Archive for the 'Seguridad' Category

Web 2.0: Como mola! o no….

abril 23, 2008

LLevo un par de semanas jugando con tuenti (si la famosa red social española que esta pegando el boom con más de 2000 millones de páginas vistas al mes y más de no se ¿400.000 usuarios registrados?). En las noticias de media internet hablan de su éxito,  sus creadores hablan de la dificultad de encontrar “buenos programadores”.

Web 2.0

El otro día aburrido por la mañana me digo, venga vamos a hacerle solo un pequeño test a ver que saco. En dos segundo tenia más de un XSS en varios párametros. Bueno es una “beta privada” me dije (estaran usando el sistema de google? si ese de dejar en beta un producto no se ¿4 años? para justificar los posibles errores?) no se.. 
Bueno que más tarde me puse un poco más a fondo y dios mío… no quisiera ser el Lead Manager del producto.. XSS, CSRF, LFI (LFI, LFI joder!!)  como ya hice en otros varios casos y posteriormente fueron defaceados (recuerdan el deface a jazztel? les avise una semana antes de que tenian la puta SAM! al descubierto) me puse a escribirles amablemente un mail explicandole los errores y ofreciendome a ayudar, más de una semana despues sigo sin respuesta alguna y aun estan sin corregir.

Que si, que si, mucho AJAX, mucho CSS wapete, mucho pijerio pero a la hora de tirar código seguro….

Alcolea-Party 08

febrero 20, 2008

Este año como el anterior se celebra la Alcolea-Party 2008. En poco menos de tres semanas (7 de marzo al 10) dara comienzo el evento. Como el año pasado yo estare por allí y de nuevo organizare el II reto de hacking basado en una aplicación web y dare una conferencia para quien quiera oirla sobre esto de asegurar una aplicación web. Sin duda un buen evento 100% recomendable.

MPack

junio 22, 2007

Quien en estos días no ha oído hablar de esta herramienta que parece que procede del underground Ruso. Con Mpack se ha realizado en los últimos días un gran ataque vía web resultando comprometidos más de 10,000 sitios web. Italia esta en la cabeza de los países más afectados seguidos por España.

Se cree que los piratas lograron hacerse con el control de un servidor en el cual como he comentado se hospedaban más de 10,000 páginas y en ellos introducir el código malicioso. Este paquete es una joyita, te lo compras por un precio que ronda los 1,000 dolares y tienes soporte técnico por un año, se instala atraves de iFrames (como si de una vulnerabilidad en un Cpanel se tratara).

Utiliza una serie de Payloads, cuando un usuario legitimo visita una página este bicho lo redirecciona a otra en la cual esta el código malicioso, vamos que como cuando entra en tu casa una banda rusa, ni te enteras.

Aprovecha vulnerabilidades como la de Quicktime (reproductor de vídeo) la famosa .ANI (el puntero perdido) ataques de BoF en el conocido compresor WinZip y un rele de exploits que acojona.

XSS gran amigo

junio 18, 2007

Últimamente estoy fascinado con este tipo de ataques, no paro de leer textos en idiomas anglosajones, bastante blogs que hablan sobre el tema, y es que este ataque ¡me fascina!.
Me llamaran exagerado pero yo diría que a cualquier web que se ponga por delante se le puede sacar varios Cross-Site-Scripting (sobre todo en aquellas aplicaciones web 2.0 que super molonas).

Y lo mejor .. como no , esos “programadores web”
– Yo ?
– Como voy a ser sensible a este tipo de ataques…
-Yo tengo desactivada cada entrada de JavaScript chabal, que te crees.

Ja,Ja,Ja….. Y en código ASCII :

%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2F%73%63%72%69%70%74%3E

Y si te la cuelo por aquí…

<IMG STYLE=”xss:expr/*XSS*/ession(alert(‘XSS’))”>

Todos los trucos y demás en aquí.

Hakin9 – Ataques SQL INJECTION

junio 18, 2007

Mi 3er articulo para la revista de seguridad informática Hakin9 (que la puedes encontrar en tu quiosco más próximo o encargarla vía web). Esta en la edición de Junio y así comienza…

INYECCIONES SQL

Por Jaime Gutiérrez Lucero

LO QUE VAS A APRENDER

Que son las inyecciones sql
– Ser capaces de detectar su presencia

LO QUE DEBERIAS SABER

– Conocimientos basicos sobre programación web

Introducción

A la hora del desarrollo de una aplicación web, uno de los fallos más comunes que se pueden dar están relacionados con la programación de las bases de datos y su filtrado incorrecto de datos.

Comienza el texto

Las inyecciones sql , me atreveria decir que es el error más comun a la hora de programar una base de datos y su conexión junto con otros fallos (RFI, XSS,CSRF…).
En esta pequeña lectura voy a tratar dos puntos, teoria y vamos a analizar un código con el cual vamos a poderexplotar un web vulnerable (EXPLOIT) y además aprenderemos a movernos en esto de la SQL INJECTION…..

Qué es una inyección SQL

Que hay que decir sobre esta auténtica pesadilla que tanto desvela a los webmasters y creadores de aplicaciones web. Púes bien la inyección SQL es una vulnerabilidad en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

Comprala o espera al próximo mes y lo publicare aquí.

De exámenes…

Ataques DDOS

mayo 14, 2007

Hace algunos meses publique este articulo en la edición de hakin9, (en febrero para ser más exactos). Para los que les guste este tema trata sobre los ataques de denegación de servicio (DoS) pero distribuidos (DDoS) una técnica que esta a la orden del día. Lo escribi con un amigo (el hizo la parte de programación , la página 5). Bueno aquí os lo dejo – (aclarar que lo del Sobre el autor no fue escrito por mi, no se java ni me gusta mucho) -.

Ataques Dos

¿Dónde quedó la seguridad?

mayo 13, 2007

A la gente, no le gusta, no le importa, no le llena…. La gente no entiende o no quiere entender que la seguridad es sin duda la parte más importante de navegar por internet y de la informática en general. Pero no es solo el usuario de a pie, no no, también desarrolladores de aplicaciones (tanto orientada a objetos como aplicaciones web). Uff, esto que tiene desbordamiento de memoria mmm dios que pereza corregir el código… bueno mejor lo dejo ahí nadie lo descubrirá (dos semanas después ya es vulnerable a ejecución de código arbitrario remoto…).

Tampoco se quedan corto los “programadores” web que les importa más ahorrar dos lineas de código para que cuando presenten la aplicación supermolona quede más comprimida, que corregir un BLIND SQL INJECTION como un camión de grande.

Sin caminar mucho el otro día un colega por msn:
XXXXX dice :
mira mis fotos de la fiesta que tías más buenas! http://www.xxxx.com/fiesta.exe

Le comente, oye tío que tienes un pequeño bichillo vete al registro , borra esta entrada y ten cuidadin con lo que abres capullo.

– Y para que voy borrarlo, que más me da.. – me comenta.

¿Por qué? ¿Por qué? ¿enserio me dices por qué?
– Porque puede que ya te hayan pillado todas las contraseñas de banca online / hotmail / páginas de comercio / subastas.
– Porque mañana puede venir la unidad de delitos telematicos de la guardia civil a tu casa acusándote de lanzar un DoS contra un servidor de Ebay en Malasia.
– Porque tu localhost puede estar sirviendo como centro de operaciones para un ataque de phishing.
– Porque estas infectando a medio msn al cual le pueden limpiar la cuenta de la caixa.

-¡¿Enserio, que hago y como lo borre dime rápido?!

Hasta que no concienciemos / eduquemos al usuario de que esto esta presente y que es un 99,9 % seguro que le toque a el, va a seguir pasando lo que hasta ahora. Que en poco (si no lo han hecho ya) tiempo las mafias se darán cuenta que esto es más fácil y rentable que negocios como la prostitución , trafico de menores / armas / drogas..

Sin llegar más lejos podemos leer hoy en el blog de chema casos parecidos, la ingenuidad de la gente es infinita.

Parte I
, Parte II , Parte III.

Saludos !

Como…

mayo 9, 2007

Muchas, muchas son las veces que me he preguntado como una empresa de seguridad informática ofrece soluciones anti-phishing. No es algo que se pueda prevenir como un ataque de tipo Inyección de código SQL, XSS, CSRF, que si se puede auditar a través del código fuente de la aplicación. Pero ¿Cómo y/o que soluciones implementas en una banca online o algún otro tipo de sitio de comercio (véase ebay, amazon…), para proveerles de una protección anti-phishing total.

Lo primero que quizás se me pueda ocurrir es el registro de todos los dominios (genéricos) del sitio , ejemplos el banco banesto.com me contrata para este tipo de servicios a lo que respondería registrando dominios tipo:

vanesto.com / es / net / info…
vaanesto.com
vanestoo.com
banestoo.com

Y así se me ocurrirían un par de decenas de ellos, directamente poniéndole un error 404 como una estatua de grande. Hasta aquí ya hemos reducido notablemente las posibilidades de algun spoofing de una página web. Es más fácil que un usuario se de cuenta de que intenta ser objetivo de este tipo de ataque si le llega un correo a su bandeja de entrada y la dirección que figura para que inserte sus credenciales es vancodeespañabanesto.com tendría que ser una persona muy ingenua para caer en ello (que no dudo que no allá).

Y la verdad pocas cosas más se me ocurren, quizás crear cuentas de correos como posibles honeypot para recibir correos de este tipo (pero a saber que llega, desde aumente su pene con nuestro aparatito milagroso, o venta de botes de pastillas azules para aumentar la rigidez del mismo).

Claro que tambien con unos buenos juguetitos se podría engañar fácilmente al navegador que esta en http://localhost.com/proyectos/phising/index.html y en realidad imprime en pantalla http://www.banesto.com, pero ¿cómo podemos evitar esto?.

Esta es una larga carrera entre jovenes script kiddies, algunos verdaderos crackers (ya que parecen que trabajan en un departamento de I+D para desarrollar algunos tácticas como lo hacen) y las firmas de seguridad. La puesta en marcha de campañas masivas de información sobre todo esto ( el mayor enemigo es aquello que se desconoce) y sobre todo educar al usuario novel. Concienciar que ninguna entidad bancaria va a requerir tus credenciales vía email porque su servidor en Asia se allá estropeado.

Conociendo los protocolos

mayo 6, 2007

Bueno como es domingo y tengo pocas ganas de escribir, mejor os rulo un pdf que es la mar de comodo. Este es el el 3er articulo que publico con la revista de seguridad informática Hakin9 (sí de la linea MS CODER,PHP Solutions…). En este trato un tema basico para aquellos que les valla esto de la administración de servidores o técnicos en general. Es algo muy muy básico sobre los protocolos (TCP/IP, ARP, UPD..). En definitiva espero que os guste, en la edición de Junio o Julio no lo se aún veremos el de Injection SQL.

Conociendo los protocolos