Hoy me gustaría presentaros un módulo de Metasploit que he descubierto hace poco tiempo. Se llama Page collector y ha sido desarrollado por Spencer McIntyre. El módulo en concreto nos ayuda a descubrir páginas web de un rango de ips y nos las muestra de forma gráfica. Vamos a plantear un posible escenario en el nos resultaría útil este módulo: Estamos realizando un pentest de una red corporativa que tiene un rango 192.168.0.0/24 y nos interesa conocer rápidamente, si existen interfaces de administración (phpMyAdmin, páginas de login por defecto, consolas JBoss…).

La instalación del módulo es muy sencilla y funciona out-of-the-box en una metasploit4:

Hoy me gustaría hablar de un caso que me ocurrió este pasado verano relacionado con estafas en cajeros electrónicos. Gracias al FSM no me estafaron, pero esto es adelantarme a los hechos. Como todos hemos visto en las noticias y en Internet, las estafas y robos de tarjetas de crédito están a la orden del día. Una de las técnicas más usadas en los cajeros, es la de instalar un dispositivo, conocido como “skimmer”, que se encarga de leer la banda magnética de nuestra tarjeta y de conseguir nuestro PIN.

Como ejemplo, aquí tenéis una fotos de estos dispositivos:

Recientemente, hemos detectado una nueva tendencia en los ataques a servidores web IIS. Los ataques intentan explotar una vieja vulnerabilidad de 2004 en los servidores web de Microsoft. Es habitual que malwares antiguos todavía sigan funcionando años después de su gran apogeo, ya que muchas máquinas no se actualizan correctamente y siguen siendo vulnerables.

Lo que ya no es tan común es que años después haya un aumento tan elevado de ataques, siendo estos de distintos orígenes. Como ejemplo, sirva esta captura de nuestro sistema de posicionamiento de ataques en tiempo real:

Esta mañana, el famoso portal español RojaDirecta.org ha aparecido con la siguiente imagen:

Hace un par de días Facebook anunciaba desde su blog dos de sus nuevas funcionalidades para aumentar la seguridad de sus usuarios.

La primera, y una de las más demandadas por los usuarios, es el soporte de sesiones https. Hasta ahora, solo la parte de autenticación de login y password iban cifradas, dejando toda la actividad que realizáramos en la red social sin cifrar. De este modo, un atacante podría leer nuestras conversaciones, ver nuestras fotos, robar nuestras cookies, etc. Parece que la aparición de Firesheep, una extensión de Firefox que permite robar las cookies de sesión de multitud de sitios web, ha acelerado el proceso de incorporación de https a los servidores de Facebook.

El pasado martes 19 de octubre apareció la noticia del lanzamiento de la suite de seguridad más famosa en su versión comercial, Metasploit Pro 3.5. Entre las nuevas características, destacan la habilidad de identificar, auditar y explotar aplicaciones web, lanzar campañas de ingeniería social a gran escala, evasión de antivirus e IDS, trabajo colaborativo y generar informes personalizados. Además, Metasploit Pro permite hacer VPN Pivoting en capa 2, lo cual nos crea una interfaz virtual dentro de la red remota desde la que poder lanzar cualquier herramienta de seguridad.

La instalación es muy sencilla, tanto para Windows como para Linux. En caso de tener alguna duda, recomiendo seguir las guías de instalación y de usuario que se pueden encontrar en la web. Para probar la herramienta, Rapid7 pone a nuestra disposición una imagen de VmWare con servicios vulnerables.

En este post vamos, por fin, a poder obtener las claves de un tag Mifare Classic para posteriormente leer el contenido, escribir… Para ello, partimos de la base que ya tenemos las librerías instaladas tal y como dijimos en el anterior post, y que detectamos el lector (si tenéis problemas con esto, decidlo en los comentarios).

Vamos ahora a instalar las herramientas que necesitaremos. La primera de ellas se llama mfcuk e implementa el ataque llamado “darkside” descrito en http://eprint.iacr.org/2009/137.pdf. Este ataque aprovecha la poca entropía que se utiliza en el cifrado Crypto-1 para obtener mediante fuerza bruta la clave de un sector.

Después de este titular tan amarillista, viene la historia del triunfo de la concienciación en los usuarios y sobretodo, del sentido común.

Voy a poneros en situación: hace unos años, sugerí a mi padre que pidiera al banco una cuenta para operar por Internet. Inmediatamente, él vio las ventajas de la banca online: transferencias entre cuentas instantáneas, ver el saldo en el momento…

Como buen hijo, le di las recomendaciones de seguridad básicas:

• Nunca acceder al banco pulsando sobre un enlace.
• Buscar que el certificado de la web sea reconocido.
• Que aparezca el candado en la barra inferior.
• Nunca poner todas las coordenadas de la tarjeta.
• Y por último, que usara el sentido común y que si veía algo extraño, que desconfiara.

A estas alturas de la película, todos sabemos la cantidad de problemas que nos puede traer Facebook en lo que respecta a nuestra privacidad. Desde empleados que son despedidos por culpa de hablar mal de su empresa, a acosos por parte de ex-parejas. La semana pasada Sean Sullivan de F-Secure comentó en su twitter la existencia de un directorio en Facebook donde se recogían todos los nombres de los usuario que se puedan buscar. Esta pagina es www.facebook.com/directory

Con esta información a Ron Bowes se le iluminó la bombilla que todos tenemos en la cabeza. Teniendo al alcance de la mano millones de nombres y apellidos de personas, ¿no se podría confeccionar una gran lista de usuarios para utilizarla con ataques de fuerza bruta? La respuesta para él fue afirmativa, y mediante un script en Ruby obtuvo 171 millones de nombres de usuario (100 millones únicos). Ahora sólo faltaba ordenarlos, crear las diferentes combinaciones de nombre/apellido y empaquetarlo todo en un torrent para compartirlo con la comunidad.

Con el permiso de Roberto, voy a continuar con la serie sobre seguridad en Mifare Classic que él comenzó hace unos meses (véase I y II).

En las anteriores entradas, se han comentado los ataques contra la comunicación lector-tag, donde era necesario capturar el momento de la autenticación. Además era necesario el uso de hardware relativamente caro, el PROXMARK III (240€).

En este post y el siguiente, vamos a ver como es posible recuperar la información de un tag usando hardware barato y ataques contra el tag. En primer lugar vamos a presentar el hardware:

Se trata del lector de touchatag, un lector basado en el ACR122U de ACS. La gran virtud de este lector es la posibilidad de usar las librerías libres libnfc, que han permitido a la comunidad desarrollar aplicaciones sin necesidad de pagar los costosos SDK’s privados.

La otra gran virtud es el precio, 40€ aproximadamente con portes e impuestos incluidos.