Cómo obtener las BBDD de la empresa atacando al jefe

Cuando se trata de hacer un ataque a los servidores internos de una empresa siempre hay que buscar un punto de apoyo en el que apuntalar el ataque. Hace tiempo, antes de que Apple arreglara en iOS 6 las opciones de seguridad por defecto en la carga de las imágenes en los correos electrónicos que se visualizaban en el cliente iOS Mail, escribí un artículo sobre cómo aprovechar esto para hacer ataques de SQL Injection a la web de la empresa usando al jefe o hacer ataques de CSRF, y después salió alguna prueba de concepto que hacía algo similar con un CSRF usando passwords por defecto y debilidades en alertas de navegadores. Pequeñas debilidades que sumadas dan owned!.

Figura 1: Cómo robar la base de datos de la empresa usando a un empleado de la organización

En este caso, para el Security Innovation Day 2014 en Eleven Paths preparamos un ataque similar, pero usando un fichero Excel, una macro VBA (Visual Basic for Applications) y una cadena de conexión con autenticación del lado del servidor. Lo explico.

Figura 2: Un panel de control para cocinar el ataque

La idea era demostrar como un atacante podría utilizar pequeñas debilidades en una empresa para conseguir robar una base de datos completa SQL Server sin ni tan siquiera hacer mucho ruido. Para ello, el primer paso es sencillo, un correo dirigido con una buena excusa, y adjuntar en él un fichero Excel.

Figura 3: El correo electrónico le llega a la víctima sin ningún aviso de seguridad

Si es un jefe, seguro que se te ocurren mil y una excusas para enviar un correo electrónico con un Excel adjunto. Así que usa tu imaginación en esta parte del proceso. Nosotros no le dimos demasiada importancia a esto, pero si encima el target tiene una configuración relajada del registro SPF podrás incluso suplantar a algún empleado interno de la empresa con facilidad.

Figura 4: El fichero se guarda en el equipo local con un Drag & Drop para evitar la alerta de zona de Internet

Una vez que el fichero adjunto se abra se mostrará una alerta indicando que hay algún contenido que ha sido deshabilitado, para conseguir engañar al usuario, de nuevo, puedes hacer uso de algún truco de ingeniería social. En este caso el truco es que se está cargando una imagen externa.

Figura 5: Falta una imagen porque no has aceptado la alerta de seguridad

Si el jefe activa el contenido, lo que realmente sucede es que se carga una macro VBA que realiza todo el trabajo. Para la demo hicimos una cadena de conexión con Autenticación Integrada, al igual que realizábamos en los ataques de Connection String Parameter Pollution. Para que el usuario se quede tranquilo, nosotros le mostramos la imagen como si fuera lo único que hubiera pasado en su equipo.

<>

Figura 6: Ahora aparece la imagen en el fichero Excel

Como para la demo sabíamos el nombre del servidor SQL Server, la forma en la que se hace la cadena de conexión es muy sencilla, pero se podría haber realizado un escaneo de toda la red al estilo de Scanner CSPP que creamos, probando a conectarse a todo el rango de direcciones IP de la red.

Figura 7: La macro que se conecta al Servidor SQL Server con Autenticación Integrada, roba los datos y los manda al C&C

Cuando encuentre el servidor SQL Server y se pueda autenticar en él con las credenciales que la víctima haya utilizado para abrir su sistema operativo Windows, entonces se podría hacer un recorrido completo por el diccionario de datos y traer absolutamente todo. Para este ejemplo, tiramos una consulta contra una tabla de la base de datos y listo, eso sí, usando el For XML al estilo de los ataques de Serialized SQL Injection.

Figura 8: Datos reportados al C&C

El último paso es fácil, reportar todo a un panel de control en la web de la forma más silenciosa o sencilla. Para esta demo no quisimos complicarlo y se enviaba como parámetro GET de una petición, lo que permitía recoger la info que había en la base de datos.

Figura 9: Ningún AV de Virus Total muestra ninguna alerta de seguridad

Al final era un pequeño ejemplo de cómo la suma de pequeñas debilidades, como fugas de información de versiones utilizadas, nombres de personas de la organización, reglas relajadas en los filtros anti-spoofing SPF, políticas de seguridad de la aplicación Excel o el uso de Autenticación Integrada en SQL Server, podrían llevar a un atacante a tener éxito en el robo de datos de tu organización de forma sencilla.

Figura 10: Bosses Love Excel, Hackers Too!  

Por supuesto, este fichero Excel cocinado a medida para este ejemplo no es detectado por ningún motor antimalware como algo malicioso o sospechoso. Solo es un Excel, pero incontable es la cantidad de cosas que se pueden hacer con él, "Bosses love Excel, Hackers Too!".


Fuente

El mejor firewall del mundo (humor)

 

1. Una célula humana contiene 75MB de información genética.
2. Un espermatozoide contiene la mitad; eso significa 37.5MB.
3. Un ml de semen contiene 100 millones de espermatozoides.
4. En promedio la eyaculación dura 5 segundos y contiene 2.24 ml de semen.
5. Esto significa que la producción de un hombre equivale 37.5MB x 100,000,000 x 2.25)/5 = 1,687,500,000,000,000 bytes/segundo = 1,6875 Terabytes/seg

Esto quiere decir que el óvulo femenino soporta este ataque DDoS a 1,5 terabytes por segundo, y solo permite que pase un solo paquete de información lo que la hace el mejor hardware firewall del mundo.

La mala noticia de esto, es que ese paquete de información que deja pasar, cuelga el sistema aproximadamente nueve meses.

- ad hominem. Lo recibí por Whatsapp y no pude contenerme a publicarlo.

Cómo evadir fácilmente el antivirus del correo de Yahoo! y varios IDS y otros antivirus

MIME describe el formato de transferencia de cualquier correo electrónico que contenga archivos adjuntos, imágenes incrustadas, etc. Este formato se remonta a los inicios de Internet y dado que los protocolos utilizados (UUCP y el actual SMTP) se basaban en texto ASCII, cualquier binario o mensaje no ASCII tenía que ser codificado previamente para el transporte. 

Para especificar el tipo de codificación se utiliza la cabecera Content-Transfer-Encoding, sirva el siguiente ejemplo:

     From: foo
     To: bar
     Subject: foobar
     Mime-Version: 1.0
     Content-type: multipart/mixed; boundary=barfoot
   
     --barfoot
     Content-type: text/plain
   
     This is only ASCII text, but the attachment contains an image.
     --barfoot
     Content-type: image/gif
     Content-transfer-encoding: base64
   
     R0lGODlhHgAUAOMJAAAAAAgICAkJCRVVFSEhIfDw8PLy8vX19fj4+P//////////////////////
     /////yH5BAEKAA8ALAAAAAAeABQAAARaMMlJq7046827/2DoFQBQcKRJpWfCSm8Vw2VrzROOr/Xd
     57/YzvWjqYjHYarEZLaERWBz+vwZAgKD72isHg+DwWFrQ3pbCAIBQeYloxhdEH6Rv+/lrvusF3ki
     ADs=
     --barfoot--

Dado que para el transporte sólo es necesaria una única codificación la especificación permite el uso de un único encabezado. Pero ¿qué ocurre si se utilizan de todas formas varios encabezados?

Veamos un ejemplo con el virus de testing Eicar, donde añadiremos dos cabeceras Content-Transfer-Encoding headers, una para el típico base64 y otra para quoted-printable: 
 

 From: foo
     To: bar
     Subject: eicar - base64 cte header preceding quoted-printable
     Mime-Version: 1.0
     Content-type: multipart/mixed; boundary=barfoot

     --barfoot
     Content-Transfer-Encoding: base64
     Content-Transfer-Encoding: quoted-printable
     Content-Disposition: attachment; name=eicar.txt

     WDVPIVAlQEFQWzRcUFpYNTQoBF4pN0NDKTd9JEVJQ0FSLVNU
     QU5EQVJELUFOVElWSVJVUy1URVNULUZJTEUhJEgrSCo=
     --barfoot--

Resulta que la mayoría de clientes de correo y los interfaces web usarán el primer encabezado, mientras que los IDS como Bro y Snort y un montón de productos antivirus sólo usarán la última cabecera. Los resultados que se detallan a continuación se basan en pruebas realizadas a 9 de octubre:

Comportamiento observado: clientes de correo, Web mail, MTA, IDS

La primera cabecera Content-Transfer-Encoding es usada por:

•     google MTA (bloquea virus directamente en la conversación SMTP)
•     gmail Web interface
•     GMX Web interface (bloqueará el correo si contiene virus, ver abajo)
•     AOL Web interface
•     Thunderbird
•     Apple Mail
•     Opera Mail
•     Perl MIME::Tools, que es usado por amavisd
•     KDE kmail
•     horde Web interface

La última cabecera Content-Transfer-Encoding es usada por:

•     mutt
•     Outlook.de Web interface (Windows Live Mail)
•     basado en el análisis del código fuente: snort 2.9.6.2. Interesante que solo acepta "Encoding" en lugar de "Content-Transfer-Encoding".
•     basado en el análisis del código fuente: bro 2.3.1

Otros comportamientos:

•    Al correo en Android parece que no le gusta el conflicto con varias cabeceras y no mostrará el archivo adjunto.
•    GMX encuentra el virus sin importar el orden de los encabezados que utilizamos y reemplaza el correo afectado por un correo informativo acerca de la infección por el virus
•    AOL MTA encuentra el virus también en ambos casos y bloquea el correo inmediatamente en el diálogo SMTP. Bien hecho!

  
Comportamiento observado: productos Antivirus

Los productos de antivirus muestran una gran variedad de comportamiento. Se han probado mediante virustotal.com con archivos en formato mbox o RFC822. Cualquier motor que no encontrara el virus Eicar en cualquiera de estas pruebas fue ignorado, ya que parece no entender estos formatos. resultados: 

•     El escáner de virus Rising sólo encontrará el virus si se da una sola cabecera.
•     7 productos antivirus sólo comprueban el primer encabezado y por lo tanto están en línea con la mayoría de los clientes de correo: Jiangmin, Kaspersky, Panda, Symantec, TrendMicro, TrendMicro-HouseCall, Zoner.
•     12 productos antivirus sólo comprueban la última cabecera y se comportan de este modo contrario a la mayoría de clientes de correo, lo que hace posible el fraude: Agnitum, Avast, Avira, Comodo, Cyren, DrWeb, ESET NOD32-, Fortinet, F-Prot, NANO-Antivirus, Tencent, VBA32.
•     11 productos detectan el virus independiente del orden de las cabeceras y por lo tanto no pueden ser evadidos de esta manera, no importa qde correo utilizado: BitDefender, ClamAV, a-squared, F-Secure, GData, Ícaro, McAfee, McAfee-GW-Edición , Microsoft, MicroWorld-eScan, Sophos.

El comportamiento más divertido: Correo Web de Yahoo!

El MTA de Yahoo parece no tener incorporado el análisis de virus, pero la interfaz de correo Web utiliza Norton de Symantec para escanear los archivos adjuntos antes de la descarga. El problema es que la interacción entre el antivirus y la descarga es totalmente independiente lo que permite la evasión inmediata del escáner antivirus:

•      El antivirus analiza la última cabecera Content-Transfer-Encoding y por lo tanto no va a encontrar el virus en nuestro correo de ejemplo.
•      La descarga de los datos adjuntos mirará la primera cabecera Content-Transfer-Encoding y por lo tanto el contenido (el virus) será descargado correctamente.
•      La vista previa del correo usará de nuevo la última cabecera.

El problema se comunicó a Yahoo a través de hackerone en 09/10/2014, pero lo cerraron como "no se corregirá", porque dijeron "Ya estamos al tanto de esta funcionalidad en nuestro sitio y estamos trabajando en una solución.". No se recibió respuesta cuando le preguntaron si era buena idea publicar el fallo. La última vez que se comprobó (28/10/2014) el bug seguía allí.

Fuente: http://noxxi.de/research/content-transfer-encoding.html

Facebook y el extraño caso poder de ver las fotos de personas que no son tus amigas

Hace unas semanas me topé con una historia divertida sobre privacidad en Facebook que me sacó una sonrisa. No era muy activo como usuario de Facebook y por eso maté mi cuenta personal, que convertí en mi página Facebook donde publico los posts de nuestros blogs y poco más. Por allí, uno de los lectores llamado Rubén me contactó y me preguntó si conocía el "bug" que permitía ver las fotos de la gente que no es amiga tuya.

Figura 1: ¿Cómo ver las fotos que en Facebook gente que no es amiga tuya?

Inicialmente pensé en el problema de indexación de Facebook con las fotografías en Google, pero resultó ser que no, así que me envió un ejemplo de "Cómo ver las fotografías de personas que no son tus amigas".

La descripción del "bug"

Como yo no lo conocía, Rubén  me envió un paso a paso para que lo entendiera. Todo comienza con una búsqueda de un perfil cualquiera en Facebook, en este caso, el de alguien llamado Rafa.

Figura 2: Perfil de Rafa localizado buscándolo

Una vez que se está en ese perfil se va a ver las fotografías que tiene públicas, y como puedes ver no aparece prácticamente ninguna, con lo que no hay mucho que ver.

Figura 3: No hay fotos de Rafa

Para conseguir ver las fotos hay que irse a las Opciones de Configuración de la cuenta de Facebook y modificar el idioma a Inglés.

Figura 4: Configuración de cuenta

Para ello, en donde esté configurado nuestro idioma como Español, se pone Inglés de Estados Unidos y se da a guardar.

Figura 5: Configuración inicial de la cuenta

Figura 6: Cambio de idioma a Inglés

Una vez que el idioma ya se ha guardado correctamente, todas las opciones de la cuenta estarán en perfecto Inglés.

Figura 7: Cuenta ya configurada en Inglés de Estados Unidos

Ahora hay que ir atrás en la navegación para volver a la página de búsqueda, donde aparece el cuadro de dialogo de buscar.

Figura 8: Hay que volver atrás en la barra de navegación

Solo hace falta poner el cursor sobre él, y como recuerda la búsqueda anterior, saldrán las opciones de ver las fotos de Rafa, tanto las suyas como las que le gustaron, las que comentó, etcétera.

Figura 9: Cuadro de búsqueda. Hay que hacer clic en el cuadro de dialogo.

Figura 10: Opciones de búsqueda de fotos de Rafa

Y se podrá por supuesto visitar todas y cada una de ellas que nos vaya mostrando Facebook.

Figura 11: Fotos que le gustan a Rafa

La historia por detrás con su explicación

Como tengo conocidos en el equipo de seguridad de Facebook, le pregunté a Rubén si le importaba que se lo contase a ellos a ver qué explicación había y él me dijo que sí, así que hablé con mi contacto allí y tras leerse el paso a paso me dijo.

"No es nada, es solo que la función de Graph Search está solo en inglés, por eso solo le salen las fotos solo cuando el idioma está en inglés. Nada más."

En definitiva: No es un Bug, es un sistema de búsquedas que solo está disponible en inglés, pero respetando la privacidad de las configuraciones de las cuentas. Como puedes ver yo soy un noob usando Facebook. Se lo conté a Rubén, que también se quedó con la copla y todo resuelto. Lo mejor de todo es que yo no conocía este detalle, y desde esta historia me he dado cuenta de que merece la pena tener el idioma de Facebook en Inglés de Estados Unidos, pues gracias a Graph Search se puede sacar mucha más información de la que yo inicialmente pensaba, así que no es un "bug", pero sí una gran feature... solo en Inglés.

Fuente

Reproduce video y audio mediante Excel

¿En tu entorno de trabajo tienes una máquina con acceso restringido a cualquier reproductor multimedia?, ¿estas en un entorno Citrix y tu terminal tonto sólo tiene acceso a un conjunto de aplicaciones muy limitado? Por fin vas a poder trolear a gusto y ver los vídeos que a ti te apetezca... porque seguro que si te dejan ejecutar Excel ¿verdad? 

Pues ahora y gracias al "Redditor" AyrA’s puedes explayarte a gusto y ver los vídeos a través de una hoja excel con las macros (VBA) listas para llamar al API de Windows, abrir Window Media Player y tostar tus más oscuras fantasías audiovisuales:
 

https://github.com/AyrA/ExcelStuff

Doxing y las zonas de seguridad de Microsoft Outlook

Las técnicas de Doxing se utilizan para desvelar identidades ocultas en la red. Saber quién está detrás de un perfil falso de Facebook, quién es el que maneja una cuenta de Twitter o el que está detrás de un correo electrónico. El objetivo de todas estas técnicas de doxing es poder averiguar nueva información de la persona detrás de la cuenta. Una nueva dirección IP, un número de teléfono o una versión de software pueden ayudar a avanzar en una investigación y por tanto son muy delicadas y codiciadas todas las nuevas técnicas que se conocen a este respecto.

Algunos ejemplos de doxing

Por ejemplo, la fugas de información por metadatos han ayudado a resolver muchos casos en el pasado, como el ejemplo de las notas de prensa de anonymous o el de la filtración del ERE del PSOE a lo medios. 

Figura 1: En el cliente Mail de iOS se revelaba la dirección IP, y en el USER-Agent la info del dispositivo

Pero no solo eso, por ejemplo los bugs de seguridad que permitían utilizar técnicas click to call en las apps de iOS dejaban a un atacante la posibilidad de conseguir la revelación del número de teléfono, o la carga insegura de imágenes en correos electrónicos, como vimos en el cliente iOS durante mucho tiempo, podría ser utilizado para localizar siempre a una persona.

Un ejemplo de doxing con un documento Microsoft Word

Para el último Security Innovation Day le dedicamos una pequeña parte de una de las charlas a esto, y en concreto a sacar a la dirección IP de una conexión forzando un callback home con un documento Microsoft Word especialmente creado para cargar una imagen remotamente - desde una máquina controlada - sin que le diera una alerta al usuario que abría el documento.

Figura 2: Un documento de Microsoft Word para hacer Doxing

Sin embargo, si el documento es abierto después de haber llegado por Internet, ya sea por el correo electrónico o descargado por medio de un navegador para conectarse a la web, entonces el documento al ser abierto muestra una alerta genérica de seguridad, tal y como puede ser visto.

Figura 3: Alerta de Seguridad en Microsoft Word por la seguridad de la zona

En nuestra demo, esta alerta salía porque para el ejemplo enviábamos el documento como adjunto de un correo electrónico que es enviado a la víctima, y tanto si haces doble clic sobre el fichero adjunto como si guardas el fichero con las opciones del menú contextual y lo abres después, la alerta indica que el documento viene de Internet y puede ser peligroso.

Figura 4: Zonas de seguridad en Outlook

Esto lo explica Sergio de los Santos (@ssantosv) en su libro de Máxima Seguridad en Windows cuando muestra que las Zonas de Seguridad de Internet Explorer también existen en Microsoft Outlook, como cliente de un servicio de Internet que es. Así, estas se pueden igualmente personalizar y configurar para decidir cuáles deben ser los controles a aplicar.

El drag & drop y el cambio de zona de seguridad

El asunto está en que, si el documento que viene como adjunto, en lugar de ser abierto haciendo doble clic o usando la acción de guardar de Microsoft Outlook, es extraído mediante un drag & drop, es decir, arrastrando el documento desde el adjunto del correo electrónico hasta, por ejemplo el escritorio, todo cambia.

Figura 5: El documento es arrastrado al escritorio desde el cliente de Microsoft Outlook

Con ese proceso se ha cambiado el documento de una Zona de Internet a un Zona Local, por lo que todas las opciones de seguridad también cambian y no sale ninguna de las alertas anteriores. Esto provoca que inmediatamente, nada más abrir el documento se comunique la dirección IP al servidor controlado por el atacante y se descubra la dirección IP original.

Figura 6: El documento se abre sin alertas de seguridad y reporta la dirección IP al servidor del atacante

El problema es que los usuarios, que siempre luchan contra las medidas de seguridad que ellos consideran "molestas", puedan haber tomado como costumbre esto para evitarse la alerta de seguridad que sale en el documento, y sin darse cuenta están quitando una medida de seguridad que no solo protege frente a doxing, sino que tiene medidas de seguridad que ayudan a evitar las infecciones de malware o dificultando el éxito de exploits. Si usas Microsoft Outlook, ten presente este funcionamiento para mantener tu sistema Microsoft Windows más seguro.


Fuente

Llegan los drones con autonomía ilimitada

CyPhy Works, la nueva empresa del fundador de iRobot Helen Greiner, ha estado trabajando en secreto durante años en algo que involucra a drones y que ya hemos descubierto lo que es: UAVs que pueden operar por cantidades "ilimitadas" de tiempo. No es una especie de pila de combustible revolucionaria o una tecnología de transferencia inalámbrica de energía; más bien, si te fijas bien en la imagen de a continuación, verás que los UAVs de CyPhy están utilizando una nueva solución que en realidad es muy antigua: un cable irrompible que conecta el UAV a su estación de tierra en todo momento. 

Mi primera reacción a este sistema puede ser descrita como, "eh, ¿qué?" Quiero decir, ¿un cable? Los cables para robots remotos se utilizaban antes de que tuviéramos las comunicaciones inalámbricas y las baterías. Sin embargo los cables de sujeción tienen una serie de ventajas importantes: pueden transmitir vídeo en alta definición a través de ellos y se pueden enviar comandos y recibir datos de los sensores de forma rápida y fiable. Además no hay que preocuparse por interceptaciones e interferencias o por la cobertura GPS. Y quizás lo más importante, tener una conexión física con el dron te permite enviar energía al mismo, que es donde la "duración ilimitada" entra en juego.

Esta es la novedad, pero hay una gran desventaja al estar atado como una cometa: estar atado. Por eso en CyPhy hablan siempre de microfilamentos porque la palabra "atadura" implica exactamente lo que estás pensando: algo que restringe el movimiento. Sin embargo, no tiene por qué. Como Greiner describe el sistema de AUVSI:

"El mayor problema con los robots terrestres hoy en día es que los mandan dentro de un edificio, se van a bajar las escaleras, no hay comunicaciones, van alrededor de la esquina y no hay comunicaciones. Entras en un bunker y tiene cierto aislamiento y no recibe comunicaciones ", dice Greiner. "Con el filamento, básicamente, se pueden obtener imágenes de vídeo de alta definición todo el tiempo, y luego tiene las ventajas añadida de que no hay retrasos en la recepción, suplantaciones y no pueden ser interceptados." El cable de sujeción utiliza un carrete para que no se enrede. Si se engancha o se rompe, el vehículo puede utilizar su energía de la batería para volar de regreso a su punto de origen.

CyPhy tiene varias plataformas que utilizan esta tecnología. El que está en la imagen en la parte superior se llama Sistema de Acceso Extremo de Entrada (EASE) y está diseñado para funcionar en entornos interiores. Puede despegar, volar y aterrizar de forma automática, y puede hacerlo durante horas gracias a la energía que le transfieren las baterías de la estación base. Aquí hay un vídeo que creo que muestra la facilidad en la operación con su cable:
 

Otra plataforma se llama PARC (Persistent Aerial Reconnaissance and Communications). Es un diseño quadrotor más tradicional que no viene equipado con un carrete a bordo, estando destinado más para misiones de vigilancia desde un punto fijo donde se haya estacionado ("perch-and-stare"). Tiene una suspensión giroestabilizada y cámaras térmicas, y puede volar a 1.000 pies durante 12 horas de un tirón.

Por último han creado un increible drone de bolsillo que sólo pesa 80 gramos y que tiene una autonomía de dos horas durante la cual puede enviar continuamente vídeo en HD:

Los drones de CyPhy ya han sido sometidos a pruebas militares y, mientras que la compañía dice que sus productos son ideales para uso civil también, parece que el objetivo principal, al menos inicialmente, estará en la vigilancia.

Fuentes: 
- CyPhy Works Exits Stealth Mode with 'Unlimited Duration' Surveillance Drones

- New Drone Fits in Your Pocket, Flies for Two Hours

Hacking con Archive.org "The Wayback Machine"

La realización de procesos de hacking con buscadores puede dar muchas sorpresas.Shodan, Robtex, por supuesto Google o Bing pueden ofrecer resultados que no te encuentres en la página web que estas auditando, debido al momento en que el buscador hizo la prueba y la copia del sitio que se capturó cuando se hizo. Hoy le quiero echar un ojo a Archive.org "The Wayback Machine", que te puede dar también alguna alegría, y les dejo algunas cosas que puedes sacar de él.

1.- Obtener todas las URLs históricas de un sitio

El otro día, en el artículo de Técnicas para descubrir los ficheros de un sitio web, hacía referencia a Archive.org como forma de generar una lista de URLs históricas de un sitio para poder utilizarlas en un diccionario. La forma de sacarlas todas es utilizando un par de * en la URL, tal y como se puede ver en esta captura, donde aparecen las URLs históricas de consultants.apple.com.

Figura 1: 1.492 URLs capturadas para este dominio

Como se puede ver, hay que usar un par de asteriscos. Uno en la parte de la fecha de la copia, y otro después del nombre del sitio. Esta tabla es fácilmente analizable por cualquier script para sacar las URLs, y es la que meteremos en FOCA.

2.- Copias históricas del mismo archivo

Como se puede ver en la imagen, en la tabla aparece el número de copias distintas que se han recogido, así que podremos saber si hay varias aplicaciones distintas en el pasado. Por ejemplo, si filtramos por TXT los resultados para ver los cambios enrobots.txt vemos que hay 13 copias diferentes que deberemos analizar.

Figura 2: 13 copias distintas de robots.txt en Archive.org

3.- Metadatos históricos

Al igual que los ficheros de aplicaciones o el robots.txt, una de las mayores utilidades es la de poder sacar diferentes copias de los documentos ofimáticos, pudiendo obtener versiones con metadatos distintos en cada una de ellas.

Figura 3: De este documento hay 2 copias diferentes

4.- Navegar por el tiempo hasta el punto de fallo

Como todo buen buscador, puede llegar al sitio adecuado en el momento preciso, así que podría ser que incluso pillara al servidor web en algún momento con un fallo de seguridad. Así podríamos navegar por páginas web aparentemente normales, comomacameria.php en todas sus versiones.

Figura 4: MacAmerica.php y su barra de navegación en el tiempo

Y podría suceder como en este caso que una de las copias fuera pillada con el código fuente PHP del sitio entregado al buscador, y obtendríamos nuevos resultados, y nuevas URLs.

Figura 5: Una copia de MacAmerica.php en Archive.org devuelve el código PHP con comentarios y todo

Vamos, que si tienes que hacer un pentesting a un sitio web que ya lleva un tiempo en Internet, no te olvides de darte una vuelta por su pasado, no vaya a tener fotos con hombreras en el álbum de fotos o medio desnudo o con el pelo corto, traje y corbata...- oh, wait -.

Fuente

WordPress: SQL Injection Bug en Scarcity Builder Plugin

Chema Alonzo

de www.elladodelmal.com 

Hace unas semanas, un joven investigador de seguridad venezolano llamado KelvinSecurity se puso en contacto conmigo para contarme que se había topado con un bug de SQL Injection en un plugin para WordPress llamado Scarcity Builder, que se utiliza para generar contadores de marketing en sitios web creados sobre WordPress con el objetivo de que generen presión en los visitantes para forzar una acción. Cosas de la gente de marketing, ya sabes.

Figura 1: Bug de SQL Injection en Scarcity Builder para WordPress

El caso es que el bug era un 0day porque incluso la web del propio fabricante era vulnerable a este fallo, así que decidimos ponernos en contacto con los desarrolladores y se abrió un ticket de soporte. La empresa que está detrás de él, llamada Digital KickStart, solucionó el fallo y respondió con una nueva actualización del mismo, tal y como puedes ver en la siguiente imagen.

Figura 2: Confirmación de que han solucionado el bug en la versión 2.2.10

Sin embargo, el bug, que es un SQL Injection de libro y que se encuentra fácilmente usando Havij o cualquier otro escanner de vulnerabilidades web, está aún por desgracia en muchas páginas web con WordPress, ya que la empresa no ha hecho un Security Advisory o similar.

Figura 3: Explotación del bug en un WordPress vulnerable con Havij

El SQL Injection se encuentra en concreto en: 

wp-content/plugins/scarcitybuilder/shortcode/index.php?edit=

Por supuesto, con un SQL Injection como esté, se puede extraer toda la información de WordPress, incluidos, usuarios, contraseñas e información confidencial que se encuentre guardada en la base de datos o accesible desde ella en el servidor.

Figura 4: Extracción de información con el bug en el plugin Scarcity Builder

El plugin no es demasiado común - seguramente porque es un plugin de pago - y solo aparecen algo más de 800 sitios indexados en Google que lo tengan funcionando, pero el bug es tan fácil de localizar y explotar de forma automatizada que espero que hagan un aviso directo a los clientes haciéndoles entender el riesgo de no actualizar a esta versión.

Figura 5: Número de WordPress con este plugin instalado, localizados vía Google

Si tienes WordPress con este plugin, actualízalo ya. Si tienes clientes con WordPress, avísales de este riesgo de seguridad para que tomen medidas urgentes y, a ser posible, que tengan procedimientos y herramientas para actualizar automáticamente los plugins. No olvides que tienes herramientas como WPHardening para fortificar WordPress, y que tú además puedes puedes fortificar WordPress con configuraciones más seguras.

Las 15 cosas más terroríficas de hackear (infografía)

Estamos en el inicio de Internet de las cosas (IoT), donde una multitud de dispositivos interconectados presentarán un paraíso para los hackers. Una nueva infografía en Web Hosting Buzz presenta algunos escenarios escalofriantes en los que un atacante podría comprometer las tecnologías actuales que transcienden al mundo físico con el consiguiente aumento del riesgo.

Las amenazas van desde el hacking de electrodomésticos, monitores para bebés o neveras inteligentes hasta habitaciones de hotel e incluso aeropuertos y reactores nucleares.

A principios de este año, hackers comprometieron 100.000 electrodomésticos inteligentes y los utilizaron para enviar 750.000 mensajes de spam.
En abril, una pareja de Estados Unidos se despertó con el sonido de un hombre gritando "wake up baby" a través de su monitor de bebé inalámbrico.
Este verano un consultor de seguridad usando sólo un iPad fue capaz de tomar el control de las luces, las temperaturas y las persianas de 200 habitaciones de un hotel en China.
Muchos cajeros automáticos en todo el mundo siguen utilizando el obsoleto Windows XP. 
En junio de dos escolares canadienses hackearon los cajeros automáticos de Montreal antes avisar del riesgo al banco.
Los automóviles de hoy en día contienen 50 o más unidades de control electrónico y los hackers pronto serán capaces de desbloquear y arrancar el vehículo mediante el envío de un sencillo SMS. Ya se ha demostrado que es posible hackear cualquiera de los equipos de baja potencia en un auto moderno en menos de 10 segundos.

Hasta aquí en Tester´s ya hemos demostrado que muchos de los gadgets que tenemos en casa hoy pueden ser comprometidos.
Por no hablar de que las consecuencias podrían ser aún más importantes si tenemos en cuenta las plantas de energía, los equipos médicos e incluso los aviones que están ahora conectados a Internet...

Esta es una infografía no para generar temor, si no para que los fabricantes tomen conciencia y dediquen sus recursos a mejorar la seguridad de los productos (vaya semana llevamos de reivindicaciones XD):

Fuente: The 15 most hackable and terrifying things (infographic)