Actualización de seguridad para Drupal.

Hola a todos,

Salió una nueva versión de Drupal, que contiene parches de seguridad. Resuelve problemas de XSS, inyección SQL y CSRF, pero nada super grave que yo pueda ver.

Mas detalles acá: https://www.drupal.org/SA-CORE-2015-003

Pronto voy a sacar una versión nueva de droopescan.

Un abrazo,
Pedro

Hackeando Servidores IPMI

你好!!!!!!

Paradójicamente, a mas tiempo tiene uno para trabajar en seguridad, uno tiene menos tiempo para escribir posts; sobretodo lo que falta no es tiempo sino fuerza de de voluntad para sentarse a escribir un reporte mas.

Una vez dicho eso, en el momento que uno escribe algo, es porque aprendió algo mas interesante y como van a ver en este caso, algo que sirve para hacer muchísimo mas daño.

Es importante que los administradores de sistemas tengan esto en cuenta a la hora de deployear servidores IPMI. Estos PCs se encargan de controlar el hardware de un data center. En general, comprometer el servidor IPMI le permite a uno reiniciar servidores y, en circunstancia, ejecutar código en todos los servidores que el servidor administra.

La vulnerabilidad es una de las buenas, porque no es una vulnerabilidad: se trata de una funcionalidad que los diseñadores de la version 2.0 del protocolo pusieron ahí a propósito, que permite a un atacante remoto obtener un hash de la contraseña de cualquier usuario del server.

Mas información respecto al bug puede leerse acá. La versión TL;DR es:

 El protocolo RAKP en la especificación IPMI permite a cualquier persona la utilización de comandos IPMI para obtener un hash HMAC IPMI que puede ser crackeado de manera offline.

Ambos hashcat y john the ripper soportan este tipo de hash, y pueden crackearlo a velocidades rápidas (20.000.000+ pw/sec).

Se pueden obtener estos hashes utilizando el modulo de metasploit llamado “auxiliary/scanner/ipmi/ipmi_dumphashes”. Su uso es moderadamente sencillo y no voy a describirlo acá.

Por mas información, se pueden referir a este artículo de Rapid7, que entra mas en detalle.

Un abrazo,
Pedro

Vulnerabilidad CRITICA OpenSSL

Hola a todos,

Escribo este post para advertir respecto a la vulnerabilidad recientemente descubierta en OpenSSL (CVE-2014-0160).

Extremadamente importante actualizar todo tipo de software, especialmente del lado del servidor. El bug permite a un atacante obtener contenidos de la memoria sin dejar rastros, por lo cual en sistemas en los que la seguridad es una prioridad, este es un buen momento para rotar llaves privadas.

EDIT: WordPress me cago la indentación y caracteres varios. Recomiendo obtener el codigo para atacar servidores de aca, aca hay un modulo de metasploit. Aca hay información teórica sobre el bug.

Este es el código para atacar clientes, y esta es la informacion teórica respecto al ataque contra clientes.

EDIT 2: Mucha mas informacion acá.

Bitcoins y Mt. Gox.

Mt. Gox, una compañía japonesa que se dedicaba a intercambiar bitcoin por dólares, yenes y euros, se declaró en bancarrota hace un par de días.

Esto llevó a una tormenta de artículos declarando el fin de bitcoin por 5ta vez en su historia. “Bitcoin esta en quiebra”, “El presidente de la corporación detrás de bitcoin se robó todos los fondos”, declaran los diarios.

No es que la comunidad de bitcoin no haya pasado por esto antes: en la “burbuja” del 2011, cuando el precio llegó a precios impensables y luego pasó a valer mucho menos, o en la burbuja del 2013, donde cada bitcoin llegó a valer $1200 y luego llegó a $700.

Los precios suben y bajan hasta tal punto que la crítica dice que jamás sería posible que bitcoin sea un medio de intercambio de valores viable debido a su estabilidad. Si hoy compro una televisión, y luego la moneda que usé vale 10.000 veces mas, dicen, esto va a causar que la gente deje de consumir cosas.

Por otra parte, se han visto numerosos artículos en la prensa, que indican que desafortunadamente, el fin de bitcoin llegó. Por quinta vez, esto indica una grave carencia por parte de los medios a la hora de cultivar fuentes, y, mas importantemente, entender nociones básicas sobre bitcoin.

Intentar ver el futuro de bitcoin es, en mi opinión bastante dificil. Sin embargo, quisiera agregar dos párrafos a la conversación.

Respecto al valor de bitcoin como moneda de intercambio, sin llegar a hacer una analogía muy complicada, uno podría decir que de la misma manera nadie compraría jamás una computadora, pues no tiene sentido comprar una computadora hoy si mañana me podría comprar una computadora mucho mas potente y mucho mas pequeña.

Uno compra una computadora porque necesita leer su correo electrónico y jugar juegos. En mi opinión, uno va a gastar sus bitcoin porque tiene hambre y tiene que pagar el alquiler.

Quisiera agregar también, que bitcoin no es una compañía, ni tampoco una simple moneda especulativa. El protocolo de bitcoin es un avance criptográfico que permite resolver el problema de los dos generales, y tiene muchísimas aplicaciones mas allá de ser un medio de intercambio de valores que no puede ser interferido, inflado y desinflado artificialmente al beneficio de diversas entidades.

Aunque bitcoin fallase, aún no podemos imaginarnos las implicaciones que trae el protocolo, de la misma manera que no podíamos imaginarnos de que manera el Internet iba a impactar nuestra vida hace 20 años.

Android Libre

¡Hola a todos!

Les quería comentar una anécdota, me pasó el otro día que iba caminando por la calle y me encontré un celular, el día de Guy Fawkes, que es un festejo raro que se hace en estos países por los que ando. Cuestión que la gente se emborracha muchísimo y va por la calle perdiendo celulares, aparentemente.

No era un celular muy bueno, mas bien de esos baratos, pero tenía instalado un Android. Por supuesto que el primer impulso fue intentar llamar al dueño por teléfono para devolverle el celular, pero el celular estaba protegido con contraseña y no lo pude acceder sin resetear el celular a su configuración por defecto, así que procedí a hacer eso. Eso me permitió acceder a los contactos del señor, pero así y todo no me pude poner en contacto.

En lo personal, estos celulares nuevos no me interesan en lo mas mínimo, para mi son un sistema bastante vulnerable, imposible de actualizar con la mayoría de los proveedores, y que viene con software privativo y nos niega control sobre el dispositivo, forzándonos a hacer un jailbreak, perdiendo la garantía. Considero que ese tipo de tratos entre entidades privadas y usuarios no debería de ser legal, después de todo el usuario no está pagando solo por el software, sino que principalmente por el hardware, y debería de tener el acceso que quiera.

Pero no todo esta perdido con Android. Hay una versión libre, Cyanogenmod, que en los celulares que están soportados oficialmente te ayudan a hacer el rooteo, a sobrescribir el booteo de recuperación (el recovery, en inglés), y la instalación del nuevo software. La verdad que no es nada complicado, y me parece que la instalación por defecto de Cyanogenmod es superior en muchos sentidos sobre la oficial, especialmente en el hecho de que de entrada uno tiene control total sobre el usuario root.

Hay un problema de proporciones tiránicas, sin embargo, con el ecosistema Android: Google, sabiendo bien que no podía cobrar por Android en si, al menos por las partes open-source de este, optó por hacer privativo el gestor de paquetes de Cyanogenmod, Google Play.

Esto es inimaginable de parte de Google, pero sin embargo es muy real. Es difícil imaginarse un mundo donde Debian nos permitiera acceso a sus repositorios, pero el código fuente de apt-get no estuviera disponible, y no pudiera ser distribuido en distribuciones Debian no oficiales. Este es el caso en instalaciones no oficiales Android, y esto no es solamente teórico, Google esta ejerciendo sus derechos sobre su propiedad intelectual.

Las buenas noticias, son, sin embargo, que alguien se tomó el trabajo de crear una app-store que solamente distribuye software libre, F-Droid. Mucho del software que esta disponible en la app-store de google no es libre, y mucho del software que es libre no esta disponible en F-Droid, pero la verdad que es un buen comienzo, y me recuerda a Debian.

Próximamente, le voy a instalar un servidor SSH para que sea mas fácil de configurar, con SSHelper, y luego creo que lo voy a usar de servidor, y con un dominio no-ip, lo voy a usar para darme acceso remoto a mi red por VPN.

Un abrazo grande!
Pedro

Mandar y recibir SMS online (gratis)

Hola,

Solamente queria compartir unos recursos que encontre que nos permiten mandar y recibir SMS online. Particularmente util para evitar las comprobaciones SMS que algunos servicios estan comenzando a pedir.

Para mandar SMS:

Para recibir SMS

Un abrazo grande,
Pedro

 

Ataque a TOR

Alrededor del cuarto de agosto se reportó al equipo de desarrolladores de Tor que se estaba efectuando un ataque contra los usuarios de su sistema, mas específicamente explotando una vulnerabilidad previamente parcheada (un mes antes de el ataque). Del blog de Tor:

Aproximadamente a la medianoche del 4 de agosto, fuimos notificados de que un gran número de “hidden services” han desaparecido de la red Tor. Hay variedad de rumores respecto a que una companía que proveía hosting para estos ha sido comprometida, esta offline, o que atacantes están esparciendo un exploit en javascript utilizando su infraestructura.

Inicialmente, la comunidad entró en pánico pues se supuso que el anonimato de Tor había sido comprometido, aunque es sabido que muchos ataques son posibles contra tor. Nada parece indicar, sin embargo, que el ataque haya sido llevado a cabo a través de una de tantas vulnerabilidades teóricas en Tor.

La prensa alegaba  que un irlandés, que fue arrestado por “hostear la red mas grande de pornografía infantil mas grande del mundo”, era también el dueño de Freedom Hosting, aunque no hay pruebas contundentes de que esto sea cierto, o de que ambos eventos estén relacionados. Mas aún, la fuente original que hizo esta suposición, borró el artículo.

El exploit tenía una función muy sencilla: mandar la IP de la persona que visitaba una pagina web en el hosting, en conjunto con su MAC, a unos servidores en EEUU, en una zona comercial donde operan varias empresas que proveen servicios a “Alguna Agencia de Inteligencia” (de ahora en mas AADI), pero no hay pruebas contundentes de que AADI tenga ninguna responsabilidad de este ataque.

Es importante recalcar que Tor sigue siendo igual de eficaz de lo que siempre supusimos, y esto es solamente una de las formas de atacar a alguien que use Tor: atacando el software que usa para conectarse a la red, en este caso firefox. También es importante notar que, contrariamente a lo que las noticias indicaban inicialmente, esto no se trata de una vulnerabilidad nueva, por lo que usuarios que actualicen su navegador cuando sea necesario, hubieran sido inmunes a este ataque.

Los mantengo informados si surge algo interesante.