znBlog v4.0 - Security

Defease Hack

nospam@example.com (th1nk3r) — Tue, 29 Apr 2008 07:58:05 +0000

Gracias a BenKo he descubierto que me han hecho un defease en el blog. Uno bastante simple, solo han cambiado el index.php por un fichero html. La única página comprometida de todo el servidor ha sido esta, la que usa serendipity, por lo que supongo que han usado un bug de este CMS. Ahora a buscar información de como lo han hecho

Actualización
Bueno, al final si que era un bug del serendipity. Jodidos script-kiddies xD

Nuevas Adquisiciones

nospam@example.com (th1nk3r) — Fri, 03 Mar 2006 04:28:00 +0000

Hoy voy a hablar un poco de mis últimas adquisiciones literarias, en concreto, de estas dos joyas del underground informático.

Por un lado, The Art of Deception y por otro The Art of Intrusion, ambos del famoso Kevin Mitnick y de William L. Simon. Una lectura práctica y amena de la que sacas 2 conclusiones claras: "El eslabón más débil de la cadena es el ser humano" y "El ser humano es estúpido por naturaleza"... bueno, la verdad es que ambas ya las conocía bastante bien, pero nunca viene mal recalcarlas un poco

The Art of Deception tiene un prólogo bastante interesante de Steve Wozniak (Si no sabéis quien es, no se que hacéis leyendo esto ). Este libro es un tratado básico de Ingeniería Social, imprescindible tanto para atacar como para defenderse . Da detalles claros sobre como obtener información sensible (y como lo hacen muchos detectives) y por supuesto, como usarla para lograr lo mas valioso en todo el proceso: "confianza". Una vez confían en ti, tienes las puertas abiertas y las llaves en el bolsillo xDDD
Este libro también es interesante porque al final da políticas claras y directas para disminuir lo máximo posible el peligro de estas técnicas.

El otro libro, The Art of Intrusion, es un compendio de historias reales sobre hackers, crackers y timadores informáticos (sin que por ello estén relacionados ). Un libro que pinta interesante y entretenido, ya os contare cuando lo lea
Por cierto, ambos están en Inglés (como no ) y los podéis pillar de amazon, aunque son bastante caros

Contraseñas seguras

nospam@example.com (th1nk3r) — Mon, 05 Sep 2005 21:04:00 +0000

Me han pedido ayuda para elegir una buena contraseña, y como no me gusta repetirme, lo colgare por aquí, espero que le sea de utilidad a más gente. En primer lugar: No existe nada completamente seguro. A modo de ejemplo se suele decir que el ejército piensa que el único ordenador seguro es el desconectado de cualquier cable y enterrado bajo 1 tonelada de cemento, pero tengo mis dudas sobre esa analogía xD

En segundo lugar: La seguridad es antagonista de la facilidad de uso. Con lo cual no quiero decir que no se puedan dar a la vez (o no darse ninguna de ellas xD), pero si que a medida que se aumenta la seguridad los sistemas "suelen" dejar de ser amigables para el usuario, y a la contra, cuando se intenta dar demasiadas facilidades al usuario, a menudo se deja a un lado la seguridad. Pueden convivir, pero a menudo rivalizan en cuanto a la estrategia a seguir (ejemplo, hay veces que lo mejor sería solicitar login y contraseña al acceder al sistema y algún tipo de clave extra o contraseña distinta para verificar ciertas operaciones, sin embargo, por comodidad y supuesta facilidad de uso, a veces incluso se anulan las contraseñas mas básicas).

En tercer lugar: Una cadena es tan fuerte como el eslabón mas débil. Da igual como de segura sea tu contraseña si la envías sin encriptar por una red conmutada... o si usas servicios de Microsoft

Existen muchas guías que supuestamente ayudan a elegir una buena contraseña, pero lo primero es conocer los peligros.

En primer lugar, las conexiones. Si tu contraseña se va a enviar por un entorno comprometido (cibercafés, universidades, conexiones sin encriptar o no seguras) puedes ir haciendo las maletas y olvidándote. Ni siquiera las típicas conexiones https (ssl + http) usadas tan abiertamente en internet son seguras en entornos comprometidos (universidades, cibercafés, parties, etc), ya que existen formas de descifrarlas, y algunos sniffers ya incorporan la opción.

A parte del medio, también hay que tener en cuenta el emisario y el receptor. ¿El ordenador desde el que envías la conexión es seguro? ¿Estas realmente seguro? Desde caballos de troya hasta keyloggers, hay muchas cosas que pueden volver tu ordenador inseguro. En el caso del receptor la cosa es aun peor. No tienes control sobre el destinatario de tu contraseña, así que mucho cuidado con ella. Tal vez el site este comprometido, o tal vez solo sea una fachada para capturar tu contraseña.

Lo ideal por todos estos motivos sería una contraseña biométrica, sin embargo, solo son datos que pueden imitarse fácilmente en cuanto se tiene una muestra (la típica chorrada de películas de usar la mano o el ojo de un muerto). La otra opción es usar una contraseña en función de factores externos. El caso mas famoso es el de las protecciones de los juegos antiguos: no tienes una contraseña única, sino que te dan un mínimo de información y de ahí tu obtienes la contraseña correcta (página xx, linea yy, palabra zz del manual). Algunos bancos (así de repente, LaCaixa) empiezan a usar este sistema con unas tarjetas que les dan a los clientes para verificar las operaciones. Otra alternativa sería usar algún tipo de algoritmo temporal (cada hora una contraseña distinta generada a partir de esa hora), sin embargo, si el algoritmo es comprometido, toda la floritura tecnológica resulta inservible.

Bueno, a parte de desmoralizar, esto ha servido para demostrar que nada es seguro... bueno, solo la muerte, y aun busco la forma de evitarla

A la hora de elegir vuestras contraseñas tenéis que tener muy en cuenta el destinatario, ya que puede ser terriblemente inseguro. Puede que el foro en el que te estás registrando sea una fachada para que crees un usuario y una contraseña. Mucha gente usa el mismo login para todo, incluso para la tarjeta de crédito . Aunque no sea así, es muy probable que se use la misma contraseña para todos los foros, o para foros y correo, así que en cuanto tengan uno de tus login podrán acceder fácilmente a otros sitios.
La solución es no usar el mismo login (user + pass) 2 veces, pero esto lleva a demasiado caos mental e incluso puede llevarte a cometer el error de introducir el login en un server equivocado (donde por supuesto, quedara almacenado ese intento, y donde tu login habrá sido comprometido). Apuntarlo en algún sitio (aunque sea con los sistemas de login automático de los navegadores o el SO) tampoco es buena idea. El medio donde se ha almacenado la clave puede verse comprometido, o peor, perderse...

Una alternativa es usar como parte del login algo reconocible del site. Por ejemplo, para registrarse en el foro: foro.secur.org podriamos usar el login:

user: th1nk3r
pass: secur+0011223344

Siendo 0011223344 algo común a todos tus logins, y secur algo significativo del site. El problema: cualquiera que vea ese password puede encontrar una correlación directa con el site y extrapolarla a otros sitios. Lo ideal sería que la correlación no fuera tan fácil de ver, pero que aun así el usuario pueda obtener la contraseña con un algoritmo manual sencillo.

Si nos decidimos por usar varios logins distintos según la importancia y prioridad de uso (uno para tu pc de casa, otro para el pc del trabajo, otro para correo, otro para foros habituales, otro para foros o registros temporales, etc), las estrategias deben variar. Cuanto más variemos nuestra estrategia de un sistema a otro, menores serán los daños.

Aquí es donde debe entrar en juego una cambio total de perspectiva, y principalmente, olvidarse de lo que digan los demás (especialmente, las guías para elegir una buena contraseña). A pesar de intentar ser lo mas genéricas posibles, las guías suelen repetir las mismas estrategias. Estas estrategias son conocidas por los crackers que las usan para crear diccionarios de contraseñas genéricas.

Contra un ataque de fuerza bruta (ir probando letra a letra) solo nos ayudaran 2 cosas: tener una contraseña lo más larga posible y usar caracteres raros siempre que sea posible (como guiones, símbolos matemáticos, acentos, comillas, etc). Considerando los ordenadores medios (su cpu y su ram), los ataques de fuerza bruta son cada vez más exitosos. Existen medidas para evitarlos, pero dependen de los servidores de acceso, y como he dicho antes, no podemos confiar en su seguridad.
Cada dígito que incorporemos a nuestra contraseña, dificulta exponencialmente los ataques de fuerza bruta. Además, estos ataques suelen usar caracteres alfanuméricos, el uso de símbolos y caracteres raros, a pesar de no ser infalibles, si presentan una dificultad añadida a este tipo de ataques.

Por otro lado están los ataques de diccionario. Muy comunes y exitosos (sobretodo contra webs porno que usan ficheros .htaccess de apache como control de acceso). Existen gran cantidad de diccionarios, y no precisamente con palabras comunes. Muchos diccionarios de este tipo se forman a partir de contraseñas robadas de bases de datos inseguras (como por ejemplo, hotmail). De ahí la importancia de no usar contraseñas repetidas, o usarlas solo en sistemas de plena confianza. El éxito de un ataque con estos diccionarios depende de lo buenos que sean, y de la casualidad. Por suerte (o por desgracia) este tipo de ataque es eficaz al buscar contraseñas de usuarios aleatorios, pero no son eficaces al atacar a un usuario concreto. Con este tipo de ataque no sirve la estrategia de cambiar letras por números, ya que es posible que alguien ya haya pensado en esa estrategia.

Toda esta disertación para concluir que no existe ningún tipo de contraseña o verificación de seguridad completamente segura.
Mi consejo: "Usa la cabeza".

— Usa contraseñas distintas siempre que puedas, y no uses contraseñas importantes en sistemas comprometidos o en los que no confíes completamente (sobretodo foros, registros obligatorios para webs, etc)
— Tus contraseñas importantes (ordenador, trabajo, correo, banco, etc) deben ser distintas y no debes usarlas para nada más. No las apuntes, cámbialas regularmente (aunque sea siguiendo un algoritmo temporal; por ejemplo, añadiendo al final del pass la inicial del mes o el último dígito del año), y solo accede a través de conexiones seguras en sitios que tengas controlados (nunca desde accesos públicos).
— Las contraseñas deben ser lo más largas posibles para dificultar ataques de fuerza bruta, pero solo es necesario cuando exista peligro real con estos ataques (si el sistema o la cuenta se bloquea tras 4 intentos fallidos, estos ataques no tendrán ningún efecto).
— Las contraseñas solo deben tener sentido para ti y cambiar letras por números ya no resulta un algoritmo "tan seguro" como hace unos años.
— Nunca uses la pregunta secreta para recuperar la contraseña. Si puedes elegir la pregunta, escribe una pregunta que de forma retorcida te recuerde la contraseña pero no escribas una respuesta a esa pregunta válida. Si el sistema te permite escribir una frase que te recuerde tu contraseña, no lo hagas, eso también ayudaría al atacante.
Hace años, cuando daba clases, en la sesión de seguridad siempre les recomendaba intentar acceder a distintas cuentas de correo y tratar de adivinar la pregunta secreta. No imagináis la cantidad de gente que usaba el nombre de un mes o de un color como respuesta secreta.

Bueno, como dije al principio, espero que este resumen tan "desordenado" le sirva a alguien.

¿Guerras informaticas encubiertas?

nospam@example.com (th1nk3r) — Mon, 29 Mar 2004 18:25:00 +0000

Me llega una noticia de algunas listas de correo sobre un libro publicado por Thomas C. Reed, secretario y consejero del ex-Presidente Ronald Reagan.
Según Reed, en 1981 la administración Reagan descubrió que la Unión Soviética había estado robando tecnología Americana a gran escala, de forma que ambos bandos no estaban compitiendo, sino que el Pentágono competía consigo mismo. De esta forma el director de la CIA, William Casey, y el consejero de la NSA, Gus Weiss, desarrollaron un plan de acción.

Los Agentes Rusos robaban material, y nosotros sabíamos que iban a robar exactamente. Cada microchip que robaron estaba creado para funcionar bien durante 10 millones de ciclos, y entonces comenzar a funcionar de forma aleatoria.

Según Reed, el resultado mas espectacular de este efecto dio lugar a una gran explosión en verano de 1982 en una refinería de gas natural en Siberia. Los espías soviéticos robaron cierto software necesario para operar la maquinaria, sin darse cuenta que llevaba un troyano. Analizaron el código y les pareció bueno, e incluso funciono bien durante un par de meses. Sin embargo, el programa estaba preparado para funcionar bien 4 o 5 meses hasta que el software incrementaba anormalmente la presión.

La versión rusa, parece desmentir todo esto, ya que el ex-agente del KGB Vasily Pchelintsev, que trabajo en el área en el 82, ha comunicado al Times de Moscú que la versión de Reed es falsa. Pchelintsev dice que la única explosión ocurrida en esa época fue en Abril, no en verano, y según las investigaciones fue debida a fallos en la construcción.

Muy curioso todo este asunto, y muy preocupante también. Como puede ser toda esa gente tan infantil e irreflexiva. Las consecuencias de todo esto podrían haber sido terribles y ellos siguen con sus estúpidos juegos incluso ahora buscando nuevos enemigos. La tecnología punta sigue siendo el software que controla todos los nuevos descubrimientos, y a saber que se esconde dentro de este software. Una gran solución es el software libre, para así poder confiar y comprobar el contenido del software instalado en nuestros sistemas y evitar backdoors y troyanos como estos. Pero aun así, no deja de preocuparme que esta misma gente, la NSA colabore en los programas de 'seguridad' y versiones 'seguras' de Linux (¿selinux?).
Y si no podemos fiarnos ni siquiera del código que podemos ver, ¿como vamos a fiarnos del código desconocido presente en tantos sistemas gubernamentales? ¿Es tan fácil que la gente olvide que hace 1 año los sistemas de seguridad de una central nuclear fallaron por culpa de una saturación de la red causada por Windows? Muchas preguntas, para tan poco espacio...