Rompiendo RC4 en WPA- TKIP y TLS

julio 15, 2015

El protocolo HTTPS es utilizado para proteger su comunicación con este sitio web (proporcionando seguridad y privacidad). HTTPS soporta varias técnicas de cifrado, siendo uno de ellos el famoso algoritmo RC4. En un momento RC4 se utilizó el 50% de las veces, con la última estimación es 30%. Nuestro ataque NOMORE RC4 expone debilidades en este algoritmo de cifrado RC4. Más precisamente, en la mayoría de situaciones donde se utiliza RC4, estas debilidades se pueden utilizar para revelar la información que se pensaba previamente a ser encriptada segura.

En particular, se muestra que un atacante puede descifrar las cookies web, que normalmente están protegidos por el protocolo HTTPS. Sitios web utilizan estas cookies para identificar a los usuarios y autorizar las acciones que realizan. Con la obtención de la cookie de una víctima, un atacante puede iniciar sesión en un sitio web como si fuera la víctima. Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente.

La investigación detrás del ataque se presentará en USENIX de Seguridad . Resumido, un atacante puede descifrar una cookie dentro de 75 horas. En contraste con los ataques anteriores, este tiempo de ejecución corto nos permite realizar el ataque en la práctica. Cuando probamos el ataque contra los dispositivos reales, tomó menos de 52 horas para llevar a cabo el ataque.

 

Como una prueba de concepto contra una página web ficticia y la víctima (para evitar dañar los sistemas reales). En nuestra demostración la víctima utiliza Internet Explorer, y nos muestran cómo el atacante puede tomar el control de una cuenta de la víctima. Se trata de las primeras debilidades tiempo en RC4, cuando se utiliza en TLS y HTTPS, son explotados contra los dispositivos reales.

 Documentacion

Fuente

Anuncios

Fuerza bruta mecánica: Ganando al Mezcladitos jugando de verdad

febrero 16, 2013
Bueno, quizá si sean trampas, pero al menos no estamos hackeando el sistema 😉
Esto es solo una inocente demostración de lo que es la fuerza bruta mecánica. Cuando escuchamos hablar sobre fuerza bruta, la mayoría de las veces nos viene a la cabeza el “ensayo y error” software para atacar contraseñas cifrando y comprobando si son válidas. Sin embargo podemos aplicarla mecánicamente a todo tipo de cosas: teclados virtuales, teclados físicos, roscas, etc.
En esta demostración he jugado al Mezcladitos de Facebook, sin embargo me hubiese gustado disponer de unos cuantos servos y un arduino para jugar directamente sobre la pantalla del iPhone (haciendo un sencillo “tecleador” mecánico).
Lo primero fue crear un algoritmo que resuelve el casillero, buscando por fuerza bruta todas las palabras que contiene basandome en un diccionario con todas las palabras del idioma español.
Dado que tenemos solo dos minutos para jugar, necesitamos calcular las palabras en el menor tiempo posible, así que ademas de optimizar el algoritmo, lo lanzamos en 16 threads (uno por cada casilla) para aprovechar todos los núcleos de nuestra CPU. Dicho algoritmo recorre todos los caminos posibles desde una casilla y comprueba si la palabra resultante en cada uno de ellos existe en el diccionario.
http://pastebin.com/raw.php?i=Gp0L21h2
Una vez tenemos todos los resultados, hacemos un hook a bajo nivel del ratón con SetWindowsHookEx, de ese modo puedo moverlo y hacer clicks automatizados para cada palabra.
Como se puede ver en el video, antes de iniciar se hace una calibración haciendo click sobre las dos primeras casillas y el “Enter”, para conocer las coordenadas de todas las casillas del tablero.
http://pastebin.com/tbgyGbDW
http://pastebin.com/WHcQ2yjQ
Hemos hecho fuerza bruta para ganar a un juego, pero podría utilizarse para cosas más serias como ganar acceso no autorizado tanto a sitios web como a lugares físicos, si no utilizan medidas extra de seguridad.
En este caso estamos utilizando el ratón como método de entrada automatizado. Algunos sitios web emplean teclados virtuales para hacer login (incluso algunos bancos) utilizando el ratón. A veces incluso cambian aleatoriamente el orden de las letras o números (nada que no se pueda saltar con un algoritmo OCR). Con ese método muchas veces creen equivocadamente que añaden una capa de seguridad, pero si no limitan el número de intentos se puede hacer fuerza bruta fácilmente (y si te están pidiendo un PIN de 4 números, no tardaría más que unos minutos).
Sin embargo como comentaba antes, disponiendo de un arduino y unos cuantos motores, podemos hacer fuerza bruta sobre prácticamente cualquier cosa de forma muy sencilla y barata siempre y cuando no nos limíte en número de intentos, lo que nos hace preguntarnos cuán seguros son los dispositivos que utilizamos habitualmente, y como muchas veces obvian ciertas medidas de seguridad al pensar que obligando a alguien a introducir datos manualmente no probarán todas las combinaciones. O cuantas veces quitamos nosotros mismos ese número de intentos “por miedo a bloquear nuestro dispositivo nosotros mismos”.
En plena era digital, existe mucha gente (especialmente gente mayor, o con pocos conocimientos informáticos) que piensa que lo analógico es más seguro que lo digital, sobretodo cuando cada vez hay más noticias en la prensa generalista sobre incidentes de hacking; así que aquí van unos cuantos ejemplos para romper esa leyenda urbana (Nota: Algunos de estos ejemplos se bloquean despues de un número de intentos, pero los pongo para hacer un muestrario del tipo de cosas que se pueden atacar físicamente):
Moraleja: Si estais implementando algun tipo de mecanismo para restringir accesos, nunca olvideis limitar el número de intentos (el cual en muchas ocasiones es visto como “innecesario” o engorroso), y procurad incluir algún elemento extra como un tarjeta, una llave,…
Si disponeis de algún mecanismo de acceso que limite el número de intentos y os permita deshabilitarlo, nunca lo hagais por comodidad o miedo.
Os dejo el código fuente del programa para los que querais echarle un vistazo (no incluyo los diccionarios). https://github.com/moebiuz/mezclaPWNr
—————————————-
Artículo cortesía de Antonio Rodríguez (@MoebiuZ)
Fuente : Security by default

Ataques multiplataforma ya son reales

febrero 13, 2013

Computadoras y teléfonos inteligentes no son tanto como las manzanas y las naranjas ya que puede haber  pensado. Investigadores de NQ Mobile Security Center determinó y confirmó una amenaza nueva y sorprendente que apareció el mes pasado en Google Play.

Todos sabemos que la sincronización de seguridad de sus dispositivos móviles utilizando el puerto USB de su PC es importante para mantener su entorno de tecnología personal en buen estado. Pero, ¿podría ser una infección electrónico intercambiado en el proceso? Al parecer, sí.

Así es como funciona

Los expertos en seguridad descubrieron que un nuevo malware fue capaz de secuestrar un legítimo Android caché de limpieza de aplicación. El malware volvió a la vida cuando un dispositivo móvil se sincroniza con un PC mediante el puerto USB del ordenador. Usted sabe que cuando se conecta algo en un puerto PC o unidad, el “auto-run” característica se activa? Esta aplicación maliciosa pronunció un “USB ataque AutoRun”.

Esto es lo que puede hacer

Esta variedad siniestro de malware puede ser diseñado para buscar el archivo Autorun.inf en su sistema informático basado en Windows, el envío de gusanos o troyanos que intentan todo para cargar un rootkit. El gusano intenta copiarse en todas las unidades de la PC, incluyendo las extraíbles, como unidades flash, así como unidades de red mapeadas. Algunos de estos gusanos traidores también intenta deshabilitar el Windows software anti-virus.

Lo que es peor …

Este tipo de malware es capaz de ofrecer varias instancias de algo usado por Windows llamado “svhosts.exe” los archivos a su ordenador durante el proceso de sincronización móvil. A través de una ingeniería “puerta trasera” a los archivos, los ciberdelincuentes pueden acceder a un PC, y descargar archivos que roban datos y pulsaciones de captura – como números de cuentas bancarias. Los datos se cifran y se envían normalmente a lugares como Ucrania, Rusia o Brasil. El virus puede guardar su dinero mal habido tesoro en la tarjeta SD del teléfono, o cualquier otro no-sistema de carpetas de Android en la memoria de su dispositivo móvil.

No es de extrañar

Si usted hace su vida desarrollando malware móvil y le pasé horas buscando la manera de multiplicarse rápidamente y eficientemente sus demonios, lo lógico sería lógico diseñarlos para que sean capaces de transmitir desde un PC a un dispositivo móvil. Era sólo cuestión de tiempo. Los expertos llaman a este tipo de intercambio un “cross-platform ataque.” Tiene sentido.

Qué hacer

Las aplicaciones móviles de seguridad proporcionan protección continua comienzo antes de la descarga de aplicaciones y software. NQ Mobile Security ™ detecta y pone en cuarentena este malware antes de la instalación de los archivos maliciosos en una tarjeta SD.

En vista de la amenaza planteada por el malware en el archivo Autorun.inf, aquí hay algo de información que pueden ser útiles:

Windows XP / Vista:

¿Ha descargado este mes de febrero de 2011 parche de Windows? ” AutoRun desactivado por defecto “ ?

Si no es así, asegúrese de conseguir en http://support.microsoft.com/kb/97102 para evitar este problema de malware multiplataforma.

Windows 7 & 8 usuarios

¡Qué suerte! Microsoft corrigió este problema con Windows 7 y el 8, desactivar la función de ejecución automática de forma predeterminada.

Como el mayor proveedor de seguridad móvil del mundo, NQ Mobile cree que las familias deben poseer la base de conocimientos más amplia sobre todos los aspectos de la seguridad móvil y la privacidad al usar Android, BlackBerry, Symbian, Windows Phone y los dispositivos de Apple iOS. NQ Mobile tiene como objetivo informar y educar a las familias sobre las amenazas actuales y futuras y sugieren métodos sencillos sobre cómo mantenerse seguro y libre de cargos no deseados cuando se utiliza un dispositivo móvil.


Defensa desarrolla un software que puede rastrear a las personas en las redes sociales

febrero 13, 2013

track people on Social media

Una multinacional empresa de seguridad ” Raytheon “se ha desarrollado en secreto un software llamado” RIOT “, capaz de seguir los movimientos de las personas y predecir el comportamiento futuro de la minería de datos de sitios web de redes sociales.

La empresa de varios millones de dólares, no quería que su video concepto revelado, pero el guardian lo envió de todos modos. Raytheon todavía no ha vendido RIOT a todos los clientes, pero ha sido compartida con el gobierno de EE.UU. como parte de un proyecto de investigación conjunto para desarrollar un sistema capaz de Data Gran vigilando una gran parte de la población.
El software también puede extraer los metadatos de las imágenes tomadas para determinar la ubicación de un usuario cuando se tomó la foto. De estos y otros datos tomados de aplicaciones de localización Foursquare es decir, el software puede predecir los futuros movimientos de los usuarios.
El video muestra cómo Riot trabaja en un miembro de la muestra personal de Raytheon, el seguimiento de sus visitas regulares a Washington Nationals Park y un gimnasio local. RIOT crea perfiles únicos de datos públicamente disponibles, incluyendo detalles como sus amigos, y en el que he estado y en qué momento. Un diagrama de araña aun sigue sus relaciones con otras personas en línea.
Dado que la mayoría del contenido publicado a las redes sociales ya está a disposición del público, la capacidad de RIOT para analizar esta información puede no parecer una gran cosa. ” Las redes sociales no suelen ser transparentes acerca de qué información se comparte y cómo se comparte, “Ginger McCall, del Centro de Información sobre Privacidad Electrónica.
Las organizaciones de la privacidad han advertido que los usuarios tendrán que reevaluar la configuración de privacidad en las redes sociales para que se evite de ser tobjectivos en búsquedas en línea por otros.

Adobe 0-día explotado por los ataques IEEE spearphishing aeroespaciales.

febrero 12, 2013
Exploit-0-día-Adobe-Reader-Vulnerabilidad-2La semana pasada, Adobe lanzó un parche para Adobe Flash que fija una vulnerabilidad de día cero , CVE-2013-0633, que está siendo explotada utilizando los archivos de Microsoft Office con contenido Flash incrustado entrega a través de correo electrónico. La vulnerabilidad no es aislado, está circulando la noticia de un nuevo código CVE-2013-0634 están explotando valle navegadores web como Firefox y Safari en Mac OS X que ha sido identificado por FireEye empresa de seguridad.

Adobe acreditado el CERT de la compañía aeroespacial Lockheed Martin para descubrir que exploit, proporcionando indicación más del calibre del objetivo de los hackers buscaban.

Parcheado Última Adobe viernes una vulnerabilidad de día cero está explotando con contenido malicioso Flash incrustado en documentos de Microsoft Office para Windows que se entregan como archivos adjuntos enviados por correo electrónico.

Los investigadores de seguridad en el extranjero Vault reveló que los atacantes entregan las hazañas con una lanza campaña dirigida phishing dirigido al sector aeroespacial de EE.UU. y la industria.

Jaime Blasco, director de los Laboratorios AlienVault reveló que uno de los archivos adjuntos de Office utilizan para realizó la hazaña Flash era un Instituto 2013 de Ingenieros Eléctricos y Electrónicos (IEEE) Calendario Conferencia Aeroespacial.

Otra muestra aislada es una “Guía de referencia rápida del Empleado” en relación con un sistema de nómina en línea, el Automatic Data Processing (ADP), utilizado por varias compañías en los EE.UU., como Alcoa.

El análisis propuesto por FireEye reveló detalles interesantes, a pesar de los archivos de Word están en Inglés la página de códigos de archivos de Word son “Windows chino simplificado (China, Singapur)”. Los archivos de Word contiene una macro para cargar un objeto incrustado SWF flash, los archivos flash contener varias clases de ActionScript para Flash que los controles específicos y versiones del sistema operativo y el código específico para activar el exploit.

“Dos rarezas del malware fuera una referencia de codificación para” Lady Boyle “, un personaje de la aventura,” deshonrado “. Los autores tampoco ofuscar el archivo Flash malicioso, dejándolo abierto a la detección por firmas de antivirus genéricos “.

También en este caso, el código malicioso fue firmado digitalmente con un inválido certificado digital de la compañía de juegos coreano, MGAME Corporation, se utilizó el mismo documento digital para firmar PlugX herramienta de acceso remoto (RAT) en ataques anteriores sobre las organizaciones no gubernamentales, de acuerdo con AlienVault.

“Lo hemos visto docenas de certificados de veces en el pasado, como parte de los ataques dirigidos incluidas las ONG a firmar varios archivos RAT incluyendo PlugX”.

El mismo ejecutable en sí cambia el nombre para tratar de hacerse pasar por el proceso de actualización de Google.

La situación es muy preocupante, la explotación de vulnerabilidades de día cero deja a los sistemas vulnerables de destino. Afortunadamente no es tan fácil de descubrir en día-cero y en la mayoría de los casos, sus hazañas están relacionados con los ataques patrocinados por declarar . Estas ofensivas son generalmente operación estructurada susteined por intensas investigaciones encaminadas a descubrir una enorme cantidad de vulnerabilidades para explotar durante los ataques, campañas como la famosa Operación Aurora y el más reciente proyecto Elderwood .


Que tecnicas o vulnerabilidades usan fallas en conjunto?

febrero 12, 2013

 

Upload Mysql

Esta tecnica se basa  en un comando de MYSQL el cual se apoya del permiso FILE asignado en los diversos usuarios [root] para que puedan ejecutar los comandos [Into outfile/*/ Load_file()], los cuales se ejecutaran por consultas arbirtrarias con la muy conocidad vuln [SQLI].


———————————————————————————————————————————–




Para llevar a cabo el anterior metodo, es necesario el apoyo de informacion adicional, aqui es donde se afirma lo escrito anteriormente, en el cual necesitaremos el trabajo en conjuunto de fallas, que ayudaran a que se logre su objetivo final.

La informacion adicional necesaria para realizar el metodo de upload mysql  es la ruta raiz o DocumentRoot, que es la ruta desde la cual se es montado toda la estructura del sitio web segun la configuracion de su ADMIN. Esta es necesaria para poder subir archivos y dejarlos ejecutando en el servidor para el beneficio que requiera.

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
“/home/usuario/web1/htdocs/path1/archivomalicioso.php”

 Resultado:

http://servidor/path1/archivomalicioso.php

Si no sabemos esa ruta, no podriamos subir un archivo debido a que no estamos definiendo en donde sera su destino.

————————————————————————————-

Directory Transversal

Esta vulnerabilidad se basa principalmente en obtencion archivos mediante rutas, aunque se puede explotar a ciegas jugando un poco al “reverse” [../../../] de directorios, pero si esta vulnerabilidad la apoyamos con un “error informativo” que nos de la Full Path Disclosure?… Seria mucho mas facil, incluso seria un poco mas peligroso y explicito, ya que podria navegar de raiz a rama [Metaforicamente]

Los errores que nos pueden ayudar son del tipo:

Pero la pregunta de todos seria… como logro saber la ruta completa?

Dependiendo del escenario armaremos el rompecabezas. Muchas veces al encontrar SQLI, el error impreso o generado tiende a ser un “Error informativo”; Ya que nos muestra FPD (Full path disclosure) entre otros datos que nos podrian servir para mas adelante.


Sin embargo no siemrpe es asi y hay es donde nos toca apoyarnos de otras fallas para lograr realizar el objetivo.


Este tipo de errores informativos los podemos localizar mediante google o algun crawler de preferencia, listando los archivos PHP del servidor indexados y ver sus errores.


Usando Dork basica:


site:sitio.com ext:php


Ejemplo:

  site:mensajito.tigo.com.co ext:php

Listo ya obtuvimos la path: /var/www/html/includes/common.inc.php
La explotacion seria masomenos asi:

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
/var/www/html/includes/archivomalicioso.php”

 Resultado:

http://servidor/includes/archivomalicioso.php

NOTA:  Tiende a ser necesario el Encode Base_64

Podemos enfrentarnos a un servidor mas seguro por lo tanto no indexa archivos php vuln y nos tocaria generarlos por nuestra propia cuenta.

La habitual forma para generar un full path disclosure seria jugar con las variables.
Tenemos un archivo que descarga los pdfs de la web mediante la variable ruta, la cual asigna donde se encuentran los PDF
 
Ejemplo:
Rotundamente se descargara el pdf de forma bonita y sin ningun problema…Pero que pasa si ponemos una ruta invalida?
Ejemplo:
Resultado:

Warning: fopen(31337) [function.fopen]: failed to open stream: No such file or directory in /var/www/html/documentos/descarga.php on line 9

NOTA:  En ciertos casos no se generan errores con caracteres o rutas invalidas, por eso hay que probar sin poner nada: http://www.sitio.com/documentos/descarga.php?ruta=
Magicamento obtenemos ese lindo error el cual nos ayuda a proceder en la ayuda de otras vulnerabilidades.
Bueno, tambien podemos obtener y generar errores por cabeceras, de las cuales podemos usar un BLANK o carcater en parametros para ver como responde este.
En este caso utilizaré la muy conocida web del troyano poison-ivy la cual tiene un error al dejar en blank el parametro PHPSESSID= de Cookie.
GET http://www.poisonivy-rat.com/index.php?link=download HTTP/1.1
Host: www.poisonivy-rat.com
User-Agent: 
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=
 
Respuesta
HTTP/1.1 200 OK
Date: Sat, 30 Jun 2012 09:15:35 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c
X-Powered-By: PHP/5.2.0-8+etch7
Content-Length: 7502
Keep-Alive: timeout=15, max=79
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8



Aqui utilizaré el live HTTP headers (Disculpenme usar WindSucks [Mi PC esta Dañada])

 Si enviamos el BLANK obtendremos el siguiente error
Para la visualizacion quitamos las imagenes y bingo!

NOTA: Fuente

Nuestro Resultado seria:?

1
2
3
4
5
Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/index.php on line 2
Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/index.php:2) in /var/www/index.php on line 2
Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/index.php:2) in /var/www/index.php on line 2

Hackers secuestran estación de TV en Montana

febrero 12, 2013

El KRTV.com sitio web informa de que alguien ha hackeado en el Sistema de Alerta de Emergencia y que el hacker anunció el KRTV y el CW que “Los cuerpos de los muertos se están levantando de la tumba, no se aproxime  a estos cuerpos, ya que son extremadamente peligrosos. Las autoridades locales están tratando de detener a estos cuerpos “. en varios condados de Montana.

El artículo KRTV.com tiene espacio para algunos comentarios y como se puede ver por debajo de los lectores y espectadores de KRTV están riendo sobre el hack.

Esto no quita que este es un problema grave, ya que llegar a un montón de personas que son responsables de lo que transmiten no te parece? Es una buena cosa que comunicaron el hack e informaron a sus lectores, pero el secuestrador podría haberse extendido a otro tipo de mensaje como:

La policía llama a todos a venir al departamento

Esto daría a la policía muchos problemas . ¿Qué te parece?