Hacking México

Por alguna razón, el Día Cero siempre me ha sonado a título de película apocalíptica donde Stallone, Willis y Schwarzenegger protagonizan la cinta y ya saben, empieza con una música tenebrosa diciendo “Son los mejores mercenarios del mundo. La única vida que conocen es la del Día Cero (Ah! Ese es un trailer, verdad?).

Pero dejando mi imaginación esquizofrénica a un lado, de lo que quiero hablar es del tema de las llamadas “vulnerabilidades de día cero”. Los asiduos lectores del blog (quiero pensar que tengo un par) sabrán de lo que hablo: cuando se publica en Internet una debilidad de software sin que tenga su parche (solución) correspondiente, se dice que hay una debilidad de día cero. Ahí está el error latente, pero debemos esperar a que haya una respuesta (parche) del fabricante.

Por ejemplo, el viernes 6 de agosto se anunció de una debilidad de día cero en el kernel de Windows.

¿Son las debilidades de día cero la gasolina principal que mueve al mundo underground criminal? El éxito que han tenido los criminales en línea no se debe a estas debilidades de día cero (morirían de hambre, por así decirlo). Estos señores viven realmente de los millones de usuarios que tienen software des-actualizado.

El esfuerzo (tiempo y dinero) que se podría invertir en descubrir las debilidades de día cero (que tampoco son de “enchílame éstas”), simplemente es mejor invertirlo en explotar la gran cantidad de debilidades –conocidas y con solución- que tienen en su conjunto los sistemas en todo el mundo pertenecientes a cualquier tipo de usuario.

Existen millones de computadoras que no se encuentran al día y que seguramente tendrán un hueco en el sistema operativo o sus aplicaciones. Por ejemplo, tú podrías asegurar que tienes tu sistema “updeiteado” 100% al día de hoy?

¿”Tons pa” qué sirven las debilidades de día cero? Sé lo que están pensando (sin ser el pulpo Paul): en ataques dirigidos. Esos ataques donde específicamente se tiene a una persona u organización en la mira. Depende de quién lo haga, le sacará mayor provecho (sin ser una regla).

Continue reading “Reflexiones Sobre el Día Cer0” »

Era un 6 de agosto de 1990, mi primer día de clases en la universidad. Ese día comenzaban mis estudios formales de Ingeniería en Sistemas Computacionales. El campus también se inauguraba formalmente pues era la primera vez que recibía a alumnos de programas de profesional y preparatoria. Recuerdo bien que el fin de semana anterior la escuela aún no estaba totalmente pintada y, para ese primer día, algunos salones ni siquiera tenían puerta y faltaban barandales. Además de que siempre me había gustado la tecnología, había elegido una carrera cuyas materias me parecían muy avanzadas y con títulos futuristas que sonaban complejos… eso me atraía.

Han pasado exactamente 20 años desde ese día y me sigue apasionando la tecnología. Actualmente  casi cualquier persona puede instalar “office” y navegar por internet… pero no cualquiera sabe proteger correctamente una computadora.  Desde mis estudios universitarios me llamó la atención cómo conectar y entrar a redes de computadoras, por lo que he dedicado gran parte de mi vida profesional al campo de la seguridad y durante estos años he vivido de cerca la evolución de esta materia en México. Por ejemplo:

• En el trabajo, fui la primera persona dedicada tiempo completo a labores de seguridad informática. ¡Esta área ni siquiera aparecía en el organigrama! Hoy en día somos un grupo de más de 15 personas dedicadas a esta labor que nos esforzamos diariamente para proteger la información y procesos tecnológicos de nuestra institución. Eso sí, es inevitable: siempre falta tiempo, dinero y personal para todo lo que quieres hacer.
• En el tema de capacitación, tuve que tomar mis primeros cursos de seguridad informática en el extranjero. No me tachen de “malinchista” ¡Los cursos no existían en México! En la actualidad existen un sinnúmero de cursos y certificaciones para todo tipo de especialización en seguridad. La oferta en México, como en todo el mundo, sigue creciendo. Continue reading “Mi XX Aniversario” »

La seguridad en los navegadores de internet es lo que está en boca de todos estos días… competencias como Pwn2Own se aprovechan mucho de las debilidades de estos para poder obtener el control o ejecutar algun codigo dentro de un ordenador supuestamente seguro, pero muchos de los problemas no son causados por el navegador en si, sino mas bien de las aplicaciones que el navegador usa para realizar algunas de sus funciones (adobe, java,etc…).

Una solución sencilla que permite conocer si nuestro navegador o aplicaciones extras son vulnerables a fallos conocidos, (además de comprobar que son las últimas versiones), es hacer uso de algunas aplicaciones online que efectúan una serie de chequeos para determinar la seguridad de nuestro equipo. El listado despues del salto:

Continue reading “Seguridad en el Navegador” »

¿Han tenido un sueño en donde el cajero automático se vuelve loco y les avienta un billete tras otro sin parar? Barnaby Jack ha hecho esto posible, presentando en su conferencia de Black Hat una demostración de cómo hacer que estos cajeros automáticos (ATM) “se vuelvan locos”.

Black Hat es un evento (de los más importantes en su ramo) donde se presentan una serie de conferencias de seguridad con diferentes temas. En esta ocasión nos concentraremos en la que hizo Barnaby.

El investigador obtuvo dos cajeros de las marcas Tranax y Triton. Después de analizarlos por más de un año (iba a hacer esta presentación en 2009), pudo hackearlos y adueñarse de ellos. Estas marcas de cajeros no son de un banco en específico, al menos en EUA se usan como las típicas ATM que se encuentran en súpers o restaurantes.

Para el caso de Tranax, se explotó una debilidad en el software del cajero que permitía evadir los controles de autenticación e instalar así cualquier programa (obvio, no se ejecutó cualquier programa sino uno especialmente diseñado para controlar la ATM). Este ataque se puede llevar a cabo sin tocar al cajero, es decir, por Internet o por dial-up.

Continue reading “Como hackear un cajero automático” »

Ya les habíamos platicado de este magno evento, me refiero nada más y nada menos que la conferencia hacker más grande del mundo que se lleva cada año en Las Vegas.

En esta, su décimo octava edición el equipo de Hacking Mx estaremos cubriendo con posts, videos, fotos, tweets y vía facebook. Habrá entrevistas a personas del medio cómo los famosos miembros del iPhone Dev Team, Geohot, Adrian Lamo, Chris Paget, Barnaby Jack quién hoy en la conferencia Black Hat mostró cómo hackear un ATM y era posible ver al cajero escupiendo dinero.

A continuación pueden ver un documental sobre DEFCON:

ATM hackeado escupiendo dinero:

A partir de este viernes 30 comenzaremos posteando información acerca de DEFCON, recuerda seguirnos vía twitter y facebook para leer actualizaciones del evento en tiempo real.

Sitio Oficial | www.defcon.org

Me imagino la conversación.

-         Si nuestro dinero te quieres llevar, tu código fuente nos debes de dar.

-         Pero, así nada más? Es que…saben? Nuestro código fuente es nuestro negocio, seguro no lo van a usar para fines comerciales, cierto? ¿O peor, para “otros” fines?

-         Tú tranquilo y nosotros preocupados. Somos el gobierno ruso…acaso no confías en nosotros?

-         Ya pues, llévatelo.

Recientemente, Microsoft (MSFT) anunció que daría acceso al código fuente de varios de sus productos al gobierno de Rusia a través del Servicio de Seguridad Federal ruso.

Tendrán acceso al Windows Server 2008, Office 2010 y SQL Server. Por un lado, los rusos quieren ver el código fuente para verificar que no tenga backdoors (funciones no deseadas o no esperadas) y para  ponerle criptografía –de alguna manera según ellos- a algunas partes de los productos de MSFT.

Analicemos el hecho de darle el código fuente a un gobierno extranjero.

Continue reading “Ya pues, Llévatelo” »

¡Ni tampoco de parranda! El tiempo pasa muy rápido ¡los días se me han ido volando! pero aquí ando nuevamente escribiendo. En fin, en este mismo sentido les comparto una extraña experiencia que me ocurrió hace un par de años en una conocida institución recaudadora de impuestos: la frase con la que inicia este blog fue la misma que le dije a personal del SAT cuando me indicó que estaba dado de baja en su sistema por “defunción”… ¡Hey, si soy yo, no estoy muerto! Sobra decir que me sentí como Sandra Bullock cuando desaparecieron sus registros en la película de “La Red”.

Adicionalmente, y por demás curioso, había sido que un par de semanas antes de que me enterara de mi “defunción fiscal”, la SHCP me había invitado gentilmente a impartir la conferencia magistral del “Día de la Seguridad de la Información”, evento que ellos mismos organizaban. En dicha plática hablaba exactamente de la importancia de mantener la información íntegra, confidencial y disponible no solo por el bien organizacional sino por las personas externas que dependían de ella. Un mal manejo en la información puede ocasionarles fuertes dolores de cabeza a muchas personas que ni la deben ni la temen. Boca de profeta diría mi madre.

Imagínese que su banco le hace un cobro indebido por un error en la cuenta origen o que le manden por equivocación una factura por un servicio que nunca solicitó, o peor aún, que lo detengan por más de 6 horas en un aeropuerto debido a que su nombre estaba asociado en el sistema a un terrorista (¡ojo! esto último le pasó hace un par de años a un amigo mío al visitar a los vecinos del norte). Un “Ud disculpe” al final se puede agradecer pero el susto, las horas y corajes que pasará para aclarar su situación nadie se las retribuirá.

Así pues para muchas organizaciones contar con un buen gobierno de la seguridad de la información no sólo es una necesidad sino una alta responsabilidad. Los errores en los sistemas son inevitables; sin embargo, muchos de nosotros, ya seamos capturistas, diseñadores de sistemas, programadores, etc., tenemos una gran responsabilidad en el manejo de la información que custodiamos. Mucha gente que ni siquiera conocemos nos lo podría agradecer.

Bueno, esta es mi opinión, ¿cuál es la suya?

Actualizado: Nos informan que también varias páginas de Gobierno de Michoacán fueron deformadas, se trata de un Mass Defacement (atacan un servidor y todas las páginas web alojadas en él quedarán deformadas)  esta vez firma, ¿Quién creen? Blackhatter, el cracker que entrevistamos.

Algunas páginas deformadas:

http://www.michoacan.gob.mx/licencia.php

http://cidem.michoacan.gob.mx/images/

http://ciapem2010.michoacan.gob.mx/

http://ccdem.michoacan.gob.mx/

http://feriadellibro.michoacan.gob.mx/

http://diccionariodeautores.michoacan.gob.mx/Lineas/

http://feria.michoacan.gob.mx/cache

http//informe.michoacan.gob.mx/

http://pgjemich.gob.mx/media/

Se estan poniendo de moda estos ataques, es el segundo en la semana y el cuarto en menos de 60 dias. Recordemos los Defacements o “Deformaciones” a páginas webs populares cómo el ocurrido a el Aeropuerto Internacional de Ciudad de México, Gobierno de Guadalajara y hace 3 días a Gobierno de Nuevo Laredo.

Esta vez varios lectores nos avisan vía twitter que la víctima se trata de la web la Cruz Roja Mexicana. Recordemos que “Etizx” es el mismo que crackeó la página de Aeropuerto Internacional de Cd. de México.

Continue reading “Hackean la página web de la Cruz Roja Mexicana” »

Todas las distros Linux se caracterizan por su alto nivel de seguridad. ¿Todas? ¡No! Damn Vulnerable Linux es la versión Linux más vulnerable del planeta.

La distro ha sido diseñada por Thorsten Schneider, y su objetivo es que los estudiantes de sistemas de seguridad puedan instalarla en cualquier equipo y trastear con ella para “romperla” en mil pedazos e ir aprendiendo con una fuerte base práctica.

Se trata de una archivo .ISO de unos 1,8GB de peso que incluye versiones viejas de servidor web Apache, base de datos MySQL y PHP fácilmente rompibles. Además la distro incluye aplicaciones para reventar servicios montados sobre las tecnologías citadas que sin duda será de mucha utilidad para estudiantes o curiosetes…

Así que Damn Vulnerable Linux es totalmente insegura  y más, claro, con toda la intención. ¿Quieres probarla? Entra Aquí

Previamente ya les habíamos hablado de Sistemas Operativos en los cuales pueden practicar ataques, también se encuentra el famoso Metasploitable. Metasploitable es un servidor Linux Ubuntu 8.04 con varias vulnerabilidades de todo tipo para que probemos desde sencillos análisis de red hasta ataques a bases de datos.

Descarga de Metasploitable.

Con este material ya puedes adentrarte en el mundo del hacking, siempre con fines educativos claro.

Vía: dosbit

• Paco: Primero, qué te motivó a hacer este ataque al gobierno de Nuevo Laredo?

Blackhatter: Hummm, no lo puedo llamar motivacion, simplemente es un grito que me he guardado desde hace tiempo. A pesar de que el error que presentaba esa pagina tenia mas de medio año. Decidi tomarla ayer en la noche. Como portavoz de Mexico.

• Paco: Desde hace cuanto te adentraste al mundo del hacking/cracking?

Blackhatter: Desde hace cuanto te adentraste el mundo del hacking?
Tengo 4 años aproximadamente en el mundo de la cibernetica, a pesar de que no me considero un especialista en el tema, me esfuerzo cada dia para aprender mas.

• Paco: Qué edad tienes?

Blackhatter: 19 años.

• Paco: Cuanto tiempo te tomó encontrar la vulnerabilidad en la página?

Blackhatter: Aproximadamente 30 minutos. No recuerdo, tenia mucho tiempo cargando ese bug. Continue reading “Exclusiva en Hacking México: Entrevista al cracker que atacó la página de Gobierno de Nuevo Laredo” »