androrat: un troyano RAT para Android

Androrat es un RAT (Remote Administration Tool) de código abierto para Android. Se trata de una aplicación cliente-servidor desarrollada en Java (Java Android para el cliente y Java/Swing para el servidor) por un equipo de cuatro desarrolladores universitarios en tan sólo un mes. Por lo tanto es casi una prueba de concepto, si bien es bastante funcional ya que en sus primeras versiones puede:


- Obtener los contactos (y toda la información de ellos)
- Obtener los registros de llamadas
- Obtener todos los mensajes
- Localización por GPS / Red
- Monitorizar mensajes recibidos en tiempo real
- Monitorizar el estado del teléfono en tiempo real (llamada recibida, llamada enviada, llamada perdida ..)
- Tomar una fotografía desde la cámara
- Obtener el sonido del micrófono (u otras fuentes ..)
- Obtener el streaming de vídeo (sólo para clientes basados en actividad)
- Enviar un mensaje de texto
- Relizar una llamada
- Abrir una URL en el navegador por defecto
- Hacer vibrar el teléfono

La aplicación Android se ejecuta como un servicio (no una actividad) que se inicia durante el arranque. Por lo tanto el usuario no tiene que interactuar con el servicio (si bien hay una actividad de depuración que permite configurar la dirección IP y el puerto de conexión).
La conexión con el servidor puede ser desencadenada por un SMS o una llamada (configurable).

Vulnerabilidad XSS en PayPal.com

Leyendo las listas de Full disclosure llama la atención una vulnerabilidad XSS (Cross-Site Scripting) que todavía seguia presente el 27/05/2013 en la web de búsqueda de PayPal:

https://www.paypal.com/es/cgi-bin/searchscr?cmd=_sitewide-search

Simplemente para reproducirla hay que insertar el siguiente javascript en el cuadro de búsqueda:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--

    </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

Y digo que llama la atención porque Robert Kugler es un estudiante alemán de 17 años que no ha podido optar al programa de recompensas de Paypal por ser menor de edad. Algo que conviene recapacitar puesto que cada vez los investigadores de seguridad son más jóvenes. Quizás sería conveniente pensar en otras formas para que los menores de 18 años puedan acceder a la compensación, ya sea mediante un representante o mediante otras vías...

(Fuente | HackPlayers)

LAS 10 AMENAZAS A LA SEGURIDAD INFORMÁTICA MÁS DESCUIDADAS.

Son trucos a los que no se les presta atención pero que pueden abrir las puertas a los ciberdelincuentes para acceder a datos valiosos de las organizaciones. Se supone que los encargados de seguridad informática de las empresas tienen una política, que incluye procedimientos para resguardar los sistemas y las redes de las compañías. Parches al día, antivirus con sus bases de códigos maliciosos actualizadas, un firewall (cortafuegos) en regla, documentos encriptados y un personal capacitado en el uso seguro de estas herramientas pueden dar la falsa sensación de estar protegido ciento por ciento.

Pero un descuido puede tirar todo esfuerzo o plan por la borda, y poner en riesgo a la información y a las comunicaciones de una organización. Y en general se trata de amenazas a las cuales no se les prestas atención. Algunas son tácticas provenientes de la delincuencia en el mundo físico, que rinden sus frutos en el universo de los bits y que no están habitualmente incluidas en los planes de seguridad.

No se trata de amenazas críticas, como el virus Kamasutra que infectó a miles de computadoras el 3 de febrero, aunque se las puede considerar como las cabeceras de playa que plantan los ciberdelincuentes para llegar a los botines mayores.

Estas amenazas son descriptas en un documento elaborado por el especialista en seguridad informática Andrew Bycroft, quien cuenta con una certificación CISSP, considerada como una de las máximas acreditaciones en el tema que otorga el consorcio International Information Systems Security Certification (ISC). El documento fue publicado por el sitio especializado Infosec Writers.

Las diez prácticas que atentan contra la seguridad que describe Bycroft son las siguientes:

Proteger Contra Escritura los Dispositivos USB en Windows.

Por diferentes razones podemos necesitar proteger contra escritura los dispositivos USB que se conecten a nuestro equipo (Distribución de Malware, Robo de información, etc). Pero para nuestro intereses particulares (Análisis Forense Digital) requerimos mantener en la mayor medida de lo posible, la no alteración de la evidencia informática. Es por ello que veremos como de manera rápida y efectiva, podremos proteger contra escritura los dispositvos USB que contengan evidencia y que sean objeto de una investigación o de un análisis forense digital.

Saltandose captchas con Shell Scripting como un “vago” [captcha_cracker_neobits.sh]

Hace un tiempo ya les hable de como “Crear un captcha básico con PHP y GD explicado desde cero” y En esta ocasión les hablare sobre como bypassear captchas y lo que se necesita para lograrlo…Hace unos días navegando en un pagina importante de un instituto, me encontré con un captcha y dije; “Pff se ve bien fácil de bypassearlo”. Hasta ahí todo normal, cuando me encuentro con el siguiente mensaje:

Encontrarme con ese mensaje es la inspiración de este post (Realmente este captcha es INMENSAMENTE FÁCIL pero aún así me servirá de ejemplo… Así que veamos si podemos hacer un “bot” que SI sea capaz de bypassear esa “verificación”

Posiblemente algunos se pregunten por que en el titulo dice… ”como un vago” Esta entrada esta mas enfocada al análisis y  limpieza de captchas mas que nada…No tanto a la inteligencia artificial (Eso de la inteligencia a mi no se me da para nada) por eso es que no haremos un bot manual que identifique patrones con IA, si no que usaremos algunos programas ya creados y conocidos para esta tarea de OCR.

Contraseñas Por Default Un Riesgo Que Afecta Directamente Un Sistema.

Siempre me preguntan muchas veces "men como hiciste para hacer tal cosa" o "men enséñame a hacer esto", la verdad es que muchas veces no solo basta con el saber hacer cierta actividad, hay algunas que exigen imaginación y creatividad en el hacking esto es muy valioso... siempre me invento cosas al azar asi como que "huy yo se hacer cierta actividad pero que tal si yo ademas de eso muevo tal cosa y le agrego mas", la formula esta en "imaginación + creatividad + suerte" en realidad no se si me entiendas ya les explicare a que me estoy refiriendo con un pequeño ejemplo.

hace mucho publique un tutorial en youtube sobre una tool que me gusta mucho se llama whatweb, ya la trae backtrack en su caja de tools por defecto.

WhatWeb reconoce las tecnologías web, incluyendo los sistemas de gestión de contenidos (CMS), plataformas de blogs, estadística/paquetes de análisis, bibliotecas de JavaScript, servidores web y dispositivos embebidos. WhatWeb tiene más de 900 plugins, cada uno a reconocer algo diferente.

Las Famosas APT's (Advanced Persistent Threats).

¿Que Son Las APT's?

Las advanced persistent threats (APTs) son una categoría de malware que se encuentra totalmente orientado atacar objetivos empresariales o políticos. Todos los APTs tienen algunas características en común, pero sin dudas una de las mayores características es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas.  Sin embargo, en su nombre en ningún momento aparece la palabra “sigilosa” (en inglés Stealth), advanced persistent threat hace referencia a tres características muy importantes en este tipo de malware sin importar la diferencia que pudiera existir en todas las definiciones que podemos encontrar en Internet.

Se les llama avanzadas (en inglés Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios métodos de ataque, propagación u ocultamiento en el sistema. Así mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza única, sin precedentes, generadas desde la nada misma, evitando herramientas de construcción de malware. Por ejemplo, en el caso de Stuxnet se han logrado identificar al menos 20 tipos de codificación distinta, evitando la posibilidad de obtener un perfil de su programador. Se les llama persistentes (en inglés Persistent) ya que sus creadores toman muy en serio su objetivo. Quienes tienen la tarea de desarrollar una APT, no buscan un rédito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa se encontró residiendo dentro de algunas empresas por más de un año. Se les llama amenazas (en inglés Threat) debido al nivel de coordinación humana involucrada en el ataque. A diferencia de otras piezas de código totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagas.

Nueva vulnerabilidad CSRF en LinkedIn.

Vicente Aguilera, socio fundador de ISecAuditors, ha publicado una interesante PoC sobre una nueva vulnerabilidad CSRF (Cross Site Request Forgery) en LinkedIn que podría permitir a un atacante acceder a la información de cualquier contacto sin el conocimiento/consentimiento del usuario afectado.

Los pasos son los siguientes:

Nuevo exploit para el escalado de privilegios local en Linux.

En abril, los desarrolladores de Linux solucionaron un puntero declarado incorrectamente en el kernel. Sin embargo parece que pasaron por alto las posibles implicaciones de seguridad de dicho fallo - en particular el hecho de que es posible acceder a casi cualquier área de memoria utilizando un event_id adecuado.

En cierta manera los desarrolladores lo solucionaron sólo parcialmente y declararon el bug como un agujero de seguridad oficial (CVE-2013-2094) después de que se publicara el exploit que demostraba que cualquier usuario loggeado en el sistema podía llegar a tener acceso como root de esta manera.

El fallo afecta a cualquier kernel cuya versión esté entre la 2.6.37 y la 3.8.9 y haya sido compilado con la opción PERF_EVENTS, al parecer el caso de muchas distribuciones. ¿Qué distribuciones exactas se ven afectadas? Pronto lo sabremos cuando empiecen a liberarse las actualizaciones de seguridad correspondientes. El experto en seguridad en Linux Brad Spengler ha publicado un análisis detallado del exploit que no conviene perderse.

Tu privacidad en peligro por culpa de las conexiones WiFi

Hace tiempo que quería escribir sobre este tema que me tiene dando vueltas a la cabeza, y no es otra que la privacidad de las personas y las redes WiFi que frecuenta. En un titular, la idea es que alguien puede saber qué lugares frecuentas - incluido dónde vives - gracias las redes WiFi que busca tu dispositivo. Es decir, saber en qué ciudades has estado, en que hoteles, en qué bloques de edificios o en que restaurantes has comido, siempre que te hayas conectado a una red WiFi allí y no hayas tenido la precaución de eliminarla.

Esta afirmación tiene muchos detalles importantes, así que voy a intentar ir por partes para no dejarme nada, y poder llevaros a una conclusión final entendible. Comencemos por un fallo de seguridad en los dispositivos iOS, Android y los equipos Mac OS X - seguro que alguno más también, pero no los Microsoft Windows -, como aperitivo.

Búsqueda de redes WiFi

Cuando una red WiFi expone su SSID (su nombre) mediante la difusión de Beacon Frames, no es necesario que ningún equipo cliente vaya buscándola incansablemente. ¿Qué ganaría?. El equipo sólo podría conectarse a ella si la red está emitiendo Beacon Frames que indiquen que está activa.

Sin embargo, aunque la red no esté oculta, los equipos con iOS, Android o Mac OS X, buscan insaciablemente todas las redes a las que se han conectado alguna vez, lo que permite a cualquier atacante que escuche los mensajes Probe de estos dispositivos, saber a qué redes se ha conectado alguna vez ese dispositivo.

Figura 1: SSIDs buscados por un iPhone

Si a esto le sumamos que ni iOS, ni Android, ni Mac OS X validan el BSSID - y la validación BSSID es importante -, los hacen más que propensos a los ataques de Rogue AP, pero esa es otra historia de la que ya hemos hablado por aquí hace tiempo.

En el caso de los sistemas Microsoft Windows esto no es así. Si un equipo con Windows 6.X {Vista, 7 u 8} tiene configurada una red WiFi, este equipo no emitirá un mensaje Probe si la red no está emitiendo los Beacon Frames, con lo que no descubrirá nunca a qué redes se ha conectado en el pasado. Como debe de ser para proteger la seguridad de un cliente.

Corto “Reach”, sencillo pero lleno de mensajes

Este corto de Luke Randall se ha llevado varios premios (más de 20),  pero no sólo por su animación (aparentemente sencilla), sino por los mensajes de la condición humana que nos quiere transmitir.

Por ejemplo, se puede interpretar al robot como una nueva versión de Ícaro, impulsado por su propia soberbia. También podemos ver las frustraciones del ser humano, la mortalidad o incluso un mensaje sobre los límites de la tecnología.

Simplemente genial...

(Fuente | Io9)

El mayor robo bancario en la historia, los hackers robaron $ 45 millones de dólares en cajeros de 27 países.

En cuestión de horas, un grupo de hackers robó 45 millones de dólares en cajeros automáticos de todo el mundo, Las autoridades estiman que realizaron 40 mil 500 retiros de dinero en 36 mil cajeros de 27 países.

"Fue un atraco bancario del siglo XXI que llegó a través de internet para abarcar el mundo, pero en vez de armas y máscaras, esta organización de la ciberdelincuencia usó computadoras portátiles y malware", dijo Loretta Lynch, fiscal de Nueva York.

La red criminal intervino dos bancos en Emiratos Árabes y Oman; su objetivo eran tarjetas de débito prepagadas a las que alteraron el límite de disposición de efectivo para retirar la mayor cantidad posible de dinero. Después, sus cómplices en ciudades de todo el mundo consumaron el robo. Así ocurrió en Nueva York.

"Su trabajo era retirar millones de dólares de los cajeros ATM dentro y fuera de Nueva York usando números de tarjetas de crédito prepagadas que habían robado mediante sofisticadas técnicas de hackeo, señaló Loretta Lynch, Fiscal de Nueva York.

Actuaron en dos ocasiones: en diciembre del año pasado sustrajeron cerca de cinco millones de dólares y en febrero, 40 millones, En Nueva York, robaron casi tres millones, es decir, perpetraron el segundo mayor asalto bancario en la historia de la ciudad.

Las autoridades locales identificaron a ocho sospechosos; siete de ellos ya fueron arrestados; el otro, considerado su líder, fue asesinado en República Dominicana, Sin embargo, se trata sólo de una célula de lo que podría ser la mayor red de asaltantes cibernéticos descubierta hasta ahora.

Cómo resetear la contraseña de Windows con Ubuntu.

Se acabó el puente de mayo y tras un periodo corto de desconexión, llega la noche y abro la tapa de mi viejo portátil y... "ups! no recuerdo la contraseña de mi administrador local de Windows. La cambié recientemente y creo que quemé demasiadas neuronas en vacaciones como para acordarme..."

La verdad es que esto ocurre frecuentemente. Seguro que alguna vez has olvidado la contraseña del administrador local de Windows y la has tenido que cambiar por esa u otra oscura razón inconfesable ;)

Restaura páginas web después de un hackeo en menos de un minuto con git.

Git es un sistema de control de versiones muy de moda ahora entre desarrolladores, fue escrito por y para programadores. Sin embargo al verlo funcionar puedes darte cuenta de su potencial en aplicaciones distintas a la programación, como la seguridad de un sitio web y la posibilidad de revertir cualquier intervención en milisegundos.