Video con rapida intruducción al tema #ACTA
Si por casualidad llegaste a este blog, seas quien seas, no importa a lo que te dediques o que edad tengas, por ser usuario de internet, tienes que conocer esto que esta sucediendo en estos momentos.
Evolution of Security de F-Secure
<div style="text-align: center"><object width="560" height="340"><param name="movie" value="http://www.youtube.com/v/cYiX8ATZmQk&hl=es&fs=1&"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/cYiX8ATZmQk&hl=es&fs=1&" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="560" height="340"></embed></object></div><br /><br /><br /><br />Durante el ultimo año he reflexionado mucho sobre los antivirus y en cuento a la efectividad y negocio: mi opinion es que la guerra malware vs. antivirus en estos momentos tienen los virus la delantera, y los antivirus estan pasando por una crisis y coyuntura critica en la historia.<br /><br /><br /><br />En mexico la pirateria de antivirus fue el pilar sobre lo que se soportaba los esfuerzos aislados de cualquier persona para hacer frente a una amenaza, el adquirir software más avanzado y suites de seguridad pues no era algo que se considerara necesario.<br /><br /><br /><br />Ahora, con la aparición de los antivirus gratuitos y dentro de este contexto, se esta sacudiendo desde sus cimientos el negocio del software de seguridad y vienen cambios fuertes en cuanto tecnologia, servicios y cultura.<br /><br /><br /><br />Yo siempre he tenido mucho respeto y asombro por la filosofia que toman los de F-secure y su director de investigacion Mykko, siempre me han parecido diferentes a todos los demas. Son quienes tienen uno de los mejores centros de investigacion sobre amenazas ciberneticas.</p>"
c:\fakepath y los sistemas del IMSS
Pues el incidente del día con el que abrimos la sesión de llamadas de emergencia es muy interesante.<br />
<br />
Se reportan casos donde al usar los sistemas del seguro social IMSS IDSE partes del SUA entre otros, el navegador presenta una ventanita con un mensaje de error de que "No se pudo encontrar el archivo c:\fakepath\certificado.pfx".<br />
<br />
El error es muy sencillo de burlar pero complejo de determinar.<br />
<br />
Particularmente se presenta con versiones de Internet explorer 8, y la causa es una reciente actualización del motor HTML del IE que ahora viene preparado para manejar la versión 5 de HTML.<br />
<br />
Pero una de las características es que tiene un pequeño bloqueo para ocultar la ruta que del archivo local que se incluye en la forma POST cuando se visita un sitio que el navegador considera de la zona general de internet.<br />
<br />
Lo que hace es reemplazar entonces la ruta local del archivo que se va a enviar por c:\fakepath, pero ese cambio en el nombre de la ruta esta provocando que las aplicaciones basadas en web o java-applets como las del IMSS se confundan al localizar el archivo.<br />
<br />
La solución más rapida y sucia es añadir el sitio que se visita a la lista de sitios de confianza del IE en herramientas - opciones - seguridad - zonas de seguridad, y con eso ya vuelve todo a la normalidad.<br />
<br />
Lo que me falta averiguar es si esa determinación por cambiar la ruta del archivo del POST es una directiva del HTML 5 o un "feature" de microsoft.
Nueva historia vieja: 2WIRE GATEWAY AUTHENTICATION BYPASS
Esto ya lo he visto antes, y por lo tanto, pues hay una perspectiva de como se puede poner en el futuro.<br />
<br />
Debido a la presencia en las casas y negocios de los routers 2wire, pues parece ser que habra mucho trabajo por hacer.<br />
<br />
Se me ocurren un par de formas de podría funcionar un ataque basado en esta técnica usando correos, archivos executables o javascript, así que hay definitivamente un enorme potencial de daños.<br />
<br />
Interesante que venga firmado por hackers mexicanos ademas.<br />
<br />
2WIRE GATEWAY AUTHENTICATION BYPASS & PASSWORD RESET<br />
====================================================<br />
<br />
<br />
DESCRIPTION<br />
-----------------<br />
There is an authentication bypass vulnerability in page=CD35_SETUP_01<br />
that allows you to set a new password even if the password was<br />
previously set.<br />
<br />
By setting a new password with more than 512 characters the password<br />
gets reset and next time you access the router you will be prompted for<br />
a new password.<br />
<br />
<br />
VULNERABLE<br />
----------------<br />
2Wire 2071 Gateway<br />
2Wire 1800HW<br />
2Wire 1701HG<br />
<br />
Firmware<br />
5.29.51<br />
3.17.5<br />
3.7.1<br />
<br />
NOT VULNERABLE<br />
--------------------<br />
Firmware<br />
5.29.135.5 or later<br />
<br />
<br />
DISCLOSURE TIMELINE<br />
-------------------------<br />
03/27/2009 - 2wire Contacted<br />
no satisfactory response<br />
07/11/2009 - Sent complete details to 2wire<br />
no response<br />
07/17/2009 - Sent advisory with video demo to 2wire<br />
ticket status escalated, but no response<br />
08/02/2009 - Made public @ Defcon 17<br />
<br />
<br />
EXPLOIT/POC<br />
-----------------<br />
Authentication Bypass - just use this page to set a new password<br />
<br />
http://gateway.2wire.net?xslt?page=CD35_SETUP_01<br />
<br />
Video: http://www.hakim.ws/2wire/2wire_CD35_Bypass.ogv<br />
<br />
<br />
Password Reset - using the same form but sending a password > 512<br />
characters<br />
<br />
http://gateway.2wire.net/xslt?PAGE=CD35_SETUP_01_POST&password1=*Ax512*&password2=*Ax512*<br />
<br />
Video: http://www.hakim.ws/2wire/2wire_CD35_Reset.ogv<br />
<br />
<br />
GREETS<br />
------------<br />
sdc lightos pcp nitr0us 0xf alt3kx darko DeadSector Etal gwolf<br />
h4ckult1m4t3 hackerss hd k00l kaz Kbrown mendozaaaa nahual Napa nediam<br />
raza-mexicana roa Setting sla.ckers thornmaker tr3w vandida vi0let<br />
xianur0 Yield<br />
<br />
Comunidad Underground de Mexico : https://www.underground.org.mx<br />
<br />
<br />
h k m<br />
http://www.hakim.ws<br />
DDoS a gran escala por MyDoom
El gusano MyDoom ha esta circulando ya por unos cuantos años, creo que ya va por la variante XY o sea como unas 100 versiones del mismo gusano. Vuelve ahora a los titulares por un ataque de negación de servicio distribuida a sitios web en estados unidos de alto perfil como FTC.com, nasdaq y otros.<br />
<br />
La pregunta que todos se hacen es porque? cuando en realidad es porque no? las botnets que se forman con los gusanos actuales alcanzan cientos de miles de miembros, de forma que tienen a su disposición una enorme capacidad de fuego para dejarselo caer sobre cualquiera, aunque sea por diversión o aburrimiento.<br />
<br />
Hay que aclarar que un DDoS no implica una intrusión en la victima, solo estan cortando su capacidad de comunicarse con otros.<br />
<br />
http://isc.sans.org/diary.html?storyid=6757<br />
http://www.f-secure.com/weblog/archives/00001720.html