Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos.

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

Las redes sociales han sido un fenómeno de masas en los últimos años. Desde su aparición, el crecimiento en forma de número de usuarios ha sido prácticamente exponencial, llegando hasta el punto actual, donde es extraño que alguna persona no tenga cuenta en alguna red social.

Las redes sociales también han sido para los desarrolladores de videojuegos un nuevo espacio en el cual desarrollar su negocio, más aún cuando las diferentes redes han puesto los medios para poder desarrollar juegos colaborativos mediante la publicación de interfaces públicos de programación (API).

El aumento de juegos disponibles para jugar en las redes sociales ha hecho que la industria del malware también intente utilizar estos juegos para distribuir virus y troyanos. Un ejemplo de esto lo tenemos en la reciente aparición de un supuesto juego en Facebook que permitía jugar a Mario Kart:

Continuando con el post de ayer, vamos a seguir hablando de los permisos que requieren las diferentes juegos de Android. Si ayer se habló de las aplicaciones del Market, hoy le toca el turno a las descargadas de sitios no oficiales.

Como hemos indicado, Google realiza un control sobre las aplicaciones que se exponen en el Market, pero debido a lo fácil que resulta para los desarrolladores de malware modificar las aplicaciones de Android, han aparecido “Markets” alternativos con aplicaciones modificadas para no tener que pagar por ellas.

Al igual que ocurre con los cracks para los PCs, no tenemos la certeza de que las aplicaciones descargadas no cometan acciones ilícitas aparte de las que son visibles por el usuario. Ha sido nuestra voluntad establecer si existen diferencias notables entre los permisos que requieren las aplicaciones del Market y los permisos que requieren las aplicaciones descargadas de Internet. Para ello, se ha realizado una descarga masiva de aplicaciones de una web de descargas y se ha realizado un análisis similar al mostrado anteriormente con las aplicaciones del Market.

Android ha implementado diversos mecanismos para garantizar la seguridad de su sistema operativo. Por ejemplo, Android obliga a que las aplicaciones deban estar firmadas digitalmente y que los desarrolladores compartan el certificado con Google para que puedan publicar la aplicación en el Market. También incorpora un mecanismo para aislar las diferentes aplicaciones entre ellas, evitando así que una aplicación pueda obtener datos de otra. Esto ocurre gracias al sistema de permisos por el cual, solo se puede acceder a los recursos que explícitamente se requieran.

Aunque el modelo de seguridad de Android es una gran mejora respecto a los sistemas operativos tradicionales de escritorio, este tiene dos grandes inconvenientes:

• El sistema que utiliza Android para obtener el origen de una aplicación podría permitir a un usuario malintencionado crear y distribuir malware anónimamente.
• El sistema de permisos que utiliza, aunque extremadamente potente, deja en último lugar las decisiones de seguridad al usuario. Desafortunadamente, la mayoría de los usuarios no son técnicamente capaces de tomar esas decisiones, provocando que se instalen aplicaciones que requieren más permisos de los necesarios.

Llega la Navidad, y con ella los reencuentros familiares, las comidas, las cenas, los excesos, el cuñado “gracioso”, las abuelas que no paran de llenarte el plato, los niños y como no, los regalos.

Como se puede ver en las noticias estos últimos días, parece que el regalo que más están demandando los niños y niñas españoles a los Reyes Magos y Papá Noel son los dispositivos tipo tablet (con el permiso de las muñecas High Monster).

Pero no solo los más pequeños de la casa están interesados en las nuevas tecnologías, sino que los más mayorcitos también esperan ver junto al árbol o el belén un tablet con su nombre escrito en un papelito.

La mayoría de estos dispositivos, especialmente los destinados a los más pequeños, serán utilizados no como herramientas ofimáticas sino como dispositivos de entretenimiento, donde los juegos ocuparán la mayoría de ciclos de CPU y prácticamente todo el disco.

…o como las mafias roban dinero de los móviles y lavan ese dinero en Rusia.

El otro día escuché un podcast del investigador Denis Maslennikov hablando sobre este tema y me gustaría compartir con vosotros los aspectos mas importantes de su podcast.

Comencemos diciendo que la gran mayoría de tarjetas SIM en Rusia son de tipo prepago, y que uno de los mayores operadores de Rusia, Beeline, ofrece un servicio totalmente legal que permite a cualquiera que use una de sus tarjetas SIM transferir saldo a una tarjeta de crédito, cuenta corriente, a una cuenta Unistrem (parecido a Western Union) o a otro número de teléfono enviando un SMS a un número gratuito. Por ejemplo, para enviar dinero a la tarjeta SIM del atacante habría que teclear: *145*nº_de_tlf*cantidad# y enviarlo al 145.

Hoy me gustaría presentaros un módulo de Metasploit que he descubierto hace poco tiempo. Se llama Page collector y ha sido desarrollado por Spencer McIntyre. El módulo en concreto nos ayuda a descubrir páginas web de un rango de ips y nos las muestra de forma gráfica. Vamos a plantear un posible escenario en el nos resultaría útil este módulo: Estamos realizando un pentest de una red corporativa que tiene un rango 192.168.0.0/24 y nos interesa conocer rápidamente, si existen interfaces de administración (phpMyAdmin, páginas de login por defecto, consolas JBoss…).

La instalación del módulo es muy sencilla y funciona out-of-the-box en una metasploit4:

Hoy me gustaría hablar de un caso que me ocurrió este pasado verano relacionado con estafas en cajeros electrónicos. Gracias al FSM no me estafaron, pero esto es adelantarme a los hechos. Como todos hemos visto en las noticias y en Internet, las estafas y robos de tarjetas de crédito están a la orden del día. Una de las técnicas más usadas en los cajeros, es la de instalar un dispositivo, conocido como “skimmer”, que se encarga de leer la banda magnética de nuestra tarjeta y de conseguir nuestro PIN.

Como ejemplo, aquí tenéis una fotos de estos dispositivos:

Recientemente, hemos detectado una nueva tendencia en los ataques a servidores web IIS. Los ataques intentan explotar una vieja vulnerabilidad de 2004 en los servidores web de Microsoft. Es habitual que malwares antiguos todavía sigan funcionando años después de su gran apogeo, ya que muchas máquinas no se actualizan correctamente y siguen siendo vulnerables.

Lo que ya no es tan común es que años después haya un aumento tan elevado de ataques, siendo estos de distintos orígenes. Como ejemplo, sirva esta captura de nuestro sistema de posicionamiento de ataques en tiempo real:

Esta mañana, el famoso portal español RojaDirecta.org ha aparecido con la siguiente imagen: