CategoríaMis cosas

Secureless: Estadisticas de sitios web vulnerables

En la conferencia de seguridad recien pasada, tuve la oportunidad de presentar el Proyecto Secureless, demostrando la realidad de las vulnerabilidades web de distintos sitios, por categoria, dominio y por tipo de organizacion.

Durante aproximadamente 7 meses hemos estado recopilando sitios webs con distintas vulnerabilidades, gracias a nuestras propias investigaciones o colaboraciones de distintos usuarios, hasta la fecha registramos aproximadamente 1058 sitios web, de distintos paises, distintos tipos de entidades (universidades, bancas, etc) y con distintos estados. Actualmente en Secureless manejamos 3 tipos de estados, las Reportadas, No Reportadas

La diferencia que existe entre las Reportadas y las Sin Reportar, principalmente se da porque los sitios web no publican un correo o alguna forma de contacto para poder reportar este tipo de fallas, por lo general se limitan a poner un formulario de “consultas” y muchas veces en bancos, universidades o sitios del gobierno, hay que completar un formulario con cientos de campos obligatorios.

Los sitios web que realmente deberian tener este tipo de procedimiento como los bancos, Universidades o sitios del gobierno que manejen información sensible de personas, no lo hacen. Muchas veces debemos enviar el reporte a correos genericos y/o aleatorios como contacto@dominio, info@dominio o webmaster@dominio, sin tener respuesta.
La relación que existe entre las Reportadas y las Solucionadas, nos demuestra que de alguna forma estamos apuntando para el lado correcto, ya que el 90% de las vulnerabilidades reportadas se solucionan.

De los tipos de vulnerabilidades, hay dos categorías que pelean el puesto para ser los que más sitios registran, el SQL Injection y al Cross-Site Scripting

Es curioso, ya que una es client-side (xss) y la otra server-side (sql-i), pero ambas ocurren por una mala sanitización de los parametros de entrada.

Seguir leyendo

8.8: Computer Security Conference Chile

El pasado viernes 18 de noviembre se realizó la primera versión de la 8.8, una conferencia orientada a la seguridad informática y hacking. Tuve el agrado de exponer sobre el Proyecto Secureless, que llamó la atención de varios de los asistentes y gracias a eso logré tener contacto con distintas personas encargadas de la seguridad o del area de informática de bancos, universidades, etc. Hubo charlas técnicas y otras no tanto, yo expuste, además de la presentación de Secureless, algo que ya había expuesto antes en otras conferencias, sobre Hacking Automatizado, básicamente la automatización de tareas mediante scripts en bash, php, python, etc.  De esta chalra no pude  mostrar todo por falta de conexión a internet.

De las cosas que mas me interesaron, fue “Gaining Full System Access via Virtual Memory“, que comenzó hablando sobre congelar la RAM para mantener la información  (Cryogenically frozen RAM) y que obviamente el escenario para explotar este tipo de cosas es bien complicado, ya que hay que tener acceso fisico, sin embargo, esto tambien sucede en las máquinas virtuales por ejemplo con VMWARE, que genera un archivo “.mem”, basta con hacer un dump de ese archivo y guardarlo para simular el “congelado”. Mediante este ataque, Thomas demostró que Linux es más inseguro que Windows en este sentido, por el simple hecho de que Windows es capaz de cifrar la información que está en la RAM, Linux no lo hace. Lo demostró leyendo el hash del archivo /etc/shadow desde la ram y también accediendo a la password en texto plano que se digitó para autenticarse en una shell.

Tambien me pareció interesante la charla de Marco Balduzzi quien hablaba sobre HTTP Parameter Pollution, que por el tipo de preguntas que se hicieron creo que no mucha gente entendio el sentido de HPP.

Más allá de las charlas, lo que más me gustó es que existiera la instancia de poder mirar cara a cara a los distintos responsables y tambien conocer a gente nueva que está interesada en todo este tema de la seguridad informática y hacking. Me dio mucho gusto conocer a varios de los que solo me había relacionado via email para reportar vulnerabilidades.

Nos vemos el 2012!

simple-pytweet: El reemplazo de twitsh

Hace un tiempo publiqué un script que servia para twittear de forma rapida y sin tener ninguna “aplicación” aparatosa, el script estaba escrito en bash y en ese tiempo usaba metodo de autenticación “plana” e “insegura”. Ahora reescribí el código en python y usando OAuth.
El nuevo script se llama simple-pytweet y si usar Archlinux puedes usar el PKGBUILD que publiqué en AUR, sino puedes descargar el tarball desde https://dev.zerial.org/simple-pytweet.

El código es simple, requiere python-twitter y pyzenity y lee los parametros de OAuth como TOKEN y SECRET etc desde un archivo llamado .simple-pytweet en tu $HOME.

Jornadas Regionales del Software Libre 2010 en San Luis (.ar)

Hace dos semanas asistí y participé de las Jornadas Regionales del Software Libre (JRSL) en San Luis, Argentina. Fue una experiencia muy buena, estuve con gente que ya había conocido antes en otros eventos allá en Argentina y en Chile. A este evento asistió gente de Uruguay, Chile, EE.UU y obviamente Argentina. Una amplia variedad de charlas y talleres de muy buena calidad.
En esta oportunidad asistí como charlista/expositor y como asistente a otras charlas como criptografía, la típica charla sobre redes mesh, python/web2py, entre otras. Debido a que el publico no era muy “técnico” y el enfoque del evento no es algo netamente de seguridad, sino de difusión y de filosofía del SL, mi charla fue muy justa, 35 o 40 minutos que pasaron muy rapido, mostrando scripts y técnicas para apoderarse de los WordPress de un servidor, hacer peticiones automaticas para la extracción de información de sitios los cuales no protegen los datos de sus usuarios, etc.

“Hacking automatizado” y “Ofuscación de archivos” en el Hackmeeting 2010

Haré dos presentaciones en el Hackmeeting de este año, se trata de una charla llamada “Hacking Automatizado”, donde busco demostrar y enseñar la automatización de procesos para el “rescate” de información en modo de auditorias de seguridad, obtener información desde dentro de los sistemas y servidores, de forma automatizada con script en bash, php, etc. La segunda charla es mas bien un mini taller donde enseñaré una tecnica para ofuscar archivos dentro de otros archivos y poder compartirlos en la web sin ser detectados.

Los horarios son los siguientes:
Sabado 9 de Octubre
– 19:15 hrs: Hacking automatizado
Domingo 10 de Octubre
– 15:00 hrs: Ofuscación de archivos

Les recuerdo que la entrada es liberada.

Amenazado para que retire contenido de mi blog

Luego de haber resuelto un problema con el encargado de CFT Lota Arauco, y luego de que éste me comentara que alguien quería lucrar con la información que yo publicaba en mi blog, he decidido hacer publico el nombre y el correo de la persona. Anoche recibí un correo con una amenaza de dicho personaje, para que retirara esa información de mi blog. Quiero compartir el correo con ustedes:

Buenas Fernando:

Te comunico que nuestra empresa se dedica a revisar webs de todo el mundo para ofrecer soluciones informaticas ya sea gratis o de pago. Solicito que en tu web te dirijas a mi persona con respeto y no con esa ironia, nombrandome como personaje. Para evitar problemas legales o de otro tipo, te solicito explicitamente que retires mi correo electronico y mi nombre de tu blog. Ya que mi correo electronico es propiedad privada, y no puede andar publicado en webs.

Sin nada mas que decir, espero que quites mi NOMBRE y CORREO ELECTRONICO de tu blog.

Saludos.


Joan Calderón.
Cisco CCNA Certified
Cisco CCNP Certified
Cisco Ethical Hacker
Certificado Desarrollador 5 estrellas DCE Microsoft.
C.E.O
[Q]Quanticc

Lo encuentro insolito. Esto me recuerdo a la propuesta de Ley de mordaza digital que están promoviendo algunos senadores en Chile.