Hoy me comentaba un compañero una noticia, cuanto menos curiosa.
El desarrollo de un partido de baloncesto de la segunda división alemana había sido afectado por una actualización de Windows.
Es el último encuentro de la temporada. La permanencia en juego. Y, antes de empezar el partido, el ordenador que controla el marcador se queda tonto. Hay que riniciarlo y, cuando lo hacen, les sale un mensaje que indica que las actualizaciones de Windows están siendo instaladas.
Posiblemente la conexión a Internet era lenta. El caso es que el proceso llevó unos 20 minutos y el partido empezó con 25 de retraso. Al final, el equipo de casa gana y se salva... hasta que los visitantes presentan alegaciones. El reglamento dice que los partidos no pueden retrasarse más de 15 minutos y se sanciona a los locales con una penalización de 1 punto.
Ese punto hace descender al equipo. Los detalles pueden encontrarse en numerosas páginas de Internet. Una de ellas puede ser:
http://arstechnica.com/business/2015/03/german-pro-basketball-team-relegated-to-lower-division-due-to-windows-update/
Aparte de lo conveniente que habría sido tener un ordenador de recambio, por eso de "mejor un por si acaso que un yo creía", lo primero que se me ocurre es "¿Por qué es necesario que un ordenador que controla un videomarcador tenga conexión a Internet?". Eso ampía mucho su exposición a riesgos. Se me viene a la cabeza cuando cierto hospital tuvo parados sus equipos de Rayos-X por culpa de un virus (http://en.wikipedia.org/wiki/Sasser_%28computer_worm%29). Y, si realmente hacía falta, "¿Por qué no se fuerzan todas las actualizaciones a primera hora, antes de un evento como éste?".
Eso, mirando el tema desde el punto de vista de un buen tipo. Porque para los malos también hay en qué pensar. Si el equipo tenía conexión a Internet... ¿la tiene también el videomarcador? Seguro que hay a quien se le ocurran cosas interesantes que hacer con él.
martes, 31 de marzo de 2015
miércoles, 25 de marzo de 2015
Recursos de la charla de la UMA Hackers Week de 2015
Ayer, 24 de marzo, di una charla en la UMA Hackers Week. Como comentaba el otro día, sobre Cross Site Scripting, Clickjacking, Cross Site Request Forgery y temas afines.
Si fue buena o mala... que lo digan quienes la disfrutaron o sufrieron. Supongo que de todo habrá. Pero para ella utilicé una serie de recursos que quizá pudieran ser de utilidad a quienes quieren tener con qué jugar y quisiera irlos colgando por aquí.
Para empezar, ya subí las slides a Slideshare. Quien haya asistido a alguna charla mía o me haya tenido como profe sabrá que las presentaciones me gustan poco. Que apenas las uso para las introducciones y algunos puntos que quiero resaltar. De modo que tampoco puede esperarse mucho de ellas. En todo caso... ahí va:
Si fue buena o mala... que lo digan quienes la disfrutaron o sufrieron. Supongo que de todo habrá. Pero para ella utilicé una serie de recursos que quizá pudieran ser de utilidad a quienes quieren tener con qué jugar y quisiera irlos colgando por aquí.
Para empezar, ya subí las slides a Slideshare. Quien haya asistido a alguna charla mía o me haya tenido como profe sabrá que las presentaciones me gustan poco. Que apenas las uso para las introducciones y algunos puntos que quiero resaltar. De modo que tampoco puede esperarse mucho de ellas. En todo caso... ahí va:
(In)seguridad en componentes cliente de aplicaciones web - UMA Hackers Week 2015
Claro que esta presentación tan cortita no vale gran cosa si no va acompañada de las demos. En algún caso, las diapositivas dicen casi lo contrario de lo que yo quería expresar, como cuando habla de la "protección" que el uso de scripts puede ofrecer contra las técnicas de Clickjacking. En la diapositiva aparece, pero una demo posterior dejará claro que no es una solución demasiado fiable...
Claro que esta presentación tan cortita no vale gran cosa si no va acompañada de las demos. En algún caso, las diapositivas dicen casi lo contrario de lo que yo quería expresar, como cuando habla de la "protección" que el uso de scripts puede ofrecer contra las técnicas de Clickjacking. En la diapositiva aparece, pero una demo posterior dejará claro que no es una solución demasiado fiable...
Ahí van la aplicación vulnerable y las demos:
Hay un botón que pone "Download ZIP" que permite bajárselo todo de una vez. Dentro hay un fichero PDF con instrucciones. Así que, quien tenga ganas... ¡a jugar y a mirar código!
Acabo de subirlo y no he podido comprobar que todo está correcto. Si veo algo raro, lo indicaré por aquí.
Y, ojo, que de la aplicación sólo se puede aprender cosas malas. Tiene todos los defectos y vulnerabilidades que pude ponerle. Incluso los ataques tienen sus propios fallos de seguridad... Resumiendo: que nadie la instale en un entorno de producción. Ni tampoco en cualquier otro sistema que no quiera ver comprometido. Lo suyo es una máquina virtual o un PC que vaya a ser formateado después de las pruebas.
Saludos
Saludos
jueves, 19 de marzo de 2015
El correo fraudulento no para. Y a veces mejora.
Últimamente me han mostrado unos cuantos mensajes fraudulentos que traen un regalito en un fichero adjunto.
Todos los que he visto declaran como remitente a una cuenta de yahoo.es. Pero la cuenta varía de mensaje a mensaje. El asunto es del tipo "Documentacion" o "Re:documentacion urgente" y el cuerpo contiene el siguiente texto:
"
Gracias
Pero necesito todos los docuementos
ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es
confidencial y se dirige exclusivamente al destinatario previsto. Si usted ha
recibido el mensaje por error, por favor, notifiquelo al remitente y borrelo sin
copiarlo grabarlo ni distribuirlo.
"
El camino que este tipo de mensajes dice haber recorrido suele ser curioso y siempre es bueno mirarlo:
Received: from [182.48.86.114] (helo=ip-182-48-86-114.colology.com)
by XXXXXXXXXXXXXXXXXXXXXXXXXXX
(envelope-from <unprofitablezx2@terra.es>)
id xxxxxxxxxxxxx
for destinatario@example.com; Wed, 18 Mar 2015 09:47:33 +0100
Received: from [183.78.30.37] (account newfoundlandsy796@terra.es HELO xryizwv.cgwnh.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 593108774 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Received: from [149.19.90.90] (account newfoundlandsy796@terra.es HELO zeggfdw.frhuevgsjzsdlfg.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 633915718 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Como cada servidor de correo por el que pasa el mensaje puede poner sus propias cabeceras (e incluso podría cambiar las que recibe), las cabeceras "Received" van perdiendo fiabilidad y credibilidad a medida que van apareciendo. Yendo al primer salto fiable, el correspondiente a cuando el mensaje entró en el dominio del receptor del correo, el mensaje procede de la IP 182.48.86.114, identificada como ip-182-48-86-114.colology.com. Esta IP pertenece a la AS58715, de EARTH TELECOMMUNICATION, compañía ubicada en Bangla Desh. El dominio colology.com tiene IPs correspondientes también a EARTH TELECOMMUNICATION.
Hasta ahí parece que el mensaje llegó desde dos direcciones. La primera de ellas, 183.78.30.37, ubicada en Malasia y la segunda, 149.19.90.90, norteameriacana.
En ambos casos, el saludo entre servidores hace referencia a nombres de equipo pertenecientes a dominios de Ucrania (.ua), xryizwv.cgwnh.ua y zeggfdw.frhuevgsjzsdlfg.ua. A estos se puede añadir el nombre de dominio owdxggvmp.ua, también sin registrar, que aparece en el Message-Id:
Message-ID: <ECEa1BDFfcCD7b.4Ee3A0b5.CE775972A0@trslbwzjclcnw.owdxggvmp.ua>
En todos estos casos, por las consultas que he podido hacer, los dominios no existen. Ni tampoco responden a ping ni a los intentos de acceso SMTP realizados las IPs de los servidores mientras escribo esto. Y ambas están en alguna lista negra de SPAM.
En las cabeceras aparecen dos cuentas de terra.es:
- newfoundlandsy796@terra.es, en cabeceras "Received"
- unprofitablezx2@terra.es, en el "Return-path":
Return-path: <unprofitablezx2@terra.es>
El uso de nombres de dominios .es a la hora de enviar SPAM a personas cuyo idioma es el español apunta a un SPAM bien planeado y dirigido.
Y también lo hace el texto, con su buena redacción. Sobre todo cuando lo habitual es encontrarse con la típica traducción automática.
Lo que rompe toda esta corrección es la falta de tildes en el asunto y el cuerpo del mensaje. Eso y una falta, ya sea de ortografía o de mecanografía: "docuementos" por "documentos". Lo de las tildes apunta a alguien cuyo idioma que carece de ellas. Quizá a un teclado en el que son imposibles o difíciles de poner o quizá al miedo a que los servidores tengan problemas con caracteres extraños.
Y, por ir acabando, un adjunto con el nombre "documentacion_2015.03_doc.zip". Un archivo comprimido cuyo contenido es otro fichero llamado "documentacion_2015.03_doc.doc.exe". Los viejos trucos de la doble extensión y el nombre de fichero muy largo que a veces consiguen que el usuario no sepa sobre qué clase de cosa hace doble clic. Ni que decir tiene que de hacerlo estará metiendo algo no recomendable en su equipo...
Si por algo destaca esta campaña de distribución de malware es por lo bien diseñada que está, no desde el punto de vista meramente técnico sino desde el de la Ingeniería Social. Lo cuidado del mensaje (salvo por las tildes y un errorzuelo que a cualquiera se le cuela de vez en cuando) que hasta lleva la típica coletilla de "ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es confidencial y se dirige exclusivamente...". Y cómo encaja con una comunicación administrativa típica en la que siempre te piden más documentos y en la que, casi siempre con enfado, te preguntas ¿y éste qué quiere ahora? mientras tratas de averiguarlo.
La moraleja es que si los malos mejoran en algún campo, los buenos también tenemos que hacerlo. Si ellos usan técnicas de ingeniería social más efectivas, nosotros debemos contrarrestarlas también en el campo humano y social. No limitarnos a poner en funcionamiento unas salvaguardas técnicas que no siempre contrarrestan las nuevas amenazas. Ir al cuerpo a cuerpo con los usuarios finales y trabajar en su formación y concienciación.
Y aprender mucha Ingeniería Social. Porque ésta enseña a convencer y motivar. Porque convencer y motivar a usuarios y directivos ayuda en nuestro trabajo. Ayuda mucho.
Todos los que he visto declaran como remitente a una cuenta de yahoo.es. Pero la cuenta varía de mensaje a mensaje. El asunto es del tipo "Documentacion" o "Re:documentacion urgente" y el cuerpo contiene el siguiente texto:
"
Gracias
Pero necesito todos los docuementos
ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es
confidencial y se dirige exclusivamente al destinatario previsto. Si usted ha
recibido el mensaje por error, por favor, notifiquelo al remitente y borrelo sin
copiarlo grabarlo ni distribuirlo.
"
El camino que este tipo de mensajes dice haber recorrido suele ser curioso y siempre es bueno mirarlo:
Received: from [182.48.86.114] (helo=ip-182-48-86-114.colology.com)
by XXXXXXXXXXXXXXXXXXXXXXXXXXX
(envelope-from <unprofitablezx2@terra.es>)
id xxxxxxxxxxxxx
for destinatario@example.com; Wed, 18 Mar 2015 09:47:33 +0100
Received: from [183.78.30.37] (account newfoundlandsy796@terra.es HELO xryizwv.cgwnh.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 593108774 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Received: from [149.19.90.90] (account newfoundlandsy796@terra.es HELO zeggfdw.frhuevgsjzsdlfg.ua)
by ip-182-48-86-114.colology.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 633915718 for destinatario@example.com; Wed, 18 Mar 2015 14:50:27 +0600
Como cada servidor de correo por el que pasa el mensaje puede poner sus propias cabeceras (e incluso podría cambiar las que recibe), las cabeceras "Received" van perdiendo fiabilidad y credibilidad a medida que van apareciendo. Yendo al primer salto fiable, el correspondiente a cuando el mensaje entró en el dominio del receptor del correo, el mensaje procede de la IP 182.48.86.114, identificada como ip-182-48-86-114.colology.com. Esta IP pertenece a la AS58715, de EARTH TELECOMMUNICATION, compañía ubicada en Bangla Desh. El dominio colology.com tiene IPs correspondientes también a EARTH TELECOMMUNICATION.
Hasta ahí parece que el mensaje llegó desde dos direcciones. La primera de ellas, 183.78.30.37, ubicada en Malasia y la segunda, 149.19.90.90, norteameriacana.
En ambos casos, el saludo entre servidores hace referencia a nombres de equipo pertenecientes a dominios de Ucrania (.ua), xryizwv.cgwnh.ua y zeggfdw.frhuevgsjzsdlfg.ua. A estos se puede añadir el nombre de dominio owdxggvmp.ua, también sin registrar, que aparece en el Message-Id:
Message-ID: <ECEa1BDFfcCD7b.4Ee3A0b5.CE775972A0@trslbwzjclcnw.owdxggvmp.ua>
En todos estos casos, por las consultas que he podido hacer, los dominios no existen. Ni tampoco responden a ping ni a los intentos de acceso SMTP realizados las IPs de los servidores mientras escribo esto. Y ambas están en alguna lista negra de SPAM.
En las cabeceras aparecen dos cuentas de terra.es:
- newfoundlandsy796@terra.es, en cabeceras "Received"
- unprofitablezx2@terra.es, en el "Return-path":
Return-path: <unprofitablezx2@terra.es>
El uso de nombres de dominios .es a la hora de enviar SPAM a personas cuyo idioma es el español apunta a un SPAM bien planeado y dirigido.
Y también lo hace el texto, con su buena redacción. Sobre todo cuando lo habitual es encontrarse con la típica traducción automática.
Lo que rompe toda esta corrección es la falta de tildes en el asunto y el cuerpo del mensaje. Eso y una falta, ya sea de ortografía o de mecanografía: "docuementos" por "documentos". Lo de las tildes apunta a alguien cuyo idioma que carece de ellas. Quizá a un teclado en el que son imposibles o difíciles de poner o quizá al miedo a que los servidores tengan problemas con caracteres extraños.
Y, por ir acabando, un adjunto con el nombre "documentacion_2015.03_doc.zip". Un archivo comprimido cuyo contenido es otro fichero llamado "documentacion_2015.03_doc.doc.exe". Los viejos trucos de la doble extensión y el nombre de fichero muy largo que a veces consiguen que el usuario no sepa sobre qué clase de cosa hace doble clic. Ni que decir tiene que de hacerlo estará metiendo algo no recomendable en su equipo...
Si por algo destaca esta campaña de distribución de malware es por lo bien diseñada que está, no desde el punto de vista meramente técnico sino desde el de la Ingeniería Social. Lo cuidado del mensaje (salvo por las tildes y un errorzuelo que a cualquiera se le cuela de vez en cuando) que hasta lleva la típica coletilla de "ADVERTENCIA LEGAL: la informacion de este mensaje de correo electronico es confidencial y se dirige exclusivamente...". Y cómo encaja con una comunicación administrativa típica en la que siempre te piden más documentos y en la que, casi siempre con enfado, te preguntas ¿y éste qué quiere ahora? mientras tratas de averiguarlo.
La moraleja es que si los malos mejoran en algún campo, los buenos también tenemos que hacerlo. Si ellos usan técnicas de ingeniería social más efectivas, nosotros debemos contrarrestarlas también en el campo humano y social. No limitarnos a poner en funcionamiento unas salvaguardas técnicas que no siempre contrarrestan las nuevas amenazas. Ir al cuerpo a cuerpo con los usuarios finales y trabajar en su formación y concienciación.
Y aprender mucha Ingeniería Social. Porque ésta enseña a convencer y motivar. Porque convencer y motivar a usuarios y directivos ayuda en nuestro trabajo. Ayuda mucho.
martes, 3 de marzo de 2015
UMA Hackers Week
Estos últimos meses el blog ha estado de lo más solitario. Y no por falta de cosas que contar.
Para empezar, anduve liado con la tercera versión del libro "Hacking con buscadores". Y es que, con el paso del tiempo, había muchas partes de él que había que actualizar. Que reescribir a partir de cero. Alguien tenía que hacerlo y, como autor, a mí me correspondió la tarea.
Mientras tanto, he estado jugando con vulnerabilidades en la parte cliente de aplicaciones web. Ya se sabe: XSS, CSRF, Clickjacking y similares. Cosas que en algunos casos puedo publicar (y espero hacerlo) y otras que, al menos por ahora, debe uno callarse por eso de esperar a que los problemas estén resueltos antes de soltar el toro.
Y en esas estaba cuando la organización de la UMA Hackers Week se puso en contacto conmigo. Se trata de un evento organizado en la Universidad de Málaga que se celebra este año (2015) del 23 al 26 de marzo y en la que, quizá con la excepción de mi persona, participa gente de lo más interesante y se proponen entretenidas actividades .
Allí, salvo catástrofe, estaré el martes 24 con una presentación sobre estas vulnerabilidades incomprendidas y subestimadas. Si alguien quiere pasarse, sólo tiene que registrarse. ¡Y es gratis!. La URL es:
http://hackersweek.com/
... y, para apuntarse a mi charla:
http://hackersweek.com/actividad/seguridad_en_componentes/
Echad un vistazo por la web, que seguro que algo interesante encontraréis.
Os espero...
Para empezar, anduve liado con la tercera versión del libro "Hacking con buscadores". Y es que, con el paso del tiempo, había muchas partes de él que había que actualizar. Que reescribir a partir de cero. Alguien tenía que hacerlo y, como autor, a mí me correspondió la tarea.
Mientras tanto, he estado jugando con vulnerabilidades en la parte cliente de aplicaciones web. Ya se sabe: XSS, CSRF, Clickjacking y similares. Cosas que en algunos casos puedo publicar (y espero hacerlo) y otras que, al menos por ahora, debe uno callarse por eso de esperar a que los problemas estén resueltos antes de soltar el toro.
Y en esas estaba cuando la organización de la UMA Hackers Week se puso en contacto conmigo. Se trata de un evento organizado en la Universidad de Málaga que se celebra este año (2015) del 23 al 26 de marzo y en la que, quizá con la excepción de mi persona, participa gente de lo más interesante y se proponen entretenidas actividades .
Allí, salvo catástrofe, estaré el martes 24 con una presentación sobre estas vulnerabilidades incomprendidas y subestimadas. Si alguien quiere pasarse, sólo tiene que registrarse. ¡Y es gratis!. La URL es:
http://hackersweek.com/
... y, para apuntarse a mi charla:
http://hackersweek.com/actividad/seguridad_en_componentes/
Echad un vistazo por la web, que seguro que algo interesante encontraréis.
Os espero...
Suscribirse a:
Entradas (Atom)