La ultima de Hotmail - Abril 2012

Acaba de ser publicada un reciente bug del servicio gratuito de correos de Microsoft - HOTMAIL- en el cual el atacante podía resetear/cambiar el password de cualquier dirección de correo de este servicio. Si bien es cierto es un método bastante intrusivo, ya que te darías cuenta al instante de lo sucedido, pero a su vez muy eficaz para dejarte sin tu cuenta.


Y en que consiste la vulnerabilidad?. La forma de explotarla fue la siguiente :


Era necesario un navegador y un proxy tamper que atajara las peticiones GET y POST luego se realizaba el bypass de la pagina de recuperacion para el nuevo password, Bypass del token de proteccion enviando "+++)-" ya que solo se validaba que no estuviera vacio, configurar el nuevo password, decodificar el captcha y finalmente enviar los datos.


Videito manda.

Teniendo en cuenta que en la actualidad Hotmail cuenta con mas de 350 millones de usuarios el impacto deberia haber sido considerado aterrador, pero la pregunta es, cuantos habrán estado explotando esta vulnerabilidad?, cuantas cuentas habrán sido comprometidas?, trataste de ingresar a tu cuenta y te diste cuenta que te cambiaran el password?, siguiendo con la paranoia, habrá algún servicio gratuito realmente seguro?, sera hora de pasar todo a Gmail, en realidad no creo, si seguimos usando Chrome estando libre aun el 0day que los de VUPEN no   quieren hacer publico. 

Las conferencias de Seguridad Informática en Sudamérica: Segunda parte EKOPARTY ARGENTINA (2 de 5)

Continuando con el relato de la experiencia, el tercer y ultimo día trajo también sus sorpresas.

Bosses love Excel, Hackers too. por chema fue una de las mas divertidas pero a su vez didactica, reveladora y tenia sus cositas que podias hacer usando excel para salatrte politicas de windows y el uso de las macos para repotenciarlas, esta presentacion tampoco se salvo de las fallas y una d elas demos no funciono.

Finalmente la noche cerro con BEAST: Surprising crypto attack against HTTPS, en vivo con Juliano Rizzo y remotamente con Thai Duong que se encrago de hacer la demo con la herramienta que desarrollaron y al final regalaron en USB parte del codigo.

Un comnetario aparte fue la charla de Ariel Futoransky, co-founder de Core Security Technologies la presnetacion se titulaba (Pr0n=>CTC) => (P=NP), una reverenda fumada, si era yo el presentador me hubieran linchado, pero en verdad fue muy entetenida. La charla tomaba como referencia un articulo de sicologia titulado "Feeling the future" donde la base era que para predecir el futuro solo necesitabas una cantidad finita de elementos que aumentaran la probabilidad de acierto. hasta ahora no lo asimilo.

Bueno, espero este 2012 ir nuevamente, asi que ha juntar la chanchita!

Las conferencias de Seguridad Informática en Sudamérica: Primera parte EKOPARTY ARGENTINA (1 de 5)

En todas partes del mundo se organizan conferencias de seguridad informática, en Estados Unidos y Europa están las mas mentaditas, pero por esta parte del mundo también se dan algunas que a mi humilde opinión paso a comentar.

Desde hace 3 años quería ir a la EKOPARTY y recién este año se dio, así que agarre mi mochila y a buscar un buen hostel. El evento duro 3 días y fue en un conjunto de salas de teatro under medio viejón pero fue muy bien aprovechado para darle un estilo post guerra donde todos éramos llamados a la resistencia, además estuvo muy bien organizado, yo que antes solo he ido a congresos de estudiantes no puedo comparar mucho, pero la seguridad y las anfitrionas nos trataron muy bien.

Al grano, se programaron actividades paralelas a las conferencias como el WARGAME donde habían varios servidores con servicios vulnerables donde había que hacerse de ellos y luego defenderlos del resto de equipos. El dilema era, conferencias o el juego, aunque de la ojeada que le dimos, esta tenía un buen grado de dificultad y en los 3 días habían 2 equipos de chibolos argentinos y un grupo grande de brasileños, todos ellos participando a full los 3 días, así que le dimos fuerte a las conferencias. La actividad LOCKPICK VILLAGE, el clásico stand con candados y cerraduras para jugar un rato.

Y finalmente, mi favorito, el wardriving, donde pasearíamos en un bus por las principales calles de Buenos Aires con nuestros equipos para la búsqueda de redes inalámbricas. Todo empezó con una charla de Juan Pablo Borgna @jpdborgna, buen pata, con bástate experiencia dictando cursos de redes inalámbricas, explicaba como configurar la tarjeta inalámbrica con kismet en un backtrack, una vez finalizado, solo los preparados con su equipo a mano subirían al bus para el wardriving. No tenía laptop, pero tenía mi superpoderoso N900 con el kismet funcionando como una bala asi que ese fue mi boleto para subir al bus (muchos serán los llamados, pocos los elegidos). La experiencia fue buenísima, corrió bastante chela, la música estuvo espectacular, conocí gente chévere y llegue a coger unas 1900 redes.

Las conferencias, desde el segundo dia, todas buenas y muy buenas donde la que más me gustaron fue “our crown jewels online: Attacks to SAP Web Applications” donde se explicaban las principales vulnerabilidades de SAP, fue dada por Mariano Nuñez, CEO de Onapsis, empresa dedicada a dar consultoría a nivel global de seguridad en ERPs. El expositor didáctico, sabía mucho del tema, pionero en romper SAP, combino la parte técnica con humor, pobre reina de Inglaterra, las demos buenas, sobre todo es un buen ejemplo como esta empresa ha construido un mercado rentable en un nicho tan especializado y un consumidor con mucha plata.

La otra presentación espectacular fue “Deep Boot” dada por Nicolas economou investigador de CORE SECURITY TECHNOLOGIES la empresa que desarrolla CORE IMPACT. La charla trataba de la técnica para controlar el booteo de cualquier sistema operativo tomando el control del CPU desde el booteo de la BIOS hasta tomar el control del propio kernel del sistema operativo. Indetectable para cualquier antivirus, la demo espectacular y lo que más pica da es que dijeron que lo habían hecho en sus ratos libres.

La conferencia bastante esperada de la noche fue la del famoso REVERSEMODE Ruben Santamarta con “SCADA Trojans: Attacking the grid”, cómo, cuándo, dónde, porqué y quién puede atacar los sistemas de control industrial, específicamente los de manejo de energía. Buena charla, bien estructurada donde explicaba la estructura de los sistemas scada y presentaba casos reales del estudio, también lo complemento con el esquema de técnico-humor. En resumen explicaba que datos del sistema scada debería manipular un troyano para bajarse una central de energía y dejar a oscuras un país. No deje de preguntarme durante toda la presentación como hace para que no lo metan preso o estar en Guantánamo. Pero no todo fue felicidad porque la demo no corrió como varias durante el evento.

Hasta el momento todo bien, la gente espectacular, todos chupaban, regalaban cerveza por doquier, los presentadores distendidos, los asistentes como dicen los agentinos unos hijos de p…,

En estos días continuo contando la experiencia…..

Con antena casera

Cuando la ignorancia y la soberbia se juntan, despiertan al monstruo (Anonymous)

Siendo sábado 25 de Junio, 11pm ya cayeron varios servidores peruanos por el bendito DDOS de ANONYMOUS operación PERU y lo que más risa me ha dado es que el mismo servidor aloja los dominios de ongei.gob.pe, serviciosalciudadano.gob.pe y nada más ni nada menos que a www.peru.gob.pe, mataron 3 pájaros de un solo tiro.

Solo era cuestión de tiempo para que esto sucediera, después que el jefe de la OFICINA NACIONAL DE GOBIERNO ELECTRONICO, saliera a decir en todos los medios de comunicación que “no hay problema”, “estamos protegidos”, “las organizaciones del estado tienen una fuerte infraestructura de seguridad”, “no han hackeado, solo han hecho consultas”, etc. Ahora que dirán, ya van 12 horas y no restablecen su servicio, o la estrategia es apagar el servidor para evitar el ataque.

Me pregunto, cuando alguien accede remotamente a las bases de datos de una institución sin tener credenciales de acceso y además obtiene la relación de correos, nombres, passwords y datos personales de los usuarios, no es grave?. Además, está seguros que solo han robado información?.

Ojala no les pase lo mismo que a Aaron Barr que salió a decir que había identificado a los líderes de ANONYMOUS y que los iba a delatar, a la semana hackearon su twitter y publicaron aproximadamente 50,000 correos electrónicos de su empresa HBGARY.

Lamentablemente, hasta ahora no se ha pronunciado el PeCert (Grupo de Trabajo para la Coordinación n de Emergencias en Redes) que también esta caído.