XSS ¿Le puede pasar a todos?

Publicado por Pedro Sánchez on martes 17 de noviembre de 2009 / Etiquetas: , / Comments: (0)
Hola lectores,

Haciendo una revisión interna sobre un aplicativo web se descubre un fallo de XSS en uno de los parámetros de entrada de un formulario. Hasta aquí nada nuevo, simplemente lo adjuntamos al informe y ponemos la recomendación de mejora para subsanar el fallo.

El responsable de la aplicación tras su comprobación una vez entregado el informe se dispone a solucionarlo, mientras llama al desarrollador le comunica por telefono, "esto del XSS le puede pasar a todos". Esa frase se quedo grabada a sangre y fuego de forma lapidaria en mi mente.

Los que nos dedicamos a seguridad, nos planteamos que esto no puede pasar a todos, actualmente cualquier persona con un minimo de orientación profesional conoce los fallos de los aplicativos en web y como mínimo conoce OWASP.

Por otro lado varios de los artículos de nuestros amigos de 'SecurityByDefault' ya nos alertaban de las cosas que se pueden hacer en su ya famosos 'Hackeos memorables' y como no también en Facebook.

Pasados unos días me dispongo a comprobar si esto del XSS la gente se lo toma en serio. Buscando por Internet me encuentro con esta magnifica base de datos de incidencias reportadas sobre XSS y disponible desde aquí

Comprobarlo vosotros mismos ya que no tiene desperdicio.

NOTA: Muchos de estos Links en Microsoft están solucionados, aunque se mantiene un mirror con los fallos originales.



Imagen1: La empresa de Windows 7




Imagen2: Mis padres también se registrarón aquí




Imagen3: El rey de las busquedas también tiene fallos

Y como no, desde esta web tambien se pueden ver los ejemplos 'en vivo'



Imagen4: El principe (Bing) de las busquedas también tiene fallos






Imagen5: como dicen en mi pueblo "este es mu bonico"


Va a tener razón el programador..."esto le puede pasar a todos"

¿ y a ti, también te pasa?

Un caso incomodo.

Publicado por Pedro Sánchez on lunes 16 de noviembre de 2009 / Etiquetas: , , / Comments: (4)
Hola lectores,

Lamento el haber tardado tanto en escribir, pero tengo un inmenso 'Tsunami' de trabajo.

Quiero comentar algo que es importante en uno de los casos en los que he participado y que quiero compartir con todos vosotros.


Hace un tiempo intervine en un caso muy extraño por las particularidades de las empresas que participaban.

Una empresa (vamos a llamarla A) contrata una auditoría de seguridad en redes a otra empresa (vamos a llamarla B). La empresa A quiere constatar el nivel de seguridad que dispone, dado que trabaja en el marco regulado de PCI-DSS. Es decir trabaja con datos de titulares de tarjetas de crédito.

La empresa B entre muchas de las acciones de control que realiza hace una captura de tráfico en la red local con objeto de ver que se transmite y si cumple uno de los requisitos de control. Esa información se almacena en un fichero '.PCAP'

Tras un tiempo (dos meses después de finalizar la auditoría) la empresa A denuncia a la empresa B por fuga de información de datos personales y datos financieros. Como veis el caso es muy, pero que muy complejo.

Tras pedirme colaboración se detectan las siguientes irregularidades que expongo a continuación:

  • La empresa A debería de haber realizado en el contrato de los trabajos a realizar, unas cláusulas de 'contrato de prestación de servicio' regulado en el ámbito de LOPD. También una cláusula de confidencialidad dado que se van a auditar 'zonas' criticas de información. Estas cláusulas no son complicadas y siempre está reguladas por lo que marca la ley.
  • La empresa A y B deberían de especificar y reflejar en el contrato el ámbito de trabajo a realizar, los detalles especiales que afecten a la intimidad de las personas si se produjera (como fue el caso) y la devolución de toda la información resultante de los trabajos de auditoría al finalizar esta.
  • La empresa A debería de disponer de una política que regulara o avisará a los empleados de que en los ámbitos de auditoría se puede revisar esta información
  • La empresa A si es conocedora de este trabajo de auditoría debería de haber avisado a la representación sindical o un representante de los trabajadores de la realización de estos.
  • La empresa B no explico en detalle los trabajos que iba a realizar , entre ellos la captura de tráfico.
  • La empresa B se llevo información que afecta a la intimidad de las personas y además de no quedar reflejada en el contrato .
  • La empresa B debería de disponer de protocolos de cadena de custodia en el caso de que fuera necesario llevarse información.

Este punto es muy importante por varias causas:

Derecho a la intimidad.

El principal y el que más énfasis se enmarca en derecho judicial. En este caso no se realizó correctamente dado que se capturo la información y se la llevo el auditor sin aplicar ninguna cadena de custodia. Es decir sin mala causa se llevo:

  • Transcripciones completas de correo electrónico
  • Datos de tarjetas de crédito
  • Conversaciones de Messenger
  • Otro tráfico de red

En estos casos el procedimiento debería de haber sido el siguiente:

  1. Se recopila la información y se filtra en busca de los datos necesarios que impone PCI-DSS, es decir datos de tarjeta de crédito, excluyendo todo lo demas. (Es decir el resultado es un fichero con los datos a buscar)
  2. Tres copias de este fichero PCAP y se comprueba la integridad. Original para la empresa, copia para los auditores y copia (si es necesaria) para la explotación y análisis fuera de la empresa ( es decir en la empresa que hace la auditoría)
  3. El análisis de los datos se debería de realizar dentro de la propia empresa auditada
  4. Si ha de salir algún dato de la empresa auditada para su verificación por la empresa auditora este debe de estar cifrado y autorizado expresamente por la empresa auditada
  5. Debe quedar constancia escrita (normalmente en el contrato) de la destrucción de los datos obtenidos por los auditores una vez finalizados los trabajos.

No he entrado en detalle como se produjo la fuga de información (de momento) ya que me falta los análisis previos en ambas empresas, pero prometo manteneros informados.

Ahora visto lo visto, tenemos que poner las alarmas, los ID's e IP's mentales al 100% y cuando vayamos a realizar una auditoría poner todas las cartas sobre la mesa con objeto de cubrirnos las espaldas.

Fugas de Información: ¿donde están los planos?

Publicado por Pedro Sánchez on martes 27 de octubre de 2009 / Etiquetas: , , / Comments: (4)
Hola lectores,

Se ha puesto de moda esto del análisis de tráfico de red.
Lo han explicado perfectamente Juanito en su post, al igual que GigA y Neofito. Yo me sumo a esta campaña de 'analiza el tráfico de tu red' y voy a poner mi granito de arena sobre este tema con un análisis forense en un caso de fuga de información.


CASO: ¿DONDE ESTA MI PLANO?

En este caso vamos a estudiar como recomponer el tráfico con objeto de reproducir la actividad de un individuo que ha realizado desde su puesto de trabajo diversas formas de fuga de información, enviando planos industriales de su departamento de I+D+I a sitios ya acordados con su competencia a cambio de una compensación económica (Fraude).

Pinchamos el sniffer en la salida del tráfico a internet y lo dejamos durante unos días monitorizando las ip's que potencialmente sean sospechosas. También hemos mandado un 'cebo' con un correo al personal técnico de I+D indicando que hemos dejado los nuevos prototipos en una carpeta compartida de red. (carpeta que por supuesto es auditada desde Windows Server).

Una vez pasados los días obtenemos un gran fichero en formato 'pcap'. Calculamos su huella y realizamos una copia con objeto de analizar su contenido.

¡¡Empezamos!!

La utilidad seleccionada para estos avatares es NetWitness investigator.

Este producto, proporciona al investigador un análisis detallado sobre las actividades maliciosas existentes en una red y está diseñado para cubrir las carencias de otros productos de seguridad, llevando a cabo análisis de auditoría y antifraude.

Dispone de una versión gratuita (que vamos a utilizar) y que ofrece todas las funcionalidades de la herramienta comercial. Soporta hasta 25 usuarios simultáneos con un rendimiento de captura de datos de hasta 6 GB.

Lo primero que vamos a realizar tras la importación del fichero 'pcap' es navegar por los datos obtenidos, según la siguiente imagen


pantalla 1

Una vez realizado vemos en la siguiente imagen (hay que ampliar la imagen) datos reveladores de accesos desde la ip sospechosa a rapidshare. Sigamos investigando...


pantalla 2

Esta utilidad tiene la ventaja de filtrar dinámicamente, es decir por los propios resultados obtenidos, existiendo una opción que permite reconstruir los paquetes tal y como fueron utilizados. Tras un buen rato de dejarse los ojos, decidimos aplicar esta opción y vemos (en la pantalla siguiente) que desde la IP sospechosa se accedió a la página de 'upload' de rapidshare, entendemos que con la intención de 'subir' algún archivo


pantalla 3


También incorpora un 'timeline' que permite reconstruir en la misma linea de tiempo todo lo acontecido en ese momento. Como vemos en la siguiente pantalla nos da el mejor dato revelador y es el link que rapidshare proporciona para que los usuarios puedan realizar la descarga


pantalla 4

Ademas viendo esta información vamos a corroborar lo visto filtrando los paquetes de datos buscando la expresión 'POST' y el dominio Rapidshare. Indicativo de que se ha enviado algo hacia ese servidor. Si nos fijamos en la siguiente pantalla nos encontramos con el nombre del fichero que se ha mandado '7777.jpg'


pantalla 5

En vez de exportarlo, cosa que tambien realiza NetWitness, vamos a aceder a la página web que nos proporcionaba el link de la pantalla 4 desde nuestro navegador.

¡¡ e voilà!!. Tenemos el plano fugado.



pantalla 6

Ahora todo queda en manos de la empresa que tramitará su correspondiente denuncia.

También deciros que esta herramienta reproduce las conversaciones del messenger y cualquier aplicación de audio y vídeo

...Y sensación forense 13

Publicado por Pedro Sánchez on viernes 16 de octubre de 2009 / Etiquetas: , , / Comments: (1)

Hola lectores,

En el anterior post comentaba las 12 sensaciones forenses que me producían cuando hablamos a los usuarios sobre seguridad informática.

Tras leer está noticia, me quedo estupefacto y corrobora todo lo dicho...

¡¡ Necesitamos una ley de pruebas electrónicas YA!!

Os dejo el PDF de la noticia aquí.

12 Sensaciones forenses

Publicado por Pedro Sánchez on miércoles 14 de octubre de 2009 / Etiquetas: , , / Comments: (7)
Hola lectores,

Este post no es para nada técnico, pero quiero compartir con vosotros una serie de sensaciones que yo he llamado 'sensaciones forenses'.

Ayer participe en una mesa organizada por la empresa Cybex y en la que se generó amplios debates sobre los delitos económicos utilizando las nuevas tecnologías.

Como ponentes nos encontrábamos:

  • La Ilma. Carmen Ballester Ricart, Fiscal especial antidroga de la Audiencia Nacional
  • El Sr. D. Matías Bevilacqua Trabado, Director Tecnológico de CYBEX
  • El· Sr. D. José Manuel Colodrás Lozano, Inspector de la Oficina de Activos del Cuerpo Nacional de Policía
  • El Sr. D. Juan Salom Clotet ,Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil
  • Yo mismo.

Todos fuimos moderados genialmente por Excmo. Sr. D. José Manuel Maza Martín, Magistrado de la Sala II del Tribunal Supremo.

En la mesa se hablo de las soluciones contra el cibercrimen y todo el esfuerzo que el estado y empresas privadas hacen al respecto, pero en la ronda de preguntas explique un caso que expongo a continuación y que genero mucho debate y alguna que otra controversia entre el publico asistente, en su mayoría despachos de abogados y fuerzas del estado.

EL CASO

Análisis forense a un equipo de una empresa en la que se sospecha que un empleado ha realizado fugas importantes de dinero a cuentas en el extranjero. En el previo análisis se descubre que esta infectado por troyanos (entre ellos el URLZone), en la investigación mas profunda se ven cientos de ficheros con pornografía infantil, de estos ficheros nos comunica la dirección de la empresa que el usuario dice no conocer su existencia. Dice que tiene el típico programa P2P, pero que desconoce que se hubiera bajado algún archivo de estas características. Empieza a llorar, te dice que tiene dos hijos pequeños y que el no consentiría estos casos bajo ningún pretexto. Lógicamente tenemos que tramitar una denuncia.

De este caso se ve claramente la poca rigidez en políticas de acceso de esta empresa al permitir la ejecución de programas en un principio de uso dudable, también el poco control de la empresa sobre lo que debe y no debe de hacer los empleados.

Por otro lado la 'honorabilidad' del empleado queda en duda dado que podría darse el caso de que el propio troyano utilizara el equipo infectado para el envío de pornografía infantil y que el usuario no hubiera tenido nada que ver. Todo esto generó gran discusión entre los asistentes.

Por experiencia quise dar una serie de sensaciones que profesionalmente me vienen acompañando en los trabajos que desempeño sobre análisis forense informático

No se si estaréis de acuerdo, pero así me recorren estas sensaciones

12 SENSACIONES FORENSES

1. Sensación: Algunos usuarios (y lo digo desde el respeto y la experiencia de haberlo visto) son potencialmente peligrosos. No atienden a ninguna norma, disponiendo de malos hábitos de navegación y accediendo a descargas de películas y mp3 desde sitios ya de por si peligrosos, más cuando tienen el sistema operativo pirata o sin actualizar. Algunos tienen crakeado el antivirus. Sin comentarios.

2. Sensación: Los antivirus no valen para casi nada, solo para lo conocido, siendo mucho más lo que 'no se detecta'. Existen troyanos con un detalle de programación exquisito, indetectable y capaz de mutar tantas veces como sospeche de que ha sido detectado. Simplemente magnifico

3. Sensación: La época del Hacker ha pasado, cada vez son los menos que a través de exploits consiguen acceder a un equipo y seamos sinceros en esto Microsoft se ha puesto las pilas, es más fácil destripar de serie un sitio con PHP que desarrollado en .NET

4. Sensación: Es la hora de las mafias organizadas. Consiguen mas dinero y no hay muertes por el medio. Estos son los que desarrollan esos curiosos troyanos-roba-dineros. Tienen equipos de desarrollo y les motiva el dinero ¿que raro, verdad?

5. Sensación: Los equipos de respuesta ante incidentes solo valen para detectar a muleros, en el caso de detectar por ejemplo un phising, te las ves y te las deseas para cerrar el sitio. Si tienes que analizar un troyano se puede ir el caso a meses. Es como decir que pillamos al drogadicto pero no al que distribuye la droga.

6. Sensación: En España hemos creado un sistema de impunidad para el malo. Si denuncias y el caso viene por ejemplo de Rumania, las fuerzas del estado español se tienen que comunicar con sus colegas de Rumania con lo que se demora ampliamente las diligencias. Por su puesto el dinero ha desaparecido. Las fuerzas de seguridad están sobrepasadas

7. Sensación: Nuestras fuerzas de seguridad son verdaderamente especializadas en comparación con otros países, pero nuestras leyes no están acorde a las nuevas formas de cometer delincuencia utilizando las nuevas tecnológicas. El legislador debe de estar a la altura y modificar las leyes en esta materia

8. Sensación: No se denuncia o no se toma en serio todo lo que ocurre en cuanto a la seguridad informática. No se llega a denunciar, bien por imagen institucional, por miedo o por lo que sea, pero según la memoria 2009 de la Fiscalía General de Estado los delitos que utilizan las nuevas tecnologías han crecido, duplicado o cuadruplicado en diferentes comunidades autónomas, respecto al año 2008.

9. Sensación: Falta formación a la magistratura, fiscalía y abogacía, aunque poco a poco se están especializando (muy poco a poco...)

10. Sensación: Hay empresas que piensan que están bien por que se han auditado los servidores, las redes y aplicaciones. Craso error. El peligro comienza el día después de la auditoría, bien por relajación o bien por no realizarla continuamente.

11. Sensación: Hay empresas que 'están al día' y 'actualizadas'. Craso error, ¿como actualizas una aplicación web, que te ha creado un tercero?

12. Sensación: Todavía en las empresas se piensa que la seguridad es un gasto, no es productiva ni la ven como herramienta de venta. Señores(as), la seguridad es calidad, las auditorías, los preventivos forenses ahorran mucho dinero a la empresa. ¿Cuanto vale descubrir que has evitado una exposición de datos a raíz de una auditoría en un ataque de SQL inyection en tu base de datos?.¿cuanto valdría una multa de la AGPD? Como dice el anuncio, para todo lo demás Mastercard.

En fin se me ocurren algunas más...pero esto lo dejo a vuestra experiencia, yo por mi parte creo que deje algo pensativa a mi audiencia.

Análisis forenses a dispositivos ANDROID (Parte II)

Publicado por Pedro Sánchez on domingo 4 de octubre de 2009 / Etiquetas: , , / Comments: (2)
Hola lectores,

Vamos a continuar con el anterior post.

Una vez que tenemos todos los ficheros vamos a verificar la huella proporcionada por nandroid, ya que nos ha creado un archivo 'nandroid.md5' con las huellas de cada fichero.



Como hemos apreciado en la pantalla anterior, esta todo correcto.

La lista de ficheros que proporciona el backup anterior es:

  • boot.img:
    Contiene datos relativos al inicio del sistema operativo. Nada relevante para nuestra revisión
  • cache.img:
    Contiene los datos volátiles que estaban en memoria en el momento de volcarlos a disco. Importante su análisis.
  • data.img:
    Contiene todos los datos relativos al móvil, agendas, tareas, llamadas. Muy importante
  • misc.img:
    Contiene datos relativos a las aplicaciones instaladas. Importante también.
  • recovery.img:
    Contiene los datos del proceso que utiliza recovery. Irrelevante
  • system.img:
    Contiene los datos relativos a configuración del sistema. Importante.

Es el momento de empezar a trabajar estos ficheros

¡¡EMPEZAMOS!!

Los ficheros que vamos a tratar como interesantes por su contenido son: data.img y cache.img.

Vamos a convertirlos en un formato que podamos revisar, como siempre vamos a utilizar el comando 'strings' y en con expresiones regulares. Veamos algunos ejemplos.

Buscamos parámetros de sitios visitados:
strings data.img | grep -oE "((mailto\:|(news|(ht|f)tp(s?))\://){1}\S+)"



Sitios donde se ha realizado inicios de sesión
strings data.img | grep -n10 "login">login.html

Buscamos correos electrónicos
strings data.img | egrep "[a-z A-Z_\-\.]+@[a-z A-Z\-\.]+\.[a-z A-Z\-\.]+"



Números de teléfono
strings data.img | grep -oE "\b[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]\b"
o strings data.img | grep -oE "([0-9]{9})"

Imágenes JPG
strings data.img | grep -oE "(.*\.jpe?g|.*\.JPE?G)"



Paquetes de programas instalados
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Ficheros MP3
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Dominios visitados
strings data.img | grep -oE "^[a-zA-Z0-9\-\.]+\.(es|com|org|net|mil|edu|COM|ORG|NET|MIL|EDU)$"



Búsqueda de tarjetas de crédito
strings data.img | grep -oE "^((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}$"

Comandos SQL
strings data.img | grep -oE "(NOT)?(\s*\(*)\s*(\w+)\s*(=LIKE|IN)\s*(\(([^\)]*)\)|'([^']*)'|(-?\d*\.?\d+))(\s*\)*\s*)(AND|OR)?"

Si abrimos directamente el fichero 'data.img' nos encontramos con información muy valiosa como la siguiente:

Direcciones MAC

cache.wifi 00:22:2d:0a:ae:d0 00:1a:2b:3d:50:8f

Estado de la configuración

NETWORK_UP
NETWORK_UPNetworkInfo: type: MOBILE, state: CONNECTED/CONNECTED, reason: gprsAttached, extra: movistar.es, failover: false, isAvailable: true CHECKIN_SUCCESS PHONE_GPRS_CONNECTED HTTP_STATUS:Android-YouTube/0.8 (dream PLAT-1.0_gms-141395):200 PHONE_GSM_REGISTERED

Datos del operador

ro.serialno=HT947NG01989
ro.baseband=2.22.16.19
ro.carrier=TELEF-Spain

Parámetros del móvil




Datos de la red WIFI



Vídeos visualizados



Como nota interesante decir que también se puede analizar utilizando PTK o bien FTK Imager con objeto de obtener la misma información.

Esos colegas...

Publicado por Pedro Sánchez on viernes 2 de octubre de 2009 / Etiquetas: / Comments: (5)
Hace poco di un curso de Análisis Forense a un grupo de Hackers de verdad. De esos que mi amigo juanillo diría que 'quitan er sentio'. Gente joven. Con ganas y animo de hacer las cosas bien hechas. Hackers buenos en el buen sentido de la palabra, enemigos del lado oscuro y con muy buena proyección empresarial.

Aunque no soy muy proclive a poner ni dar nombres de empresas, he de reconocer que el Tiger Team de ecija es realmente bueno. Pude verlos en acción y me gusto mucho como se involucraban y el compañerismo existente (del mas nuevo al mas viejo del equipo, todos eran iguales.)

El curso fue intenso y se combino con marrones on-line (que tuvieron que arreglar en el momento), ejercicios forenses y humor, mucho humor.(también se mezclo la calor y el olor a vinagrillo que despedíamos todos en ese aula).

Vuelvo a decir que en España y Sudamerica hay muy buenos profesionales, que aunque (todavía) no están en la primera linea internacional, si que juegan en primera división, y tiempo al tiempo que más de uno destacará.





Y luego dicen que los que nos dedicamos a la seguridad no somos sexys...