el wireshark o usar una herramienta que nos facilite el trabajo.

Con foremost encontramos una imagen jpg

La imagen es un código QR

Con esta herramienta podíamos sacar una imagen de la que se habló en algunas charlas de Campus Party, la imagen en cuestión es un código QR.

Para sacar la información del código QR podíamos usar una herramienta instalada en el sistema, una herramienta online o una herramienta en el celular que decodificara rápidamente el código y nos entregará el texto: Pista(#3): Capture The Flag.

La pista era bastante obvia y no ayudaba mucho, entonces como seguíamos?

El próximo paso era volver a la captura y tratar de sacar mas información, después de perder el tiempo ahí el paso siguiente era tratar de sacarle mas información a la imagen que contenía el código QR. Quizás esteganografía?

Extracción de archivos que estan dentro de la imagen

Con una herramienta para extraer datos de imágenes pudimos sacar un fichero comprimido y luego encontrar un texto plano bastante extraño (criptografía clásica?), por lo tanto el siguiente paso era encontrar una rotación para encontrar el texto real.

rotando el texto de diferentes formas hasta encontrar algo coherente

Al decodificarlo encontrábamos un texto con la siguiente pista(#4):

"En esta maquina que no es un Linux y no es un Windows tenemos 10 usuarios creados, accede con uno de ellos."

Muchos de los participantes huyeron en este punto, pues la maquina objetivo no era ni un Windows, ni un Linux, entonces que podría ser?. Para los que han trabajado con otros sistemas operativos saben que existen otros cientos de sistemas diferentes, pero que las posibilidades podrían apuntar a un sistema solaris, opensolaris, MacOSX, sistemas BSD o haiku. Menciono estos porque son los que yo conozco, pero puede ser que alguien quiera montar un plan9 o un AS400 como parte del reto.

En este punto los participantes tuvieron que tener en cuenta la pista #2, un rango de direcciones públicas que pertenecía a una de las mesas de la arena.

Lo que se suponía que debían de hacer era escanear ese rango e intentar detectar los sistemas operativos, otros en cambio buscaron la VLAN de la mesa y realizaron un ataque físico. La verdad no se como lo lograron, la maquina del reto estaba bien camuflada y no era fácilmente identificable :P

Maquina objetivo bien camuflada

Si eran juiciosos y hacían el escaneo podían encontrar lo siguiente:

@hacker#nmap -O 186.113.24x.0/24 -oN nmap.txt
@hacker#grep -i openbsd nmap.txt
Running: OpenBSD 4.X
OS details: OpenBSD 4.0 - 4.2
@hacker#

Una maquina de ese segmento tenia instalado el sistema OpenBSD. Inicialmente quisimos montar el juego con un opensolaris, pero lastimosamente no detectaba las tarjetas de red, así que cambiamos de opción y en 6.3 minutos teníamos un OpenBSD 4.7 funcionando como parte del reto ;)

Una vez identificada la maquina en la red, podíamos escanearla, buscar puertos vulnerables e intentar hacerle D.o.S (aunque descalificara), pero lo mejor era seguir las pistas:

" ... tenemos 10 usuarios creados, accede con uno de ellos."

Cuales podrían ser los usuarios validos del sistema?, guest?, invitado?, root?, usuario?, usuario10?, usuario1?

! BINGO !

Los usuarios tenían la secuencia usuario1, usuario2, usuarioX y las claves eran sus respectivos nombres, mas fácil no podía ser.

En este punto del concurso muchos de los jugadores estaban agotados y decidieron cambiar el premio del reto por una buena dormida.

-3

-4

Cuando los participantes hacían login por SSH a la maquina objetivo encontraban una nueva pista (#5):

"Solo Uno De nosotrOs sabe leer."

Al principio la pista estaba muy confusa, pero después de leerla varias veces se veía claramente la palabra SUDO. Así que este comando era otra pista (#6) mas.

Accediendo con usuario1

Accediendo con usuario 2 y 3

El paso siguiente era intentar cosas con el comando sudo, como acceder con privilegios de root, intentar crear archivos, intentar visualizar archivos, etc.

Vamos por el root!

El truco para pasar este punto es que el error de sudo algunas veces era que el usuario no estaba en el archivo /etc/sudoers (lectura solo para el root) y otras veces decía que el usuario no podía ejecutar ese comando, así que podíamos deducir cual usuario si podia ejecutar comandos y luego tendríamos que investigar que comando era el que podía ejecutar.

El usuario que estaba en el /etc/sudoers era el usuario4 y el comando que se podia usar era el cat. ¿Que harias tu con esto?

Vamos por el shadow, UPS!, OpenBSD tiene es un master.passwd

Y luego que haríamos con unos hashes en Blowfish?

Siii!!! ya tenemos la clave del root.

Alguien intento un ataque de fuerza bruta con todos los usuarios enumerados del sistema?, porque no funcionó la combinación root/usuario4 ?

La respuesta es que en la configuración del SSH se especificaba que solo el root podía entrar desde la maquina local.

@hacker#ssh -l root 186.113.242.209
root@186.113.242.209's password:
Permission denied, please try again.
root@186.113.242.209's password:
...

En el archivo /etc/ssh/sshd_config, incluimos:

AllowUsers root@127.0.0.1 usuario*

Eso significa que el root solo se puede loguear desde la maquina local (thx duma).

Cuando los participantes alcanzaron el r00t de la maquina solo bastaba aprender a usar OpenBSD ...

jajaja

Mentiras, el siguiente paso era encontrar la flag, donde estaba la flag?.

Quien soy yooooo?

I Got the flag!

Una vez descubierta la flag solo era cuestión de modificar el archivo /etc/rc.conf para hacer que el servicio subiera de forma permanente, cambiar permisos y editar la página de inicio del servidor web apache.

Bandera a modificar (httpd_flags) y ruta sin permisos a cambiar

Con esto se concluia este entretenido reto habilitado cerca de media noche y con una duración de 15 horas.

Felicitaciones al ganador del reto y todos los organizadores del mismo. Y gracias a Campus Party por permitirnos crear este tipo de actividades para que todos los que somos curiosos en estos temas, nos divirtamos.

p@d@w@n, Alberto Gil (organizador del área de seguridad y redes), rmolina (ganador), fixxxer, nonroot

FIN

Update: Una nueva foto del team ganador ;)

NeoEcoS, Rmolina, Sparkid

Update 2: Si alguien hizo algo diferente (legal o ilegal) jugando en el reto por favor comente este post.

Update 3: Interesados en jugar en los CTF futuros, se esta conformando un equipo Colombia: http://groups.google.com/group/ctf-colombian-team

Documento sobre AuthPF

2010-06-15T18:49:00.006-05:00

Alguna vez ha pensando en lo bueno que sería poder filtrar accesos en su red para determinados usuarios?, que por ejemplo no puedan ver el servidor de gestión o no puedan alcanzar el servidor de bases de datos?. Sin embargo no ha encontrado una solución a este problema puesto que sus switches NO son capa 3 y no cuenta con herramientas sofisticadas como NACs, routers, portales cautivos o similares?

OpenBSD trae incorporada una herramienta llamada AuthPF, la cual ayudandose del filtro de paquetes PF hará lo que usted quiere hacer desde hace tanto tiempo. Como lo hace?, necesita una guía para seguir adelante?, lo invito a que descargue el nuevo manual publicado en la comunidad OpenBSD Colombia en este enlace: http://www.openbsdcolombia.org/?q=node/104

Especialización: Seguridad en Redes

2010-06-13T21:22:00.000-05:00

Para todos los interesados en el mundo de la seguridad que sean >= tecnologos, les cuento que el sena esta ofertando una especialización en seguridad en redes para este próximo semestre.

Como siempre el costo es $0 (cero pesos) y se garantiza una formación de alto nivel.

Todos los interesados pueden inscribirse usando la plataforma sofia y estar pendiente de los días de convocatoria pues se harán pruebas de selección para el ingreso (no se preocupen, no son muy exigentes).

La especialización estará disponible en la ciudad de Bogotá y Medellín, para mas información usen la plataforma sofia y busquen la palabra clave, seguridad en redes.

Invito a todos los egresados de administración de redes del sena a que se animen a continuar sus estudios con sus instructores favoritos ;)

Pd: para los que no alcancen, también hay una especialización en webmaster.

Pensamientos en el IRC

2010-05-27T15:59:00.004-05:00

No podia dejar de publicar algunas frases de desesperación y/o autismo de los participantes del último Defcon CTF 2010 Quals.

Todo g33k tiene la obligación de reirse!

w33t34m|Luwenth: I want a better brain than the one I have

[w33]deorth: oh f300 how we hate you
[00:34] Giant: f300 should be banned.

[01:12] AuTolyCos: give me hint~!!!!!!!!!!!!!!!!!!!
[01:12] foreee: Me too
[01:13] [InVaR]KwKeeper: me too!!!!!!!!!!!!!!!!!!!!!!!!1
[01:13] [skat8rs]beist: give me some food

[01:38] foreee: i wanna for100 needdd im got mad:

<|[censored]|> fuck I have an exam in two hours
(lo dijo cerca del final de los prequals - 4:00AM)

<[ddtek]mars> QUALS ARE OVER
<[ddtek]vulcan> QUALS ENDS IN 30 MIN!!!!
(Lo decia cada cierto tiempo, uno de los organizadores del wargame)

http://ddtek.biz/defaced.html
(un auto deface)

DELETE * FROM scores WHERE score <= 6000

are you even human?

Me too. Got a bucket of Vasoline and a special Colombian
donkey video.

<[sk8ers]beist> headache+++

<[vand]yotta> oh god, fuck f300

20 hours of my life gone

<[UM]Jolly> evil evil f300

<[vand]yotta> also i wasted like 5 hours on pkt100 before giving up
<[vand]yotta> :(

pkt100 is hell
(de acuerdo)

<[UM]rIncredible> There's obviously no good english resource.
<[UM]rIncredible> All the top teams are non-US.
<[painsec]Hockey> Yep, there are none.
<[UM]rIncredible> So, go learn another language?

I'm fairly sure killing sheep wouldn't delight ddtek at all.

What does pkt100 want from me?!

<[rewtarded]ar1s> t500 makes us mad

plz hint~ f300
f300 requires you to meditate on the cosmos, the fundamental
underpinnings of quantam mechanics, and the orientations of
spins of burros in schrodinger's mom's box

yeah because of the asteroid headed towards earth

any can tell me the trivia 200, im not compiting im to learn about this

give up now! quals is a lie. no hope for you!
death!
destruction!
pain!
suffering!
especially for burros in columbia!
think of the burros!
think of the burros!
(no me hizo tanta gracia)

<[jnop]neutral> For the love of god. Packet 100 must be staring us in the
face
<[UM]rIncredible> It is

It's officially my birthday. 26 years down, hopefully millions to
go :D

LOL

Defcon CTF 2010 Quals

2010-05-27T00:08:00.001-05:00

El pasado fin de semana,se realizaron las pruebas clasificatorias para el CTF de DefCon, en este post quiero contarles un poco de que se trata todo esto, quizas de esta forma para la próxima de animen a jugar.

En el mundo de la seguridad es muy común que las personas jueguen wargames, también conocidos como retos informáticos donde se pone un objetivo y las personas "juegan" a alcanzarlo. Pongo entre comillas juegan porque el que lee muy a la ligera piensa que se trata de un juego como XBOX o PLAY EXTATION y la verdad nada mas distante de la realidad. Estos juegos buscan que las personas demuestren sus habilidades en técnicas relacionadas con el mundo de la seguridad, podemos mencionar cosas como networking, hacking, reversing, análisis forense, programación, creatividad, innovación, auto control y un largo etcetera que perfilan a los competidores como auténticos hackers.

Generalmente estos wargames son organizados por personas conocedoras del tema que por simple diversión crean las plataformas tecnologicas del juego y diseñan los retos, pero en este caso especifico se hace como una actividad pre-clasificatoria a un evento similar pero con mas nivel llamado Capture The Flag (Captura la Bandera), este CTF se realiza durante una de las convenciones de hackers mas grandes que hay en el mundo: DefCon. Para poder participar (como jugador) en este evento es necesario clasificar primero, solo 9 equipos clasifican y tendrán la oportunidad de enfrentarse a nuevos desafíos durante el próximo Defcon 18.

La expresión Capturar la Bandera es muy común en algunos juegos de FPS, sin embargo existe una gran diferencia, la bandera esta representada por una clave o un archivo importante que contiene la pista final para pasar el reto. Así que cuando se dice que vamos a jugar CTF en unos prequals, lo que se quiere decir es que un grupo de personas nos vamos a reunir (física o lógicamente) a trabajar con nuestros computadores durante varias horas a intentar pasar retos informáticos hasta encontrar las claves válidas que nos permitan pasar a los siguientes niveles del juego. ¿Cúal es la motivación?, El conocimiento.

Entendido esto puedo empezar la entrada ;)

El pasado fin de semana, se realizaron las pruebas clasificatorias para el CTF de DefCon, esta es la primera vez que participo en estos prequals, siempre he jugado en otro tipo de wargames y bueno, porque no sacar un fin de semana para juntarme con amigos y aprender un poco mas?.

El juego empezó desde el viernes 21 de Mayo, me dí cuenta como a las 2 PM, desde ahí y hasta el domingo 23 de Mayo 9:00PM, jugamos sin parar :P

La prueba consistía en 30 niveles organizados por categorías: Trivias, Criptografía, Binarios, Paquetes de red, Explotación y Análisis Forense. Estas categorías a su vez estaban organizadas por orden de dificultad, los retos mas "sencillos" sumaban 100 puntos y los más dificiles (quien dijo imposibles?) sumaban 500. Para mejor comprensión observar la siguiente tabla.

¿En que consistía el juego?, en sumar todos los puntos que pudiéramos en 55 horas, todas las indicaciones estaban en el sitio de ddtek (http://quals.ddtek.biz/board.html), quienes fueron los encargados de montar los retos. Adicional se tenia un canal de IRC (irc.ddtek.biz:16667) para solucionar las dudas o para hablar con el resto de los concursantes.

Al final del juego quedamos en la posición 97/265 con un total de 1300 puntos.

Espero que para el próximo CTF hayan mas colombianos jugando y a los que estén cerca del HackLab, los invitamos a que se pongan en contacto y se unan a la diversión, entre mas jugadores participen, mas experiencia acumularemos y mas aprenderemos todos. Para los interesados, tenemos una lista de correo por medio de la cual se discuten los temas relacionados con los CTF y wargames en general.

Lista de correo: http://groups.google.com.co/group/ctf-colombian-team/

Les dejo algunos enlaces interesantes.

Writeups (soluciones) DefCon CTF 2010 Quals (por el HackLab):

B100:
http://maybe-successful.blogspot.com/2010/05/defcon18-ctf-quals-binary-l33tness-100.html

C300:
http://maybe-successful.blogspot.com/2010/05/defcon18-ctf-quals-crypto-badness-300.html

T200:
http://nonroot.blogspot.com/2010/05/writeup-pt200-defcon-ctf-2010-quals.html

PKT300:
http://dumacx.blogspot.com/2010/05/el-fin-de-semana-pasado-entre-el-21-y.html

PKT100:
http://nonroot.blogspot.com/2010/05/writeup-pkt100-defcon-ctf-2010-quals.html

Writeups (soluciones) DefCon CTF 2010 Quals (resto do mundo):

Desde DefCon:
https://www.defcon.org/html/links/dc-ctf.html

VnSecurity:
http://www.vnsecurity.net/2010/05/defcon-18-quals-writeups-collection/

Pentester.es:
http://www.pentester.es/2010/05/defcon18-ctf-prequals-writeups.html

Hasta la próxima.

Writeup PKT100 DefCon CTF 2010 Quals

2010-05-26T18:11:00.011-05:00

Este es el reto 100 de paquetes de red, en esta categoría generalmente se entrega un archivo .pcap que hay que analizar. En este caso el paquete de muestra tenia paquetes ping entre dos maquinas y como ayuda teniamos la pista: sumthing is not like other...

Este reto fué de nivel 100, pero creo que hizo llorar a mas de uno. Como siempre una vez visto el resultado todo parece tan fácil ;)

Lo primero que observamos es que el archivo viene comprimido con lzma:

>$file pkt100_6b233464726cfa8fa.pcap.lzma
pkt100_6b233464726cfa8fa.pcap.lzma: data
>$

lo descomprimimos entonces:

>$lzma -d pkt100_6b233464726cfa8fa.pcap.lzma
>$file pkt100_6b233464726cfa8fa.pcap
pkt100_6b233464726cfa8fa.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
>$

Lo cargamos en el wireshark y tratamos de entender de que se trata el asunto.

La pista nos daba a entender que algo en el paquete no era como los otros y al mezclar la palabra something con la palabra sum (de summary quizas), entendiamos que se trataba de algo en suma o resumen que no era como los demas ...

En este punto y para no hacer muy larga la historia (y el sufrimiento XD) podemos decir que se intentaron cosas como:

Verificar cada checksum de los paquetes tratando de encontrar incongruencias
Verificar posibles datos que identificaramos dentro del campo data de los paquetes icmp
Uno de los paquetes era diferente en bytes al resto, tenia 129 bytes, mientras el resto tenia 256, probamos todas las posibles claves relacionadas con ese paquete, se trata del primero, asi que probamos con uno, first, first packet, 1 frame, frame 1, frame 1 packet, etc.
También probamos con los nombres de cada campo del header IP e ICMP, pero tampoco dió resultado.

Algo que nunca vimos y que por ahí estaba el truco era que cada DATA del paquete ICMP era diferente, generalmente los PINGS son homogeneos tanto en la pregunta (ICMP tipo 8), como en la respuesta (ICMP tipo 0).

Como se soluciona el ejercicio?

Podemos hacer un pequeño script usando la libreria scapy:

>$cat sacadata.py
#!/usr/bin/env python
#Extrae la data de los paquetes ICMP que encuentre en
#el archivo .pcap, sys.argv[1] == paquete.pcap de entrada
import sys
from scapy.all import *
a=rdpcap(sys.argv[1])
for data in a:
print data.load
>$

Este script extraerá todos los campos DATA de los paquetes ICMP que se encuentre en el archivo .pcap. La salida de este script la podemos redireccionar a un archivo.

>$python sacadata.py pkt100_6b233464726cfa8fa.pcap > salida
>$tail -2 salida
��ighRSYgV�SXU��Rhf�XXRWf��dfVX�OdXTWdWWgPg�TgYP��iYXPhP��XgTXS4ffhSh�VS�ghj�4RO�TR�iTPWTdfUYShji�h�fVUXXg�Xd�XP�X�VYYfXUf�fdRh�X�gTfX�S�PTgd�4�YRghg�S�TdhS�iWRggTg�h�dOPOf��Ud�dR��jTOSUj��jf�SO�Ud
UW�PVjOV�U�4�h��d�SUUUVYY�jV�YRSfRjPg�hi��S�ff�fPP�PS�fd�PgiVj��WVYgRY�Y�XRTUS�ijTRYW�jUdT4SRVfVRg�TgYV�WfgU�j��SP�OdT��W��Vf�i�RRXidUUYhWhVW�Uigj�iRPX�4��VUTgOSd�VS�SdRdgR�gSSURV�hj��PTi��S�OX��Sf�S
...

Al leer el archivo resultante nos damos cuenta que hay caracteres no imprimibles, y el comando file nos reporta lo siguiente:

>$file salida
salida: Non-ISO extended-ASCII text, with CRLF, CR, NEL line terminators
>$

Que hacemos entonces?, podemos pensar que el texto esta codificado y que seguramente existirá algo que lo decodifique. En este punto un pájaro cruza la ventana del HackLab y se posa en mi hombro y me twittea al oido lo siguiente:

yydecode, yydecode, yydecode ...

En un principio pense que eran cosas sin sentido, cosas de pajaros, pues que mas le puede decir a uno un pajaro a travez de su pico?

Pero despues me di cuenta que existe otra cosa diferente a base64 para hacer este tipo de codificación y que efectivamente yydecode y yencode son cosas que existen en este mundo.

Con esta pista clara, procedemos a decodificar el texto:

>$yydecode salida
yydecode: salida: No `=ybegin' or `begin' line found
>$

Supongo que yydecode requiere algo estandar para funcionar, así que descargo el yencode y lo uso a modo de prueba:

>$cat prueba.txt
esto es una prueba.
>$yencode prueba.txt
prueba.txt: prueba.txt.ync (1/1): file OK: (470.0%)
>$

El resultado queda en el archivo prueba.txt.ync

>$cat prueba.txt.ync
=ybegin line=128 size=20 name=prueba.txt
�J��J��X4
=yend size=20 crc32=087F0ABC
>$

De esta forma me doy cuenta como espera el yydecode que le pasemos el archivo, lo que hago es usar el archivo de salida del .pcap y agregarle las cabezeras del archivo de prueba. Al intentar decodificar el archivo, me dice que el original existe, entonces lo borro.

>$yydecode salida
yydecode: salida: prueba.txt: File exists
>$

Intento de nuevo.

>$yydecode salida
yydecode: salida: prueba.txt:1: Part longer than expected
yydecode: prueba.txt:1: Part broken (of 1 parts)
yydecode: prueba.txt: wrote 0 bytes; should have been 0
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Lo que me suponia, se requiere una longitud correcta y un CRC32 válido para el archivo para que el yydecode haga su trabajo.

=ybegin line=128 size=5000 name=prueba.txt

Edito el tamaño (variable size) a 5000 y pruebo nuevamente.

No funciona, que hago?, abro el editor nano y le doy CTRL + C para que me informe cuantos caracteres tiene el archivo:

[ line 66/67 (98%), col 128/128 (100%), char 8449/8450 (99%) ]

Pruebo cambiando el dato de los caracteres a 8450.

Ahora que el tamaño es correcto o por lo menos parece, yydecode arroja un error diferente:

>$yydecode salida
yydecode: salida: prueba.txt:1: Part CRC32 error -- got 0x6796de83, should be 0x087f0abc
yydecode: prueba.txt:1: Part broken (of 1 parts)
yydecode: prueba.txt: wrote 0 bytes; should have been
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Esto me indica que el CRC32 esta malo (obviamente) pero me hace el favor de recalcular uno correcto. Así que tomo el valor 0x6796de83 y edito el archivo.

=yend size=8450 crc32=0x6796de83

Pruebo nuevamente ...

>$yydecode salida
yydecode: salida: prueba.txt:1: warning: Wrong part size -- decoded 8384 bytes, expected 8450
yydecode: prueba.txt: wrote 8384 bytes; should have been 0
yydecode: prueba.txt: renamed to prueba.txt.broken
>$

Sigue generando errores pero me informa que gran parte del archivo fue decodificado (decoded 8384 bytes).

La salida la obtenemos en: prueba.txt.broken

>$tail prueba.txt.broken
+&?)^=>][+,+,]}.(}]?-?]--.@(%<|>*|%){^|=]}],&&|(-,*^<[/:+[{:{:/, @]@<{[{:-{:<)~,@=%-=~&>{,&(~.~&=|}&?(,&)=@&/^?<&-|{.)-(,:%[]<~<& :{.-,-[]:*>|*)/.=}>*~>%~)*]]-|//~|.^[},&]]<))%/=+..>?+&]<(%]|)-, *|&}@./*.&<<@-|%[[.%::{*{+~)&][.<{(]&::[,*&,)|>]),?}=*.^/+:?^)&[
]).%/(,>}=(>.@[~&{-+>}][=]}{-%=]/(^.+/(+(-<{:<,<+(+?>&&=,&-[-]|%
)>>)|/^-/,>+<*|>&|>@@^/?%^,*]={~~%>~&^},&)|>(<%&[=*|:%%?)~[(]@({ ~*+/&**=}:([*-{({+/=,|,:=?~&^,{^(~}))(/:(/{{@)&-}%,]@)>%))[^*=,]
~@,{|=]/+)>]=^&~%&%@[>=](}.?(=.}%~,](--.[.%~*-|)]->.]=-:??^&[<{[ ^)(]^&-*[//=+}]%{.)->%[?@(%>=^})|-^*{~|->&/*,?[[-&-=}-]:,%]&*(~[
...

Efectivamente el archivo esta decodificado y entonces?, cual es la clave?
Lo que hacemos es examinar todo el archivo y en algun lugar perdido encontramos un md5.

Para romper el md5 visitamos los sitios de siempre (google, bing, md5crack, passcracking). Recuerden siempre intentar encontrar bases de datos donde ya esten crackeados los MD5 que buscan antes de sacar sus propias tablas arcoiris, para los interesados les puedo enviar las del grupo por correo, solo pesan 150GB ;)

Finalmente usamos esta respuesta en la scoreboard del juego y ... nos damos cuenta que el juego ya se acabó y que estos 100 puntos se perdieron ;)

Como ven, era solo cuestión de entender un poco mas a fondo la estructura ICMP y pensar en que la DATA va encodeada, fácil, muy fácil XD.

Writeup PT200 DefCon CTF 2010 Quals

2010-05-26T15:28:00.006-05:00

El reto de trivia200 tenia como pista un usuario, un dominio,, un puerto y la frase: sheep go baaAaaA.

Aunque no lo crean y bajo la presión del tiempo es normal que no se sepa que hacer en esas circunstancias, sin embargo uno de los compañeros de grupo encontró que la clave para acceder por ese puerto era baaAbaaA y listo ya sabíamos por donde empezar.

Una vez entrabas al sistema por SSH, nos encontrábamos con una pantalla negra que no daba mas pistas, lo que uno hace instintivamente es presionar la letra CTRL + todos los caracteres posibles que tenga el teclado tratando de generar errores o por lo menos que se cambie el fondo a algo mas amigable.

Después de algunos intentos se descubre que esa pantalla negra es un editor similar a vi, es por esto que empezamos a probar la combinación de comandos :w, :q, etc, etc, tratando de salirnos del editor, pero no funciona.

unas horas después ...

Reintentamos en el reto y nos aseguramos de que efectiva mente era vi o vim, ya que con algunos comandos podíamos escribir aunque la letra no se visualizaba, es por eso que se me ocurre intentar cambiar el color del fondo, quizás la letra con la que se escribe y el color de fondo eran iguales.

Con el comando: :hi normal ctermfg=white ctermbg=black pude ver lo que escribía y pude ver la salida de los diferentes comandos que ejecutaba. En este punto estaba confirmado que era el editor vim, pero entonces como encontrar la clave?

Intente cosas como:

Tratar de leer archivos y directorios (:r [arc|dir]) para "mapear" la estructura de directorios donde estaba, me enteré del chroot y de los comandos limitados que tenia.
Abrir la ayuda y cargar archivos para reconocer la versión del vim y el sistema operativo objetivo (al parecer un fedora)
Intentar ejecutar comandos con el viejo truco de !comando, pero no había shell disponible en el sistema, puesto que el usuario no tenia shell y no pude encontrar ninguna otra válida (sh, tcsh, zsh, ash, etcsh).
Cargar el archivo de arranque del vim, llamado .vimrc, este archivo si abrió y pude ver todas las configuraciones que habían realizado.
Tratar de grabar un archivo en algún lugar para luego ejecutarlo, pero todo estaba en modo lectura y aunque intenté quitárselo con los parámetros "set" de vim, no funcionó.

Y así, una y otra cosa hasta que decidí empezar a probar al azar (es muy raro pensar que esto no se me ocurriera antes, pero siempre sucede así) y traté de leer el archivo llamado key.

Al parecer era la clave correcta

Siiiiiiiiiiii!!!!!!!!!, 200 puntos mas.
;)

How Strong is Your FU ?

2010-05-17T19:36:00.003-05:00

Hace algunos días la gente de Offensive Security organizó un wargame donde podían participar todos los que quisieran poner a prueba sus conocimientos en técnicas hacking.

El reto resultó bastante entretenido como era de suponerse, pues conocemos el historial de las personas que están detrás de este site, sus proyectos y la famosa distribución backtrack.

Este post es para recordar algunos momentos de estres durante el wargame, cuando uno como participante no sabe que hacer, se le acaban las ideas, se desespera y empieza a alucinar en el IRC. Durante estos periodos logré capturar algunas frases de los concursantes y estoy casi seguro que no eran los únicos que pensaban estas cosas.

Espero que después de leerlas se rían igual que yo. XD

Antes de las frases, aquí esta la documentación relacionada con la solución al reto, el cual consistía en vulnerar 3 maquinas y encontrar 3 banderas (flags), que en la vida real pueden ser tokens, claves o simplemente archivos.

Documetación de los participantes:
http://www.information-security-training.com/news/hsiyf-runner-up-documentation/

Documentación oficial (1/3):
http://www.information-security-training.com/news/offsec-hsiyf-report-part1/

En resumen los retos se explotaban con las siguientes técnicas:

1. N00b Filter: Inyección de comandos

2.KilltheN00b: Directory traversal en FTP + Upload arbitrary files

3.Gh0st: RFI + local exploit for reiserfs

La tabla de putuación final fue:
http://scoreboard.information-security-training.com/scoreboard/

(para entender el contexto imaginense estar en un juego bajo presión del tiempo, con cientos de personas compitiendo por un puesto, con la escacez de ideas y pensando en tener que comprar un regalo para la mamá o asistir a una reunión familiar)

Y ahora sí, las frases celebres ...

---

Fireking300
:
I will pwn the gh0st sooner or later
[20:03] Fireking300:
Anyone still trying? :p
[20:03]
Dade[painsec]
:
yes
[20:03] Dade[painsec]:
and desperated too

--

raph0x88
:
its written "mv social.life /dev/null" on my shirt =/

--

wimremes
:
is it just me or is it only the desperate people blabbing in here ?

WickedClown
:
@wimremes.. you right, I am desperate! :D

--

Guest84931
:
offensive should offer the course for a winner and a big loser like me...winner already know about security .. :(

--

nick8ch
:
muts you are an evil evil person, but i love ya for it! cheerz!

--

Fireking300
:
I'm tryin my best. but I guess this is for the best. To tell me my FU is weak

--

johnnycannuk
:
and if I don't makeit, Ill still learn something when its done..

--

fuxu2
:
I'm finally done with some really boring mother's day type stuff for my wife. Holy crap I was wanting to go home soooo bad.

--

logan_WHD
:
stupid holidays stopping you from hacking
[21:21] logan_WHD:
:)

--

DaKahuna
:
OneLastSin: can yo help me on phase 1 ?
[22:05]
cleguevara
:
lol

--

thew00
:
!hint
[22:10]
BT-Ninja
:
thew00: hint is your FU is weak

--

acespades
:
Seriously the systems are hella slow and we can't do what we gotta do. And you guys just say whine! Its annoying!!

BT-Ninja
:
John: slow is if it's slow it means u r making it wrong

--

Pd: hay que recordar que el juego se realizó durante el día de las madres. Porque se empeñan en hacer este tipo de wargames en año nuevo, dia de las madres, guerra de la independencia, etc?, acaso no tenemos derecho a tener una vida social?. LOL.

Me robaron mi cuenta de correo! ...

2010-05-16T21:30:00.008-05:00

Es común para mi recibir respuestas como :

Frase celebre 1
No me importa que alguien se robe mi cuenta de correo, no tengo nada importante allí.

Frase celebre 2
Realmente no me importa que alguien se robe mi cuenta de correo, no tengo nada que ocultar.

Frase celebre 3
Meh!

Decidí escribir este post para que las personas que aún piensan que el asunto del robo de una cuenta de correo no puede pasar a mayores tengan un segundo punto de vista. Resumo los riesgos en 5 aspectos que deberías considerar antes de levantar los hombros y manifestar que no te interesa el tema, si se me olvida algo, por favor usa los comentarios.

1. Tú perfil

Tu cuenta de correo, lo quieras o no, puede perfilarte en gustos, clase social, económica y religiosa, aunque no lo creas tendrás correos que te identifican con una forma de pensar y de vivir, un intruso informático extraerá toda la información que quiera sobre ti de los correos que consideres no importantes. Generalmente esta será la cuenta que usas para enviar correos privados e información personal tal como tus hojas de vida y obviamente será el lugar donde las personas interesadas en tu talento te escribirán, ¿Qué pensarías si en este mismo instante no la tuvieras disponible?, alguien adivinó tu contraseña y ahora no puedes ingresar!

2. Mensajes falsos

Tu cuenta de correo puede ser usada para engañar a tus contactos, la pueden usar para pedir favores, establecer citas, organizar reuniones, dar ordenes, coordinar proyectos o lo que se le pueda ocurrir a un intruso dependiendo del perfil de la cuenta a la que tenga acceso, no es lo mismo una cuenta personal a una cuenta corporativa. ¿Qué piensas ahora?, ¿tienes alguien en el trabajo que quisiera tener tu cuenta para enviar este tipo de correos?

3. Difamación

Tu cuenta de correo puede ser usada para difamarte o difamar a un compañero de trabajo o hasta tu mismo jefe, piensa por un minuto si desde tu cuenta se escribiera un correo grotesco a tu jefe, ¿Qué pensaría de ti?, ¿Qué sucede si eres alguien nuevo en la empresa?, ¿Qué sucede si le escriben a un profesor del colegio o universidad?, ¿te creerían?. Tu cuenta de correo robada puede ser un canal para enviar fotos, vídeos, mensajes, campañas y hasta malware a nombre tuyo, piensa en lo que esto le ocasionaría a tu reputación. ¿Te importa tu reputación?

4. Recordatorios

Tu cuenta de correo no solo tiene información acerca de los correos que van dirigidos a ti en esa cuenta, muchos sistemas y portales en Internet usan cuentas de correos como recordatorios, quizás tu cuenta de correo robada sea el lugar al que llegarán los típicos correos recordatorios de contraseñas de facebook, gmail, hotmail, yahoo, de algunos cursos en línea, del pago de los servicios, los comprobantes de pagos de salud y pensión, de nomina, los abonos de la tarjeta de credito, los recordatorios de claves privadas de otros sistemas como el DAS, la procuraduría, los bancos, etc. Haz el ejercicio de pensar cuantos portales, blogs, sistemas de IM usas y cuantos de estos apuntan sus recordatorios a tu cuenta de correo robada. Un intruso con esta cuenta en su poder, podrá recuperar cada uno de los accesos a estos servicios. ¿Cuanta información podrá recolectar?, ¿ Hará lo mismo para cada una de los servicios recuperados?. Por supuesto!.

¿Sigue sin importante?

5. Disponibilidad

La NO disponibilidad de tu cuenta de correo te acarreará problemas con otros contactos, no solo amistosos, si no de trabajos, citas, reuniones, proyectos, pagos pendientes y todo el día a día que tienes almacenado. No poder contactarte con alguien porque no recuerdas su correo es algo molesto y asumir que perderás estos contactos para siempre es mucho peor. o NO?

Una vez reflexiones acerca de las consecuencias de no prestarle atención a tu cuenta de correo pasemos a plantear algunas contramedidas que puedes aplicar.

a. Los sistemas de correos son útiles para nuestra vida diaria, sin embargo compartir información privada sin usar mecanismos de seguridad adecuados no es para nada recomendable, por esto se recomienda usar aplicaciones de llaves públicas como GPG, donde podrás crear un par de llaves (privada y pública) y de esta forma podrás cifrar y firmar cada correo electrónico que vayas enviar. En caso de alguien logre robarte la identidad en el correo no podrá recuperar los mensajes en texto claro, pues solamente estarán disponibles para la persona a la que se lo enviaste.

b. Una segunda contramedida es no enviar a través de este medio, fotos, vídeos, o material que no quisieras ver publicado en sitios de Internet sin tu autorización, la mejor forma de no perder el control sobre esta información, es no compartirla.

c. Para verificar que un correo es tuyo y no de una persona que lo esta suplantando, alguien debería comprobar tu identidad digital, una forma de hacerlo es a través de las firmas electrónicas o de los certificados digitales, si tu empresa aún no usa esto, es hora de que se lo cuentes, de esta forma cuando llegue un correo electrónico aparentemente firmado por X, todos tendrán la certeza de que se trata de X y no de alguien suplantándolo. El mito es que estos sistemas son costosos y por eso las empresas no los implementan, la verdad es que existen sistemas libres y opensource totalmente gratuitos y que la implementación se puede hacer en menos de un mes dependiendo del tamaño de la compañía.

d. Trata de usar los recordatorios de las cuentas lo menos posible, en algunos casos es preferible arriesgarse a perder la información almacenada allí, que establecer un mecanismo de recuperación fácil de adivinar, como las típicas preguntas ¿ Donde nació su Madre?, ¿Cual es mi color favorito?, estas preguntas se pueden deducir despues de visitar tu facebook o haciéndote la pregunta directamente en el MSN cuando alguien se hace pasar por una rubia de 1.80 de estatura a la que le encanta bailar "pegaito". Por favor evita responder a estas preguntas y evita los mecanismos de recuperación de contraseñas. Pero si es necesario hacerlo, garantiza que la cuenta a donde llegarán todos los recordatorios es la mas segura de todas y que la clave la estas actualizando por lo menos cada mes. Como recomendación general usa respuestas en los sistemas recordatorios bastante complejas de mas de 20 o 40 caracteres y anota esta respuesta en un papel y guardalo bajo llave en tú casa, de esta forma podrás recuperar tu acceso si algo extremo ocurre, es algo mas complicado, pero le harás la vida mas difícil a cualquier delincuente informático o amigo aficionado que quiera husmear en tus archivos.

e. Crear respaldos de los correos es una buena política. Cuando tengas respaldados los correos intenta eliminarlos de las fuentes originales, esto hará que existan menos copias de la misma información, lo que logra un mejor control de la misma. De vez en cuando puedes ponerte en el escenario donde no tienes acceso a tus cuentas de correo y esto te obligará a pensar cual es la información que consideras IMPORTANTE y así podrás determinar que es lo que debes respaldar. Recuerda que los respaldos no solo son los textos que van con los correos, recuerda que en gran parte el sistema de correo se usa para transportar ficheros (doc, odt, xls, ppt, pdf, avi, exe, etc) que pueden ser vitales para tu estudio o trabajo, trata de prestarle atención a estos y trata de mantenerlos en lugares seguros fuera del sistema de correo.

f. Una recomendación que suena bastante drástica es limpiar/purgar el sistema de correo cada cierto tiempo, personalmente borro mis cuentas de correo cada cierto tiempo, al punto de dejar 1 o 2 mensajes importantes, se que es algo que puede ocasionar un infarto para algunos, pero ya lo he hecho y he sobrevivido, mi última limpieza resultó en -14.000 correos en mi Inbox, aunque fue motivado por un ataque de paranoia me ayudó a comprender que datos eran los realmente importantes en ese mar de mensajes. Después de eso lo hago con mas cautela, selecciono la información, respaldo y luego DELETE ALL. :)

Espero que este post te haya parecido interesante, si tienes aportes sobre otros posibles problemas u otras posibles contramedidas, eres bienvenid@ para aportar en los comentarios.

Day Against DRM - DRM sucks

2010-05-03T22:42:00.007-05:00

Hoy es el día para protestar en contra del DRM incluido en los dispositivos digitales

Diez años de lucha!

El problema: el apple IPAD

Combat Training

2010-04-20T23:42:00.021-05:00

Este nombre puede sonar algo raro y para las personas que no estén familiarizadas con la terminología ninja les puede sonar algo absurdo, pero no se asusten, solamente es como los amigos de Base4Sec le denominan a uno de sus tantos entrenamientos.

En Colombia por primera vez se realizó un entrenamiento de este tipo y no es que la temática fuera desconocida o se fueran a desarrollar técnicas exclusivas, el punto es que en Colombia no estamos acostumbrados a realizar entrenamientos intensivos [ (7:00AM - 7:00PM)x5 ] con un contenido técnico alto y con una metodología orientada al desarrollo de actividades practicas.

¿Como se trajo este entrenamiento a Colombia?

La tarea la hizo dragon, lider de la comunidad dragonjar, él se encargó de hacer el contacto en Argentina y se volvió partner colombiano para el primer entrenamiento en la ciudad de Bogotá, que por motivos de alta demanda se convirtió en dos entrenamientos, este segundo cambiando su sede a la ciudad de Medellín y ahí es donde entra el HackLab, un lugar que se esta dando a conocer en la ciudad de Medellín, un espacio acondicionado lo mejor posible para desarrollar todo tipo de actividades en torno al tema de seguridad informática, con personal calificado y dispuesto a interactuar con todos los participantes, pensamos que ese era el lugar propicio para que los asistentes se pudieran concentrar en adquirir todo el conocimiento posible durante toda una semana y creo que los organizadores también lo consideraron así.

¿Que cosas se aprenden en un Combat Training (CT)?

En el PDF que contiene la descripción del entrenamiento están los detalles de los módulos que se orientan durante la semana del CT, pero en términos generales se aprenden las técnicas básicas y avanzadas que usa un intruso con conocimientos en hacking para perfilar un objetivo (conocer todo lo que pueda de este), detectar vulnerabilidades en ese objetivo (puertos abiertos, servicios mal configurados, errores humanos, malas políticas de seguridad, software no actualizado, etc), y usar herramientas de ataque reales que le van a permitir ingresar remotamente a este y obtener control del mismo. Todas estas técnicas se aprenden para diferentes ambientes, por ejemplo redes cableadas, inalámbricas, servicios por web, conexiones remotas (VPN, IPSEC, SSH), etc.

Lo interesante de todo esto es que los temas se plantean de una forma práctica donde el participante puede verificar en tiempo real sus propias (de su casa, su negocio, su empresa, etc) vulnerabilidades y con la ayuda de los instructores y de sus compañeros aprender las posibles contramedidas para remediarlas.

Para finalizar el entrenamiento los amigos de Base4Sec realizaron un Capture The Flag (CTF), lo que se considera como un reto final para todos los participantes, este reto permite que los asistentes pongan a prueba el conocimiento adquirido y la destreza en el manejo de las herramientas que se aprendieron durante el entrenamiento. Piensen en este reto como un "todos contra todos " mezclado con un "vale todo!", la única limitante fue el tiempo que no pasó de 3 horas y media.

Una vez superado ese tiempo solo se veian caras de agotamiento, de estres y de felicidad para los que hicieron mejor "el trabajo".

Para mantener el contexto ninja, los premios para los 3 ganadores fueron en su orden: Una espada ninja (katana), un estrella ninja (shuriken) y unos cuchillos ninja (Kunais), que me disculpen los expertos ;)

Para mi sorpresa todos eran de verdad, con filo y contramarcados :P

¿Qué puedo decir de este Combat Training que pasó por la ciudad de Medellín?

Me parece que es un evento que vale la pena, que para mi asombro fue un evento al que asistieron personas que llevaban mucho tiempo en el mundo de la seguridad informática, pero también personas que apenas comenzaban sus carreras como ethical hackers, pen testers o auditores. Me dió mucho gusto ver que personas que apenas manejaban conceptos básicos de seguridad se sintieran tan cómodos leyendo el material y siguiendo los ejercicios, obviamente la magia no esta en los libros, la magia la hacen los entrenadores y la metodología de entrenamiento que usan para saber llevar de forma personalizada a cada uno de los participantes del curso hasta la meta.

Me gustó también ver a la gente integrada, compartiendo de una forma abierta y socializando dentro y fuera del entrenamiento, esto definitivamente es algo necesario para asimilar todo lo que se vive en una semana.

¿Qué espero?

Que en la ciudad se abran mas espacios de estos , que en el país se generen proyectos e iniciativas de este nivel que permitan que la "escena" relacionada con el mundo de la seguridad de la información se mueva mas y no excluya a todos esos profesionales y no profesionales que tienen algo que compartir. Espero también que no sea la última vez que nuestros amigos argentinos estén en el país y que pronto nos podamos volver a encontrar en espacios similares a estos.

Gracias a todos los que hicieron posible realizar este evento en El HackLab, a Dragonjar por la logistica y hacer los contactos pertinentes, a todo el personal del HL por estar tan dispuestos y atentos para que todo saliera bien, a CHK por invertir en los detalle$$ técnicos y logísticos para organizar el espacio y obviamente a los entrenadores Don Leonardo y Don Jeronimo, por aguantar 2 semanas seguidas de entrenamiento y seguir teniendo la actitud correcta para atender a cada uno de los asistentes.

Los entrenadores!

OT: no puedo dejar de decir estas cosas:

1. Capté el momento exacto cuando 20 minutos despues de iniciado el CTF el concursante oskar tenía el 90% de las maquinas controladas, si el CTF hubiese terminado en ese momento, oskar tendría la katana colgada en su cuarto, pero un CTF se juega hasta el final :)

2. Concluyo que las mujeres hackers existen!

3. Y que los ninjas también XD

Hasta la próxima.

El HackLab

2010-04-20T12:43:00.007-05:00

Sí, claro que sigo vivo.

A veces me preguntan que porque no he vuelto a escribir nada, que pareciera que ya no leo, no investigo, no experimento nada. A veces se tiende a creer que un periodo de calma se debe a una falta de hacer, yo lo entiendo mejor como un periodo de planeación ...

Hace tiempos que sueño con que exista un lugar en la ciudad donde las personas puedan ir a compartir abiertamente lo que saben acerca de los temas de seguridad de la información, un espacio donde las personas no tengan que esconderse y sentirse incomodas porque van a ser señaladas como h4x0rs o "juackers" (a veces pareciera que es difícil cargar con la responsabilidad de estar trabajando en el mundo de la seguridad y es necesario usar este tipo de expresiones para que no pese tanto ... ).

Creo que es un sueño compartido, creo haber escuchado a muchos amigos decirlo en ocasiones, creo que hay personas que también anhelan espacios así, donde puedan mejorar su nivel técnico, donde puedan conocer personas afines que se relacionen con estos temas, espacios neutrales no sólo de marcas y de tecnología, donde la comunicación se extienda del mundo virtual al mundo real, donde se puedan conocer esos hackers cara a cara sin necesidad de esconderse tras de mascaras de delincuentes. Donde se promueva la libertad del conocimiento, la indagación y la innovación como primer paso para construir grandes cosas, donde el hacking ético haga parte del espíritu de los visitantes, un espacio con cultura desde donde se apoye la formación académica, la creación de proyectos, la investigación aplicada y el trabajo colaborativo en todos estos ámbitos.

Creo que estamos construyendo este espacio, creo que hasta ahora vamos muy bien, somos conscientes que no lo sabemos todo, entendemos que no somos los mejores en todas las áreas, pero tenemos la certeza que si estamos abiertos a conocer mas personas, a compartir lo que tenemos, algún día habrá suficiente talento reunido para hacer todo lo que soñamos!

Bienvenidos!

nota:
Post dedicado a todas las personas que estamos creyendo en este shared dream ;)

3er encuentro de seguridad informática

2009-11-03T17:02:00.011-05:00

GZEEF VEATK DRDLC NLAHE TLZKH YGLPZ TNEBD MSQQD PATGW YHCZC KNQWG MVPBZ OZTAL TVUPV RTMDX EYBDD GOZBJ DTSZC CAEVM UDMEI YLTEZ WDQSN UEYAT GWYHC ZCAAD MFUGL RSDLC PLAPD QWDQN MQQFM GAFLI ZQCGD LZBIQ WHMHM ROCTD MGUNR OZTAW MTRNH CDMST OOMPO UFZBN QFACU TQWLD QZKQQ FMTSV HAZOD PSLVS OCJDQ BZFEW MKEPA N

Hay gente que se lo gana de ojo (el wargame)

KZWNT DTRUP CZCCG MLVXZ CSDRG ZJENP DUPLR ETDTZ ZXDRO HMSDM GRGQV EPADD KSGML LTLCZ DFTQK DLLXN HVQLS HEAAW HIDPK HSZPD ZMHTQ ZDMBT GNEZD SGZSN DRCLR WGEUJ ZSZAN EJYJE OBBGZ RRECA DNCZC DKZEO XCCIF HCCDK CSPOJ RKKZC RHCLR WPSGE HRSDN EDIVR CKDBD KQSLU XGQZC DCQCG ZVYAT LRODB KAWUT NVLIJ NUVRJ LGAIV MRNMR ECADN CZLTX ZOAMT TSAZH DLOTE OQHPW LRSZR CCZTP BQYZQ DMVOO WAOTL KZBHQ NLLDC QUDRS NUTPU PSOPK FQZEI LAPEN SNRON TIYDX TCYLD ZKGVP VIOAW NCDQX IDQIA TSZTM HXECA XDCKC DROWS OMIAP ANSHD OPZ

Dragonjar people + ponentes + sniffer

EDNIN QIAEP NMDRC LZAFU GAQZA ZLAYM CLQZB NLOQN PVIEU UNSBM KCZAS ENLUD MSQSZ VROUH RPTDO AYBXE PLMDK DXEYB DCQUT MMHXE WLTOT NZMHY CCTVN MKZOZ KZDRL ACOXH MOZQC EWTDS

QDCLX MCTGU NLDPW IPZDE ZADMC DTEYM HTGWN RSRQL ZYJIG YNLDM EIZVP RCSFT MZUCZ APSSB DLDOC RPKTN KTONQ SCNEM HPCYZ ETSWR ZATVG USNRH PDPXT NFPDM SDFEB CXEPS NRQDC LTKTY SBDLD PWEOM TLTLB TDQFO NWBOP VSZLD PTLTT NEVKN LAKAD WCPQJ NRKNU EGMCT QZQDK ZEIZV PDQZB NMRGG FZXDC KHMEN TMEQR ASBDQ DZNMP VIEUL NQHDP TLVSE NHLZM DTABC TMWJG NRPWE CMBOU XTDRD QRTMC TGULD QDHIP ZDANV RDUDP TZASO PKDKZ RRECA DNCZO TDCGN AIGTK JHOZQ FEEIA LGYDR NQKEY BPDQZ ONQDZ PPZIO UQTFZ QYACO PMGZZ RHRVI CIROP MDQDM EILAI CPPBZ RXPOE KCIEH RODQQ CZVPL VVMHU DNYAI HATYZ SNRCG CISAD SDRBN OODQU UGYZO NBQTP VTMQZ TMHME OYDTN KLMSD BWAYL DIPAD MSZOO DXTRH PKZQD NPMTX CQVAI DSKVZ LTEUA NRDUG NEWHA XLBDR OCRPK TQWLD RSTXI CIBOU LRSZM EAOWH OSBDD KLWNO WSENH RDFTT IOISI PMNQL SKCLM CCQSN LAHCS TUELG TDMSD POLDP NBHQZ RDTEA QIEPS NRLHU MZAIO RPBRR DJAMT PNFLK ZRLKS XIHHG YQZLH GNEIH AUPRS DMREC ADNCZ MDVAK EDVDO DZMNU ZVADY JEXBD KUDPE WMKEP ANLZR KNQWG MCAHU NDZCW CNEPK NZKNU PPZUI NLRLR SENTK DSGZS DZNGN PTTVG USNCD OAYQO ANLRN BTTRT TDMKZ LNLTE HZASE NVRZR HUTPV IEULQ ZMOGR DWCAU UTDUZ UPPZH OPHRP TDUAM MCDGZ HRSDO ADWTL GJSQM HEAJM HTPJN MNBKE YLDUP WNBNC GLXCC DQKDK ZRGGF ZXDCK HMENT MEQRA ULOTD CGNZB PRGSC DRHPT PZHDW YZMSD NADKW ATSZR BTCNO WTNOH RCDTP AZKPS KUKZR OGRDW CAUUN QDRRO YLXET VMZBN OEYBP RKVRN ZBEIZ VTSTL ZKHYC DDXDR RHQSD CGLZA EOPLM SDRHI YIAMG USDTM QNZAP BGZHO QDQCF XPRUL NMNOG RZLTL QXTDR HGSEW NSGNT QNDUQ FMPEU ADQHS OONWA OOIHZ XRWMF VSOFL KZRDI UCQSA FUTMB ZCLNI CZCYT MMHXE WQCTG YDRZM VETVI ETLRZ MSGPL ZPMKL RTMMK VPTSO PKDON CCMZA GECSH YZQGV PVIOU HKDRS KLZMZ ORHQS XZTDP NROPV TMZBQ NOMAA UTTBG ZUQFM WAALM NSQQS AIHEU LRSDZ QTLUQ IPTDC DBGPN QDNGK DZKFW NLARH CYKZR ZNEDB PRGZO DQZPD ZDTRC SFNHM VECMH APADX DMEOY BGATT DBNMN ADUXS OHRBN RCSAM GOAVR DPTGE WXGOD SDLZM QEDLT LQZNQ FZPIK ISOTL RMHCG LZAEO PLMSD REOXW IANWZ QZLKE WXGOD SDLZR KGFMH IGUCN KZPOD QCCTV MHYZE IYLTI PADQD RGSFV EBNPB NNALE EQKOE VLNDK SUPIH IUADZ KDKST VDDGI DQZSG NPZJN RBKKC DROYM CTGZS BMHEO DYJES BHDQZ PMZAI RCYRT RRGCC MIOUZ HKZRE OYNTR GUBHZ RVIPV TNWUM HUDNL ZETNV VMBDR NODXD NGUSD RCGBP ZPNUL QODQU OYIHE ZWDQS ZUEYU PNGQZ QSDOA DTDWU PKZNQ KEYBP CKUDR PTGEW KDNIY DRNDP CFMCT TVSDM FCUYV XVGSS BMHEO LTIOG USNMB GSOMQ ETHMB NMUEC DPRRV MDMSG SNWCE UVROD QHIWM HANNT MZRQP TVXOP LRMDS CMPVI ERLQR NMCLP AMXZL KLZKK GYWTS WUZOD QUOYI GEEVM NBHFA PVTLO IHSNH PTPZC AEPNM ZKTEN WCOEP CNONT LLNDR OHCHU DTTTL PEPXT DCHUE CBPIO WQHLH GNOWT LEVMS DMKDZ BRNKJ NMDBG SLZXO RHQZB ZRTLZ JNKUS DQRAO DQVOG SAKNF FEIFM SQSNO ZQCED BPRGU SDQZF OOMRO OVUZM LWCSI HCQZZ RDMGS AIPYR VQDRN XACQP SFLKZ RGGRC IBIGU SZRXQ MPBDD QSNFZ TUAOI HYCSZ RBNPO NIHIP LLAZQ IODCH CJHQK ZRPOX MPBWY QHDQQ N

...

WWZLZ KDNQG BNGZE EXCRH QAHDL OQIYB TRPLS BQDQQ FMSEU KDKNR VIPUE OUXTD UHUIE IQAUB RHSHQ WPJTN OVCNZ COIYQ HTTHC NQBQN PTSAA KDIZV UQFMA ETLON QSGAU WCAVO ZMBKC RLUTN VLDRT MCPPZ HOPHB NMTPP PZUIN ZXRZC OIYXD RNVSZ MSQSF ARHCY KZRDU TLJPN QYHDM SCDLA SEGZZ ENQOA JTDPT PLDQN SUPUT PTLFT MSHUP MHTQL RTMSG MLZTA NKDRD FWRTL PDKUE NQLVI NIBUE ONROT GDPVE EPZZQ PTGSB CTLQZ AZBJW PDGAA OVMHS NTIKI RIPZN MSDOA DQCTG YDRZM VEDGC AFPDO TDFEY MVATX TDWWZ TTMCE RLCZF NIAJU TTQKN KNFCP LZPQW LRTRB JACTP SULBN MUKEC BPNEH RHDMJ OHBDS AZHMN KXIOI GTQKN DRNOE DMVUC WQDFT PTLVS OGZZD QZNAZ ZXEPA ZBHMS UPATL GKDAZ CCRLM HTGLW ONRKT ZZDET HPTDD NPMTX CQUND RSCBL XGERH QZCNR ACIPL IVCHE DTEYB TXZEK NBNPO NMCEN LQDMB WEYBG OFLGZ BJGRD WGGCU HYZCQ PZZAA OPRLZ TPIGM GSKKZ CBTCN OWAOX PDMKZ NIDBP PGURC DSQDZ AAOUL ROZNN EDYJE JHXSQ ZDAUI CDQLM DKLWN OWSEN HRDFT TIOIS PQYPT DSTAP VPXZE DRSZD IPVFU GEWWR DRRPA TNVLB NLNWN APDNG MQDZB MECZT CQUNB HCQPP ZDEUA NXRDI UCWFU GPMSD QPEEB XEPLL TBGQS ZBGOU WDQEH NEDLT SGNTQ HCCDC WSAPK NONQC HNWCM CFNQZ BVIGQ SAFFC HROWE DBDSC CHZIZ TAYCT SVYNO ZRVEC UXNGS DUDMV OJUTS GNTOQ DIUYB PNFVO NQPWE LFMXZ EWZWW ZNZTD CQUNB ZOGRZ TDQWL ODMRC BLMGA SBDWW WJAMT PBCKD LZRKA OWGPK KNMNO WDPMC TGUCD QRWSN PPRNH RUHOC SLZER GZDMS ZEIZV TSGZB TBGGM FKWAU JNRZR AFTVP LOLMS DMQCZ VRLWU ZCZMQ QFQTR QHONR SCRAM GOGZS NXBCS TATGW YNPTD CMFKW AUWDQ RNPAD LTLCB CHSNT IZTTS RHRNK NOIDU DENWQ NAKGM LIFUG ZONQP WEPAI OPVRD LNFEC LTANN TMZEQ RXIHE TPZKN LKSXW XNXPS ZQZWN NWCFG YDMBH CNEMS EDYZR HKSUP ADLQO ZAKDR OCBJG WZXMN SGNPZ JNVYZ CTBVO CXDRO HREZL QSZAF UGZDZ MOQRX IHEZW DQSNU STMAM GURZI DPOWT TGCHK OAKKC ZVDSG JTLOK GNWWH ODQDS HUQSO MGECS HYZQG SLLXF WZHMC DEOYW RIOPD MSNPO WWRRK AHBNZ NSZTD ORPMN PTGED MIIRV CDBNU ADATD GIDMS DPECM CCWLM SZXEU LLGAT SNRNA TEWIB ATJGZ NZPAW QOATI HDMTU TPLTS OLDMS HGNOM CXZEZ WWWNO SMAEF VONQK KSEIH CQSNL AHCNL AEETV MNKNE OYWRA GUODQ RQNLX TRQSZ HLOTE DQCQW LLDCH QECIF UGUNP TDTAP AIATH GPTDP OBCTR CKHBS ZTLLA RHCYK ZROQR PTBOV PUNPT GFFMG ANHRB GZTLL AEATL BZMOT EAIGA FHROD QQSPB TROPM ZAZPC ZVKIT AHDMC QEYBP LNLQD RCGIX XGOXP RZBHP YZKGE QXTDD MVEYL TLOLM RZIGD PAJSE OZQKZ UYPZP ANNNB NLQQF MTSQZ PTDRG DTKTN ULQGZ BMECA COJHB DMLCG TICOU VMSZM QCZUD SGJQD DRQNA MGSQU ZRBNO NPANC QYQHD MVEDK DNEVM NBHOI PVIOU XTDRZ DEYIE LKJZQ DSECC MDQWL DKLDP SLRTE THDRD XNONW BPCYS NBNOP WMIAO LMSDO GRZKG EQXTD MNGRL VXENT NLDMV OYQTL NBFZQ OCRLP PCGYK NRZDE CQVUC SKDOZ UAIFM DGSBT ZKGSA MGADH LTBGQ MDXJE USNBN MQCSI REOBB GNSKE XXDEP SNRSH GMAWH DGCZM CZNOD KGPEW TKZXC NEQRP WSZXO DPSBC TRWPC NAZLO CMPLO LMSDG CBTIR RGJHC NOGRZ AXGQC HDMCQ LZUXS OVKDX DPDZT DMKZL NDREU NPPNF VKNLH UMZGT SGNQT ONSUP ATMWL RSQZK NEMGN CJHNM ZNMPV IEEVL NTMIR FXDDG PMUDR VIRIR IPJNK NLDIL VPNQA DQLHP AXIHQ WLRHD MFOZB GOKUS DMSQF LTAIF VONQQ GPCMH EPAZQ KNSUP VDHCF DMDRV EAIHX ZEOQN LGTTU JCJHR BNRCS XWIIX PKTRH QNJLT CGWBH NMAOG QPJGZ NKNOQ RPTLA TNZLD RQLZX DRXLQ ODQUO YIHCQ SNLAH CNLAX MRSDL DMVAY LDUPJ SEPTG HPDXS VVXPT DJEEM CIFVK ZNOQR ECCIF HCCDS QCLZS EHVQL ZQGMZ BPEPS NRGHV BAMGO RLMRR DTQFM PLIBH DMCGC ZTDMD PZDRB CPLHS EOVMS ZQWNN BUANL RSHKQ DPNRO PFZKN BQNNT JAPUN DRSCM ZAEAT HDRZR EODIH IOWQN UHUAN QCARA HSTCG SLKII VBCDR MQSPT DQWLE TDOGR ZPPCG YUHZI CRLUJ CJHRO DQUOY IHCQU KZDRR ECICZ CKDDM BQNEZ PRULB NMTPD PAPFQ ABMHB QCZVJ NPPUD KHPTP ZTSCU SDXSG RXQCA TJDQQ ZPDZM AEXLM SNBQN FVJLV YZEZR VMTVX WCYFZ LDNIE MCOGZ ZKFNO UJJXE PCHRS NCHDQ WAAXT DODPS LZAON HOQWH OAGMO QWLZM TMEIP VJNYH QFZLG DPMHT GLRSH KQ

RESUMEN

DKGVP VIOGZ STUND UPVDD GZCDD KRUYB DDGCH RSZFE RMCET HQTMO WNEWS EGUBT DMVRZ XPRCW DQRNP ADYJE KUHBH ZPEYM AMWUC NCDNA DMVUT PCZCX SUTMG EPJNM NBGRD MTNVY DRHDN EGMCT QWZQZ DUEEQ EOFLO AKHEO QCCCK VMZOD TOPVI OPJDR PTGPL APCQU KZRNV RLAEE TZNMZ RSUPG PPCZZ QNMGS LATTC WZROQ KMPZX ZCZPT DOCSL KDNNH RODQU OYIHQ WLSQZ ACJLV TNULB TQHVY CMHEC YBGHM IXYCC CCCZZ DWKSE QGEUL DROZE IZXPR CUNRN STODX PRCSN RPTGQ FMGEO VRRTA KRFVE OEVDK MHXEW XPRCS NRPTG LLZTF GYDMB HCHLK TMWJG NRZQS PAIAR VQETD TAOMA PCZXP TDTEX WHQWL BNKNO BTIPL EHMBD TPNTD TLCZZ KFMFA

people ..., si señores, el del lado izq es un sniffer ...

RDTQF MCIPN TMZHP SEQIU EPMNQ FCNTH PCKUR DZSTE GMPRG HKHYZ TUYMK EPANB NMWNL TRAPJ DLZRC LEWDV CTNRZ DUTLZ ROPKD MZCQS LZTPG AHQXQ GPPBX RNVLH RLQUD IRHKU ZIZOQ NPAEA CSNGZ BGNXI HCGYB ZZQIE YBXNC FAQZR KLWWW AELMP TDGSE IBOUL RODQC NOWTN VVMBD RRDEW SONVP TDCKG ZMHSK UZMHL QDPWU EPKDQ ODTOD QERGZ DMSZT OEZDP WUSNC DXIDB PNQUD VAHGP ZZFUG ANCNR NODZT SOLMD RPWEW MWADS ZAZMF EWWBA THUHK KQSZL TLGCD MSNAN LLXEU LZSQD XILLT CKYKN PTGNZ TTGWZ SNNKQ QFMSE HPMHS HXAXM CTGKD ADQCM PRDRC YTMRZ NUOWE ATHSN CZGSL OTNVL PTDST AMIYA FLENQ LCIYL TPGUC HDMVE BCTCT LDDMK CLTJT RVHCC DKCIY NDROH BHMXS UPATF QYLZO QQFPA XOPHK LDMVE OMUOT TZZTS QDTLP CVHDM DRVAD ZTAU

How to reset an ALOM on a SUN Fire

2009-09-29T20:42:00.003-05:00

Este posts es una nota mental y una respuesta a mi mismo, les cuento un poco la historia.

Tengo un servidor SunFire v245, nada del otro mundo, pero una buena maquina para experimentar cosas relacionadas con los procesadores sparc. El asunto es que esta maquina la instalé con solaris 10 y obviamente puse una contraseña de root tan fuerte que la olvidé.

Tambien jugando un poco con la ALOM, le puse contraseña al usuario admin y tambien la olvidé.

La maquina no tiene teclado sparc, tampoco tiene tarjeta de video y tiene 2 discos de 70GB, uno de ellos con /dev/null.

La pregunta que hice en algun momento era, como hago para entrar nuevamente al sistema operativo?, como recupero la contraseña de la ALOM?.

La ALOM para que se hagan la idea, es un software instalado en un chip (entonces es un firmware) que permite administrar remotamente el servidor, pero esta administración no es lo que se imaginan. Dentro de las caracteristicas estan por ejemplo:

Poder ejecutar rutinas de chequeos de hardware (POSTS)
Habilitar conectividad por red, por una tarjeta independiente a las de 1Gpbs disponibles
Habilitar acceso por serial, telnet o ssh y tener un CLI para ejecutar los comandos
Hablitar un sistema de registros o alertas a servidores SYSLOG o habilitarle la posibilidad de enviar estos registros por correo electrónico.

Lo interesante de la ALOM es que estará disponible con solo conectar el cable de potencia, no es necesario prender el equipo y menos arrancar un sistema operativo para que funcione. Otra particularidad es que estando en el shell de un sistema operativo solaris por ejemplo y presionando los caracteres correctos (#.) podemos cambiar al modo ALOM y viceversa (esto es mentira, pero me da pereza buscar las teclas).

En fin, la ALOM tiene muchas funcionalidades, pero como mencionaba al principio, por seguridad tiene un sistema de user,password para validar el acceso y una vez esta configurado es necesario entrar al sistema operativo solaris para poder cambiar estas claves.

¿Como hacemos entonces?

Despues de leer e intentar soluciones, logré recuperarla con una mezcla de cosas:

1. Primero necesitaba arrancar el servidor desde un LiveCD.

Pero la maquina estaba configurada para arrancar por discos siempre, por lo que no me era posible. La solución entonces fue sacar los discos duros, encender la maquina (con el cable serial conectado a TTYB y usando putty-->serial), despues de hacer el POST e intentar arrancar por los discos sin éxito, la maquina se tira a un prompt "ok>", desde este prompt puedo hacer cosas básicas, como por ejemplo decirle que arranque desde el CDROM.

setenv boot cdrom o algo similar, se puede usar help para ver los comandos disponibles.

2. Al poder arrancar del CDROM/DVD lo que necesitaba era un LIVECD que cargue un sistema tipo Unix, no tenia a la mano los CDS de Solaris/Sparc, pero creo que eran la solución directa. Lo que hice fue cargar OpenBSD/Sparc y llegar hasta el menú de instalación inicial y luego insertar los discos (en caliente) y luego salirme al shell de OpenBSD.

Desde allí monté (mount blah blah blah) las particiones del solaris que estaba disponible y de esta forma pude entrar al contenido del disco, ahora que?

3. Se pueden hacer varias cosas, pero como lo que quiero hacer es reinstalar el sistema operativo solaris, entonces borré el /etc/shadow. Jaja, tambien pude haber creado un usuario con privilegios de root con una contraseña conocida, o pude haber modificado solo el campo de la contraseña para el root en el archivo /etc/shadow, etc, etc.. pero no!, Yo queria borrar el shadow. (No lo hagan en casa a menos que quieran aprender a solucionar problemas)

4. Con el /etc/shadow eliminado reinicié la maquina, con los dos discos conectados, entre en el prompt "ok>", le dije que arrancara de discos y esperé ...

En la secuencia de booteo de solaris, no encuentra el /etc/shadow e inmediatamente me tira al shell de root (un bug de seguridad?, LOL), pero el sistema se monta en solo lectura. Así que no es que pueda hacer mucho, pero si puedo ejecutar los comandos necesarios para revivir la ALOM.

bash-3.00# pwd
/usr/platform/SUNW,Sun-Fire-V245/sbin
bash-3.00# ls
eeprom fruadm prtdiag scadm trapstat
bash-3.00#./scadm userpassword admin
contraseña: nonroot
ota es: nonroot
bash-3.00#

5. Solo nos queda probar, pasandonos al modo ALOM (#.) e ingresando la clave nonroot para el usuario admin. (Ojo, siempre despues del reset, la clave será nonroot :p)

Copyright 2007 Sun Microsystems, Inc. All rights reserved.
Use is subject to license terms.
Sun(tm) Advanced Lights Out Manager 1.6.6 (unknown)
Please login: admin
Please Enter password: *******
y>
y> help
Available commands
------------------
poweron [-c] {FRU}
poweroff [-y] [-f]
removefru [-y] {FRU}
reset [-y] [-x] [-c]
break [-y] [-c]
bootmode [normal|reset_nvram|diag|skip_
diag|bootscript="string"]
console [-f]
consolehistory [-b lines|-e lines|-v] [-g lines] [-p|boot|run]
dumpconfig [-t] -s -f
showlogs [-b lines|-e lines] [-g lines] [-v] [-p logtype[r|p]]
setlocator [on|off]
showlocator
showenvironment
setfru -c
showfru [-g lines] [-s|-d] [FRU]
showplatform [-v]
setkeyswitch [-y] [normal|stby|diag|locked]
showkeyswitch
showsc [-v] [param]
shownetwork [-v]
setsc [-r [y]] [param] [value]
ssh-keygen {-l|-r} -t {rsa|dsa}
restartssh [-y]
setupsc
showdate
setdate [[mmdd]HHMM | mmddHHMM[cc]yy][.SS]
resetsc [-y]
restoreconfig [-t] [-x] [-y] -s -f
flashupdate -s -f [-v]
setdefaults [-y] [-a]
useradd
userdel [-y]
usershow [username]
userpassword
userperm [c][u][a][r]
password
showusers [-g lines]
logout
help [command]
y>

Y listo!, ahora solo queda reparar o reinstalar el solaris. ;)

Salud!

Campus party valencia 2009

2009-08-24T01:16:00.006-05:00

El evento campus party se realizó este año en la ciudad de las artes y las ciencias, un lugar muy bonito, guardando las proporciones es un parque explora + maloka, pero mas grande :p

Esta vez estuve apoyando nuevamente al equipo de tecnología de futura networks, apoyando el montaje y soporte de la red durante la semana de campus. Allí pude conversar con algunos desarrolladores de OSSIM (ahora Alien Vault), pude asistir a algunas conferencias y talleres, también conocer algunos proyectos interesantes de los campuseros españoles, etc.

Le dije a klondike y xisco (sí el del final del video es él) que lo saludaría en mi post, ya que nos estuvo apoyando durante toda la campus en algunas labores administrativas, esta persona se encargó de montar el servidor DC (nota: no hace parte de futura, ni de campus party, solo es un campusero aficionado :). Muchas gracias.

En la campus española se vive lo mismo que en una colombiana, solo que aún no hemos importado algunas cosas (esperemos que no lo hagamos). Como por ejemplo:

Un saludo para todos los del equipo de tecnología de campus party y para el resto de personas que hacen que este evento pueda ser una realidad (son muchisimas), esperemos que nos podamos seguir viendo por temporadas ;)

De la campus quedó mucho material audiovisual interesante, les dejo el link a continuación:

(vale la pena!)

http://www.youtube.com/view_play_list?p=DBE02456F86696E5

Algunos videos :

El Cosmonauta.es

Alien Vault.com

Libertad de Telefonica.org

How to PASS wargame CP 2009: BINARIES

2009-08-22T11:56:00.020-05:00

Por fin!, última entrada de las soluciones a los retos de seguridad de la CP 2009 Valencia.

// RETO 1 //

Como se puede ver en la imagen, se da un enlace a un archivo .class, el cual lo podemos entender como un archivo compilado de java, así que este programa se podrá ejecutar con la maquina virtual de java, pero no tendremos acceso a su código fuente, o sí?

Lo primero que intentamos es usar strings para darnos una idea del software:

nonroot@plasma:/tmp$ strings OhHai.class
Me,
, I KILL YOU!!!
console
()Ljava/io/Console;
So ... WTF are you? ->
java/io/Console
readLine
9(Ljava/lang/String;ÄLjava/lang/Object;)Ljava/lang/String;
equals
(Ljava/lang/Object;)Z
Hoooray!! Your pass is "
args
ÄLjava/lang/String;
hidden
whoami
clue
line
SourceFile
OhHai.java
éN-+

Esto me da varias pistas, pero nada tangible, ejecutemos el software:

Uhmm, al parecer el programa espera algo que aún no sabemos. En este punto pensamos que estamos en los ejercicios de binarios, cracking o ingeniería inversa, como les quieras llamar. Entonces en la mayoría de los casos tendremos que decompilar, desensamblar y debugguear todo lo que se aparezca.

El procedimiento entonces es usar un desensamblador de archivos .class para tratar de conseguir los .java (código fuente). Después de reblujar todo Internet, concluimos que el mejor es este programa multiplataforma.

Como pueden ver, al abrir el archivo .class, obtenemos el archivo en código fuente tan limpio como si lo acabaran de programar ;)

Que hacemos entonces?, tenemos dos opciones:

1. Le hacemos un seguimiento al programa e intentamos entender lo que hace para así deducir que debemos ingresar en los parámetros de ejecución.

2. Buscamos las líneas donde se compare lo que ingresamos y lo que el programa calcula e imprimimos el resultado, para esto hay que volver a compilar el .java modificado ;).

Las últimas líneas del código me muestran un condicional de algo, que hacemos entonces?, pues quitamos el condicional y ensamblamos nuevamente.

sin el condicional el programa queda así:

De esta forma el programa imprimirá SI o SI, la respuesta ;)
Aquí vemos el resultado:

Conclusiones:

1. Cualquier cosa que se pueda compilar, se puede decompilar, cualquier ensamblador, tiene su desensamblador, ten esto presente.

2. Si eres programador de java y estas pensando que entonces tus .class son vulnerables, la verdad es que TAMBIÉN son vulnerables, la recomendación es que cuando programes validaciones (de lo que sea) no las metas dentro de los mismos ficheros compilados, porque alguien sabrá como sacarlas de allí. Existen suficientes recursos en Internet donde te enseñan un poco de seguridad en la programación en CUALQUIER LENGUAJE.

3. Este es un reto básico de ingeniería inversa, como siempre, si tenemos la herramienta adecuada y conocemos la ruta, no hay nada que hacer.

//FIN RETO 1//

Esto se puso bueno ...

// RETO 2 //

Al ingresar al servidor SSH (un linux), encontrábamos un fichero binario.
Este fichero binario al ejecutarlo me pedía un nombre y luego me decía:

root@plasma:/tmp# date
Fri Jul 31 22:45:05 COT 2009
root@plasma:/tmp# ./reto2
Por favor, dime tu nombre: nando
Lo siento nando No te dare el token hasta el 10-08-2009
root@plasma:/tmp#

Esto nos dice varias cosas:

1. Es un programa que tiene que ver con el tiempo (funciones de tiempo), también la imagen de la presentación del reto apoya esto.

2. El password seria mostrado si pasaba esa fecha.

Que podemos hacer entonces?, lo que primero se nos ocurre es intentar cambiar la fecha del sistema, pero obtenemos un mensaje:

Técnica no valida!!

Y si le cambiamos el nombre al programa:

Técnica no valida!!

Y si lo copiamos por ssh a otra maquina e intentamos ejecutarlo?

Técnica no valida!!

Y si intentamos abrirlo con gdb, el debugguer de linux?

Técnica no valida!!

Y si intentamos debuguearlo con la técnica ptrace?

Técnica no valida!!

Y si intentamos causarle un overflow en la entrada del nombre?
Y si le pasamos el comando string?
Y si nos retiramos del juego? :P

Después de probar unas cuantas técnicas, nos damos cuenta que el binario esta muy protegido y que lo mejor es NO moverlo del sistema, entonces como hacer para explotarlo?

Hacemos memoria y recordamos una vieja, pero efectiva técnica donde podemos hacer un mapeo en memoria de ciertas funciones y luego obligamos al programa objetivo a que use estas funciones en reemplazo de las originales de librerias .h.

Esta técnica se conoce como la de LD_PRELOAD, puedes ver un ejemplo aqui. Los ejemplos mas comunes en Internet son ataques a la función time(), que para nuestra suerte es la que esta usando este programa (o al menos eso creemos).

Entonces hay dos formas de atacar el programa:

1. la dificil, es hacer todo el procedimiento que equivale a programar una función time() ficticia, luego crear una libreria dinamica .so, luego exportar la variable LD_PRELOAD y luego ejecutar el programa.

2. Usar una herramienta que haga eso por nosotros :)

Seleccionamos la opción 2 (por pereza) y descargamos esta libreria la cual promete hacer todo lo que necesitamos. El modo de uso se encuentra en el sitio web, entonces solo tenemos que hacer un "make" y listo, a usarla.

¿Bonito no?, lo que hicimos fue hacer un FAKE de la rutina del tiempo para hacerle creer que estabamos 15 días mas adelante, pueden ver tambien que la fecha real del sistema no se altera, solamente se suplanta en tiempo de ejecución del programa objetivo ;)

Un aplauzo para libfaketime! (PLAP, PLAP, PLAP!)

Conclusiones:

1. Este nivel es un clásico del hacking ;). gracias.

2. Interesante conocer todas las protecciones que usaron para los binarios, para evitar desensamblados, debugging y otro monton de cosas que a uno se le pudieran ocurrir.

3. Al estar tan limitados en los aspectos de reversing con el ejecutable objetivo, no quedaba otro remedio que buscar la técnica que ellos estaban esperando.

4. Un muy buen reto, pero si quieres entender el ataque de LD_PRELOAD es mejor que te crees las librerías a mano y ensayes no solo con la time(), si no con la chown(), chmod() y cualquier otra que se te atraviese, explota, explota, explota!!!!.

// FIN RETO 2 //

I need medic, Requesting backup, I'm going for the bug ...

// RETO 3 //

Cuando entramos al servidor ssh (linux) para este nivel, encontramos un escenario similar al anterior, un binario, estamos dentro de un chroot de ssh, el binario tiene mil protecciones y bueno ...

¿Que hacemos entonces?

Después de intentar algunas cosas, buscar posibles ataques por format string, vemos que no es por ahí el asunto. Entonces debe ser un ataque clasico de overflow o no?

Para poder llevar a cabo un ataque de *overflow clásico, el sistema no debe tener randomizado el stack (sysctl kernel.randomize_va_space=0) y se deben haber deshabilitado las protecciones en el momento de compilación de la aplicación (gcc -fno-stack-protector). Vamos a suponer así es.

Podemos ver en los permisos que el binario tiene el bit suid:

nonroot@plasma:/tmp$ ls -la echo
-rwsr-xr-x 1 root root 9472 2000-08-22 09:44 echo

Entonces buscaremos atacar el software con un stack overflow, intentemos el viejo truco del perl.

Podemos ver que el programa se revienta después de 504 caracteres, eso nos da una pista para poderlo explotar. Se supone que unos cuantos bytes mas adelante podemos sobreescribir el EIP y apuntarlo a donde queramos.

Pongamos un shellcode en memoria e intentemos pegarle:

Con ese programa put.c (si el de aleph), podemos ubicar un shellcode en memoria, a esto se le conoce como huevo.

Con este otro programa find.c, podemos encontrar la dirección de memoria donde se encuentra el huevo, aqui vemos que nos retorna 0xbffff866.

Intentemos pegarle al shellcode:

!! EFECTIVO !!

Lo que hacemos es meterle 504 bytes al buffer y los 4 restantes que sobreescriben EIP son los bytes de la dirección en memoria de nuestro huevo. Para el ataque hay que tener en cuenta que se deben poner los bytes en orden inverso para que nuestro procesador los entienda correctamente.

Despues de explotar este binario lo que podiamos hacer era leer un fichero que tenia como propietario otro usuario (sin permisos de lectura para el jugador del reto = campus02) y listo, con eso pasabamos el nivel.

Conclusiones:

1. Un ejercicio de stackoverflow sencillo.

2. Creo que son las mismas protecciones usadas en el binario anterior, buena por esa!.

3. Los BOFs nunca pasaran de moda, siguen allí, ¿sigues programandolos? (alguien seguirá explotandolos)

//FIN RETO 3 //

Queda uno ...

// RETO 4 //