Anonimato, privacidad y TOR

Hola amigos,  lectores y usuarios de Underc0de

La privacidad y el anonimato, como uno derechos de los usuarios de la red es un tema de preocupación y -ocupación- constante.  La conocida red TOR, si bien no es garantía absoluta de mantenerse alejado a la mirada controladora de gobiernos y empresas, nos brinda un plus en la navegación anónima.

No obstante, los cambios en el CDN del CloudFlare en su sistema de protección contra DDoS, puede ver afectada la privacidad del proyecto TOR, en la medida que se han incorporado –como señalan nuestros amigos de RedesZone “una serie de CAPTCHAs y cookies para ser capaz de separar el tráfico legítimo del tráfico pirata que pueda provenir de un ataque DDoS (u otro tipo de ataque) para mejorar sus sistemas de protección. Esto, aunque mejorará el rendimiento general de la red normal, perjudica a todos los usuarios que se conecten a páginas web protegidas por CloudFlare desde la red Tor (ya que serán considerados como sospechosos) teniendo que resolver un molesto código, el cual, puede ser utilizado para identificar y rastrear al usuario mientras navega por la red.” En definitiva, saber quién se encuentra detrás.


Súmese a Google o Yahoo, con sus sistemas de cookies y supercookies que colaboran en identificar el usuario en la red, bajo el pretexto de razones de seguridad, terminan detectando la procedencia del usuario.

Hablando de navegadores,   no faltan sugerencias para el uso de otras alternativas de browsers como lo es Duckduckgo, quien dice no guardar datos de sus visitantes y mostrando resultados sin vinculaciones con el historial de búsquedas anteriores.

Volviendo al escenario de TOR paso a comentar sobre la versión “Hardened 6.0a2 ” de Tor Browser, que no solo tiene nuevos parches de seguridad sino que trae una capa de protección adicional.

En el   blog de torproject (inglés), sobre esta versión destacan:

-Firefox ha sido actualizado a la versión 38.6.1esr.

-NoScript actualizado a la versión 2.9.0.3.

-Solucionado el bug 18168 – No se elimina el iframe de window.name.

-Solucionado el bug 18137 – Se han añadido dos nuevos puentes obfs4.

-Windows: La fuente zh-CN ahora es de confianza.

Mac OS X /  Linux  (solucionado el bug 18172): Se ha agregado compatibilidad con los Emoji.

-Debian: Solucionados dos fallos relacionados con Debian y las máquinas virtuales.

Se lee por el mundo informático que debido a un fallo en la compilación anterior, las actualizaciones parciales no funcionan correctamente, por lo que los usuarios deben realizar una actualización total del navegador, agregándose que esta versión es algo más lenta que las versiones estables.

Por último la misma puede descargase desde su web principal

Visítanos en Underc0de



Actualización a Kali Linux 2016.1| Errores en VMware



Hola amig@s y lectores de Underc0de

Desde el mes de enero que  salió la nueva versión de Kali Linux [2016-1] , se lee que será la primer versión Rolling Relese (en adelante R.R.) Lo que en principio me causó curiosidad porque cuando salió Kali Linux 2.0 , se hablaba que ya era una versión RR. Así que me puse a tirar del Google y ver que documentación había sobre este tema.

¿Qué significa que una versión sea  Rolling Release?

Significa  [a diferencia de las distribuciones que no lo son] que una vez que la instalamos con todos los paquetes necesarios y actualizamos, las herramientas y aplicaciones -por ejemplo Gimp- se actualizan (desde los repositorios) cuando sale una nueva versión de ellas, incluidos los paquetes del sistema como el Kernel.  En definitiva,  NO es necesario reinstalar el SO para tener los paquetes nuevos.

Lo que nos lleva a preguntarnos qué diferencias son esas -en todo este tema de las actualizaciones-  entre una versión RR frente a una que no lo es.

Para poner un ejemplo, veamos en caso de Ubuntu (que no es RR) donde se  liberan versiones estables  aproximadamente cada 6-9 meses (lo que se conoce como distribución Point Release, ya que los paquetes se van lanzando cada cierto tiempo) y Canonical proporciona soporte y actualizaciones de seguridad. Aquí, tenemos que diferenciar, las versiones LTS de las “normales o comunes”.

Pero... 
¿Qué es una versión LTS?

Según nuestra bien querida Wikipedia:

El soporte a largo plazo (en inglés, Long Term Support, abreviadamente, LTS) es un término informático usado para nombrar versiones o ediciones especiales de software diseñadas para tener soportes durante un período más largo que el normal. Se aplica particularmente a los proyectos de software de código abierto, comoLinux, especialmente a las distribuciones Debian Ubuntu.
 En el caso de Ubuntu, y también de acuerdo a la Wiki:

A partir de la liberación de su versión 12.04, todas las versiones LTS sea de escritorio o de servidor, tendrán un soporte de 5 años; y para las ediciones No LTS tendrán un soporte de 9 meses, esto último a partir del lanzamiento de la versión 13.04. Cada dos años aproximadamente, se libera una versión LTS.
 Así que la mayor diferencia entre una versión LTS y una “normal”, es el tiempo extendido de soporte y -que en general- las LTS fueron mayor testeadas y son por lo tanto, más estables.


Volvamos a Kali y el punto de las versiones RR...

Los amigos de RedesZone nos comentan que: "El modelo Rolling Release empezó a utilizarse en esta distribución hace ya 5 meses, coincidiendo con el lanzamiento de Kali Linux 2 “Sana”, sin embargo, esa característica solo estaba disponible para un grupo selecto de usuarios, quienes debían activarla específicamente. Tras un largo periodo de pruebas y comprobar que todo funciona correctamente, finalmente esta característica se ha abierto a todos los usuarios del sistema operativo, pudiendo así disfrutar de este sistema de actualizaciones.

Kali Linux 2016.1, así es como se ha llamado esta primera compilación Rolling Release, ofrece a los usuarios toda la estabilidad de un sistema Debian garantizando que, tanto el sistema como todas las herramientas de pentesting, estará siempre actualizadas a la última versión. Siempre que los responsables del desarrollo de esta distribución liberen parches o actualizaciones, estas llegarán a todos los usuarios a través del centro de actualizaciones, evitando tener que descargar el sistema operativo siempre que se libere una actualización."

En definitiva, en modelo RR, presenta como mayor ventaja que permite actualizaciones continuas, tanto del sistema como de las aplicaciones de éste, sin tener que formatear e instalar la versión actualizada.Como desventaja más destacable, tener lo último en software puede presentar problemas de dependencias incompatibles,  bugs, errores.

Desde aquí Kali Linux 2016.1 podéis descargar la versión nueva de KALI.

En caso que tengamos Kali Linux 2.0 , con los siguientes comandos [como root] podemos migrar a la nueva versión: 


Y a esperar... hasta que se reinicie el sistema.


Una vez terminada la instalación podemos  verificar la versión y demás:


------------------------------------------------------------------------------------------------------------

AVISO con VMware! 

Hasta aquí nada extraño. Sin embargo, yo tengo montada a Kali en VMWare (versión 10.0.3 -piratilla-) y fue entonces que comenzó la gran odisea, pues una vez que se reinició el sistema me habían desaparecido las VMware Tools! :O 

Como corresponde, a Google a buscar la razón de la desaparición.  Varios tutoriales para su re instalación, todo muy similar a lo que el compañero @MagoAstral plantea en su  taller de  pentesting #2. En fin, nada del otro mundo y las tools volverían a estar como en la versión 2.0 de Kali.   


Pero al reiniciar, no estaban, nunca más volvieron mis tools.!!! :(
Y así, durante cuatro días me dediqué a googlear:  Webs en español, en inglés, página principal de Kali, de la VMware,  de Offensive Security. Probé, instalé y desinstalé mil cosas. Las tools no había forma de que volviesen, y para peor el Taller de Pentesting #3 me miraba acusador por el abandono.

La última de esas noches de googleo, veo a @Snifer  en línea. Cuatro días es mucho tiempo y si bien tengo mucha paciencia para estos asuntos, mis ánimos estaban algo alterados  ¬¬ . Súmese que yo de experta en Linux no tengo nada; y verdaderamente, lo acosé, agobié, fastidié, venga que no le di un momento de paz, hasta que compartimos pantalla por Skype a ver si podía detectar el problema y guiarme.  

Nada de Team Viewer, porque yo quería ir aprendiendo la solución y tipeando  las pruebas
No hubo cosa que no probásemos, instalamos/actualizamos desde los repositorios, headers, etc., etc. Las tools,  una vez re instaladas y al reiniciar, no han vuelto.  
Como siguiente paso voy a instalar Kali 2016.1 en una nueva virtual y ya les comento si me fue mejor con las malditas tools.

Fuentes: Muchas Webs y las mencionadas antes para las citas específicas.
 
PD 1: En los foros, básicamente en inglés, se lee que VMware tiene un bug que no permite la instalación correcta de las tools en Kali e incluso -en la página principal de ésta última- recomiendan una versión específica [Open-VM-Tools]. Será así, pero yo con la versión 2.0 de Kali Linux no tuve problemas con las tools de VMware.
 
PD 2: Abstenerse de sugerirme que use Virtual Box   :D


PD 3: @Snifer , mi reconocimiento y agradecimiento, y en especial soportar mi lentitud al escribir. :)  Prometo cortarme las uñas para la próxima. 

--------------------------------------------------------------------------------------------------------------------------

EDITO:

Como siguiente paso voy a instalar Kali 2016.1 en una nueva virtual y ya les comento si me fue mejor con las malditas tools.
 1. Efectivamente, hice una instalación limpia  en una nueva virtual de Kali 2016.1

2. Volví a instalar VMware Tools ( de la versión 10.0.3 de VMware)

3. Me tiraba error e instalé un parche para supuestamente corregir ese error en VMware Tools (no me había funcionado cuando actualicé a Kali 2.0, pero por probar que no quedara).




4. Resultado final:  :D 


5. Reboot + reinicio hasta del PC.

6. Siguieron sin funcionar las tools; y mi gozo al pozo  :( 

7. Desinstalación de tools. ¬¬

8. Instalación de Open VM Tools 

9. Tools funcionando perfectamente  :D

Esta ha sido mi experiencia, con la versión de VMware que les apunto... Ignoro si versiones mas recientes darán la misma guerra. 

Gabriela


Más información y comandos en bash aquí

Visítanos en Underc0de

Herramienta de hacking Wi-Fi: WiFi Pineapple NANO

Hola amigos y lectores de Underc0de!

Es sabido que las redes Wi-Fi públicas implican riesgos, por nombrar un ejemplo, a través de un ataque MitM.


Ahora, la herramienta WiFi Pineapple NANO (una tools para auditar redes inalámbricas), portadora  de sencilla e intuitiva interfaz web y con el tamaño de un USB,  puede ser usada para el hacking  de redes.


El acceso a la interfaz NANO desde el navegador web, permite comprobar no solo el estado de una red Wi-fi, sino a diferentes módulos de seguridad.


A al contar con una API abierta, permite a los desarrolladores crear sus propias funcionalidades, y al mismo tiempo canalizar ataques maliciosos.

The new Recon Mode on Desktop


PineAP Configuration on Mobile


Especificaciones:

-CPU: 400 MHz MIPS Atheros AR9331 SoC
-Memory: 16 MB ROM, 64 MB DDR2 RAM
-Disk: ROM + Micro SD (not included)
-Wireless: Atheros AR9331 + Atheros AR9271, both IEEE 802.11 b/g/n
-Ports: (2) RP-SMA Antenna, Ethernet over USB (ASIX AX88772A), USB 2.0 Host, Micro SD
-Power: USB 5V 1.5A. Includes USB Y-Cable
-Configurable Status Indicator LED, Configurable Reset Button


Si bien en su fase de pruebas, puede accederse y ampliarse la información (en inglés) aquí .

Vísitanos en Underc0de

Google retira 13 apps para Android con malware



Hemos conocido que Google acaba de retirar 13 apps para Android con malware.

Como ya te hemos comentado, el asunto de las aplicaciones en Google Play con malware es algo ya conocido y hace muy pocos días se dio un nuevo caso, concretamente dos aplicaciones fueron denunciadas a Google por estar ser presuntamente sospechosas de realizar actividades en nuestro teléfono perjudiciales.

Lista de aplicaciones afectadas


- Crazy Block.

- Cake Blast.

- Honey Comb.

- Jump Planet.

- Cake Blast.

- Jump Planet.

- Tiny Puzzle.

- Cake Blast.

- Jump Planet.

- Just Fire.

- Honey Comb.

- Cake Tower.

- Ninja Hook.

- Piggy Jump.

- Drag Box.

- Eat Bubble.

- Hit Planet.


Todas las apps nombradas en la lista anterior tienen el mismo o parecido malware que Brain Test, por lo que si la tienes instalada en tu teléfono te recomendamos que la desinstales cuanto antes.

Brain Test era una aplicación que estaba disponible en Google Play y que tenía malware que afectaba a nuestro teléfono de manera que podía acceder a los privilegios root e incluso resistir a eliminaciones y reseteo de fábrica del teléfono.

Aparte se descubrió que esa aplicación también podía copiar archivos de /system de manera que solo podrías librarte de el instalado una nueva ROM en tu teléfono. Las aplicaciones de la lista anterior estaría afectadas por el mismo o similar malware.

A pesar de las continuas medidas para la entrada de nuevas aplicaciones en Google Play lo cierto es que parece que todavía algunas apps infectadas logran poder estar en el catálogo de la tienda y por consiguiente ser expuestas a descargarse.

Fuente

Haka: parte II (reglas de seguridad)


Hola amigos y lectores de Underc0de!

Hace unos días compartimos post sobre Haka, el nuevo lenguaje de seguridad informática. Hoy traemos una segunda parte sobre la sintaxis de sus reglas de seguridad.
...

Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.
La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.
local ipv4 = require(“protocol/ipv4”)
local tcp = require(“protocol/tcp_connection”)
local net = ipv4.network(“192.168.101.0/24”)
haka.rule{
   hook = tcp.events.new_connection,
   eval = function (flow, pkt)
       haka.log(“tcp connection %s:%i -> %s:%i”,
           flow.srcip, flow.srcport,
           flow.dstip, flow.dstport)
       if net:contains(flow.dstip) then
           haka.alert{
               severity = “low”,
               description = “connection refused”,
               start_time = pkt.ip.raw.timestamp
           }
           flow:drop()
     end
   end
}
Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.
La regla de seguridad se define a través de palabras clave haka.rule. Según expertos de servicios de auditoría informática las reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad. 
En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.
Según recomendación del profesor, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona asimismo, Roberto Talles,  que se tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.
Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:
$ hakapcap filter.lua filter.pcap

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:
En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group . En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.
Fuente: noticiasseguridad.com
Visítanos en Underc0de

Vulnerabilidad permite hackear Linux: verifica tu distribución


Dos investigadores de la Universidad Politécnica de Valencia han descubierto una vulnerabilidad tan extraña como grave en la mayoría de sistemas Linux

Pulsar 28 veces la tecla “Retroceso” durante el login del gestor de arranque produce el desbordamiento de una variable que acaba dándote acceso al sistema.

El bug afecta al gestor de arranque Grub2 desde la versión 1.98 (diciembre de 2009) hasta la 2.02 (diciembre de 2015), común en la mayoría de distribuciones de Linux

La vulnerabilidad afecta a “un número incalculable de dispositivos”según los propios investigadores. Cualquier persona con acceso local podría entrar al sistema sin necesidad de contraseñas.

Si el sistema es vulnerable a este error, el atacante puede acceder a la consola de rescate Grub y realizar lo que se conoce como un “ataque de día cero”: robar los datos del usuario, instalar software malicioso, destruir el sistema... Hacer, básicamente, lo que le dé la gana con el ordenador.

¿Te afecta esta vulnerabilidad? Como explican los expertos Héctor Marcó e Ismael Ripoll, puedes comprobarlo tú mismo presionando 28 veces la tecla “Retroceso” (o Backspace) cuando Grub te pide el nombre de usuario. Si se abre la consola de rescate o el ordenador se reinicia, el error te afecta.

En ese caso, hay una solución de emergencia mientras Grub saca una actualización oficial. Los dos investigadores españoles han programado un parche que puedes instalar tú mismo con este código:

$ git clone git://git.savannah.gnu.org/grub.git grub.git $ cd grub.git $ wget http://hmarco.org/bugs/patches/0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch $ git apply 0001-Fix-CVE-2015-8370-Grub2-user-pass-vulnerability.patch

Los desarrolladores de UbuntuRed Hat y Debian también han publicado sus propios parches de emergencia. 

Fuente: gizmodo.com

Compartimos exploit zero-day en WordPress


Hola amigos y lectores de Underc0de!

Cómo sabéis WordPress, es una de las plataformas de gestión de contenidos más populares para la creación de blogs o sitios webs que se ejecuten en entornos MySQL y Apache.

La facilidad de instalación del software (libre) y su uso intuitivo hacen que sea una de las opciones preferidas al momento de montar una web o bitácora propia.

Sin embargo, el sistema de gestión  no está exento de vulnerabilidades que los profesionales de la seguridad detectan con más frecuencia de la deseable.

En esta línea de ideas,  les traemos un Zero-day (autor: indoushka) -de fecha de hoy (13/12/2015)- vinculado a una vulnerabilidad remote file inclusion en WordPress  Squirrel Theme versión 1.6.4, describiéndosela como de alto riesgo.

Aquí podéis obtener el exploit.

Esta publicación tiene fines de divulgación, test e investigación. No nos responsabilizamos por el mal uso del mismo.

Fuente del Zero-day: 0day.today


Visítamos en Underc0de .

Configurando EDA2


Hola a todos, a petición de varios usuarios, he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/

https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/

https://underc0de.org/foro/malware/configurando-hidden-tear-(online)/

Repositorio oficial: https://github.com/utkusen/eda2

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:

  • Utiliza ambos algoritmos RSA y AES.
  • Se coordina desde un C&C
  • Utiliza CSPRNG y phplibsec
  • Los archivos cifrados se pueden descifrar con el software de la versión anterior.
  • Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST.

NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos.
NO FUNCIONA  Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:


Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).


En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:


3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:


4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.


5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.


6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.


Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:


7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:


8. Ahora deberemos crear los siguientes campos en nuestra tabla:


Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test


10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.


11.  Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).


12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados.  


13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.


14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.


15. Utilizamos la clave en el software y listo!


Saludos!
Blackdrake