miércoles, 30 de abril de 2014

Proyecto Naptha


El proyecto Naptha es un software para ambiente web que permite reconocimiento de texto. Este se emplea como add-on del browser que utilices.

Básicamente aplica automáticamente los algoritmos de reconocimiento de texto a cada imagen que se ve durante la navegación por la web. El resultado es una experiencia perfecta e intuitiva, donde se puede destacar, así como copiar y pegar e incluso editar y traducir el texto previamente atrapado dentro de una imagen.

Utiliza un OCR engine de tipo Open Source llamado Ocrad, el cual permite el proceso de reconocimiento.

Espero les sea de utilidad!!

lunes, 28 de abril de 2014

Troyanos bancarios, Bitcoin y Espionaje dominan en ciber-amenazas

Troyanos de banca móvil! Ataques a Bitcoin wallets! Amenazas de ciber-espionaje! Resulta que estos tres ciberproblemas están desarrollando sus vectores de ataque exactamente como se predijo para el 2014.

En diciembre Kaspersky Lab publicó su pronóstico de amenazas para el año 2014. Tres meses más tarde, los expertos de la firma de seguridad encontraron que los tres de sus "previsiones para el usuario final" ya habían sido confirmadas.

Por ejemplo, Kaspersky esperaba que los ciberdelincuentes continuarían desarrollando herramientas móviles para robar dinero en efectivo (expectativa que fue confirmado por la detección del troyano SMS.AndroidOS.Waller.a en marzo). De hecho, en el primer trimestre de 2014, el número de troyanos bancarios móviles casi se duplicó de 1321 a 2503.

"Es capaz de robar dinero de los monederos electrónicos QIWI pertenecientes a los propietarios de smartphones infectados", dijo Kaspersky en el informe. "El troyano en la actualidad sólo se dirige a los usuarios de Rusia, pero es capaz de propagarse en cualquier lugar con monederos electrónicos que se gestionen por medio de mensajes de texto."

Los cibercriminales también hicieron uso de algunas prácticas habituales tales como la difusión de troyanos para los móviles que roban el dinero con la ayuda de spam malicioso. Con ellos el alcance global es mucho mayor, dijo la firma. El troyano de banca móvil Faketoken, por ejemplo, ha afectado a los usuarios en 55 países, entre ellos Alemania, Suecia, Francia, Italia, Reino Unido y los EE.UU.

En febrero, los expertos de Kaspersky detectaron también el primer troyano para Android que utiliza un dominio en la pseudo zona .onion como un command-and-control (C & C). "El número de personas que recurren a la Darknet en un intento por proteger su información personal va en aumento", dijo Kaspersky. "Pero así como a estos usuarios, Tor sigue atrayendo fuerzas oscuras; redes anónimas pueden ocultar la actividad de malware, negocios en sitios ilegales y lavado de dinero."

El análisis Q1 de Kaspersky mostró que la proporción de las amenazas dirigidas a Android sigue superando el 99% de todo el malware móvil. Este malware aumentó un 1% en el primer trimestre. A finales de 2013, la colleción de malware móvil de Kaspersky Lab se situó en 189.626, pero en el 1er trimestre de 2014 se añadieron solamente 110.324 nuevos programas maliciosos. Al final del trimestre, había 299.950 muestras en la colección.

Mientras tanto, los expertos de Kaspersky esperan un crecimiento considerable en el número de ataques dirigidos a las wallets de los usuarios de Bitcoin, a bitcoins-pools y bolsas de valores, una predicción que de hecho se llevó a cabo.

"En los primeros tres meses del año hubo una gran cantidad de incidentes que demostraron que la predicción fue correcta", señalaron. "Entre lo más relevante fue el hack hecho a Mt. Gox, uno de los mayores sitios de intercambio de bitcoin, el hack del blog personal y de la cuenta de Reddit del CEO de Mt. Gox, Mark Karpeles, usándolos para publicar la MtGox2014Leak.zip, que en realidad resultó ser el malware capaz de buscar y robar en wallets de bitcoins de las víctimas ".

El primer trimestre de este año también vio un importante incidente ciberespionaje: en febrero Kaspersky Lab publicó un informe sobre una de las amenazas más avanzadas, the Mask. El objetivo principal era información confidencial perteneciente a agencias estatales, embajadas, empresas de energía, institutos de investigación y empresas de inversión privada, así como datos de activistas de 31 países. Según los investigadores, la complejidad del conjunto de herramientas utilizadas por los atacantes y varios otros factores sugieren que esto podría ser una campaña patrocinada por un estado.

"Además de los nuevos incidentes, vimos la continuación de campañas que ya habían terminado aparentemente", dijo Alexander Gostev, jefe experto en seguridad para el equipo de investigación y análisis global de Kaspersky, en un comunicado. "Por ejemplo, después de que los ciberdelincuentes habían cerrado todos los servidores de comando envueltos en la operación Icefog, hemos detectado una nueva versión Java de la amenaza. El ataque anterior iba dirigido a organizaciones en Corea del Sur y Japón, principalmente pero la nueva versión, a juzgar por las direcciones IP de seguimiento, sólo estaba interesado en las organizaciones de los Estados Unidos ".

También destaca que en el primer trimestre, Kaspersky encontró que 33,2% de los ordenadores de los usuarios de todo el mundo se sometieron a al menos un ataque basado en web durante los últimos tres meses. Una disminución de 5,9 puntos porcentuales en comparación con el mismo período del año pasado.

jueves, 24 de abril de 2014

vFeed® – Cross-Linked Vulnerability XML Database

Deseo mostrarles una herramienta hecha en Python (que la verdad uso mucho) muy útil llamada vFeed. Pero para explicarla, primero debo contarles brevemente qué es un CVE.

Pues bien, los Common Vulnerabilities and Exposures (CVE), son una lista de información registrada sobre conocidas vulnerabilidades de seguridad, donde cada referencia tiene un número de identificación único. De esta forma provee una nomenclatura común para el conocimiento público de este tipo de problemas y así facilitar la compartición de datos sobre dichas vulnerabilidades. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, que es el repositorio más grande de información sobre vulnerabilidades.

Una vulnerabilidad recién descubierta, para que sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:

  1. Etapa de presentación inicial
  2. Etapa de candidatura
  3. Etapa de ingreso en la lista (si es que la candidatura es aceptada)

Por esta razón la lista CVE no tiene vulnerabilidades de 0-Day (recién descubierta). OK la clase hasta aquí!!

Resulta y pasa que hay herramientas que nos facilitan la recolección de estos CVE's para saber que exploit usar contra un sistema. Una de estas es el vFeed® – The Open Source Correlated and Cross-Linked Vulnerability XML Database... vaya nombre! Fue hecha por NJ OUCHN (@toolswatch en Twitter) y fue construida con tecnologías Open Source:
  • Python
  • sqlite3
  • openCVSS.py v1.3 lib escrita por Brandon Dixon de 9b+
Básicamente es un listado de datos en XML que te permiten correlacionar una búsqueda de CVE's. Y puedes descargarla de su repositorio en GitHub aquí. Puedes usar la siguiente línea en un terminal:  git clone https://github.com/toolswatch/vFeed.git. Si no tienes usuario de GitHub te recomiendo bajarla de este otro link en formato zip.

Se podría ver así gráficamente:

vCORE_v2_Eg

El core de vFeed recolecta los basis xml feeds generados por alguna referencia, web por ejemplo. (en este caso los tipo NVD o CVE) y los correlaciona a través de múltiples orígenes de información. Estos son ejemplos de estas fuentes:

  • OVAL (http://oval.mitre.org)
  • CAPEC (http://capec.mitre.org)
  • CVSS (http://www.first.org/cvss)
  • Microsoft MS
  • Mandriva
  • Redhat
  • Cisco

Instalación y uso

Para instalarla, descomprime el zip que bajaste del link que te mencioné anteriormente, ingresar a la carpeta donde lo descomprimiste (asumo que eres un geek e hiciste los dos pasos anteriores desde el terminal!!), ejecuta el siguiente comando para actualizar la BD local: ./vfeedcli.py update y listo. Recuerda actualizarla de cuando en cuando, ya que es una herramienta offline.

Para ver cuales parámetros usar y ejemplos de ejecución puedes irte a este link. Igual te doy un tip: ./vfeedcli.py get_cve CVE-2013-1347

Nos vemos malignos (dijo Chema Alonso...)

Xenotix XSS Exploit Framework v5.0 de OWASP

Hola! Recibí la noticia que OWASP liberó la quinta versión de Xenotix. Excelente noticia para tod@s aquell@s travies@s que estaban esperando esta jugosa actualización.

Para los que no lo conocen este framework es considerado el segundo repositorio de XSS Payloads del mundo, con aproximadamente 1630 distintos XSS Payloads efectivos para hacer detección de vulnerabilidades XSS y hacer WAF Bypass. Este engine te permite crear tests personalizados con la Xenotix API. Además incorpora una característica muy útil con el módulo de Information Gathering para la etapa de enumeración. Sin mencionar también los módulos de explotación ofensiva de XSS para Penetration Testing y uno especial llamado: Proof of Concept Creation.

Puedes bajártela de aquí.

Estos son los cambios que trae la versión 5:

  • Xenotix Scripting Engine
  • Xenotix API
  • V4.5 Bug Fixes
  • GET Network IP (Information Gathering)
  • QR Code Generator for Xenotix xook
  • HTML5 WebCam Screenshot(Exploitation Module)
  • HTML5 Get Page Screenshot (Exploitation Module)
  • Find Feature in View Source.
  • Improved Payload Count to 1630
  • Name Changes

Necesitarás tener preinstalado Microsoft .NET Framework 4.0 y IronPython 2.7.3 para que funcione. El año pasado Xenotix fue de las herramientas más votadas como una de las mejores "Top Security Tools", ya que se caracteriza por dar una baja tasa de falsos positivos utilizando tres motores de los navegadores conocidos, Trident, WebKit y Gecko.

Acá les comparto información adicional de la herramienta en sus versiones anteriores:



File:XENOTIX EXPLOITATION.png

miércoles, 23 de abril de 2014

The Amnesic Incognito Live System, used by Snowden.

The Amnesic Incognito Live System  conocido como TAILS, es un sistema operativo tipo Live.

Su principal característica de este sistema operativo es que está construido con la privacidad como pilar principal. Es un sistema Linux basado en Debian y que integra varias herramientas ya configuradas para usar la red Tor, GPG, OTR (Off The Record), cifrado de discos y particiones (LUKS), etc.

La razón de esta entrada no es que TAILS sea un sistema operativo nuevo ni mucho menos, sino es porque según Wired y Freedom of the Press Foundation, este es el sistema que Edward Snowden junto al periodista Glenn Greenwald y la productora Laura Poitras, entre otros, usaban para comunicarse y así evitar ser espiado por la NSA.

Sus creadores se mantienen en el anonimato, por lo que muchos piensan que algún gobierno o la propia NSA estuviera detrás de este sistema, pero lo visto en una las diapositivas que han salido a la luz se puede observar como NSA quejaba de TAILS.

TAILS actualmente está en su versión 0.23, pero hay planes de que el 29 de abril salga a la luz so versión 1.0, después de 5 años de trabajo.

Si deseas apoyar este proyecto, puedes hacerlo a través de este enlace.

sábado, 19 de abril de 2014

Recolección de información con TinfoLeak.

Hola! Hoy deseo mostrarles una herramienta muy útil si necesitas recolectar información acerca de algún contacto de Twitter. Seguro dirás: "ninguna novedad... hay muchas". Pues si, pero esta Python-based tool que va por la versión 1.2 (y según su autor casi sale la 1.3) te arroja una muy rica cantidad de datos.

Al ser parametizable, permite ver datos básicos, cantidad de tweets, menciones, hashtags, ubicación geográfica y otros detalles.

Estas apps no intrusivas te permiten una recolección de datos previos, para múltiples propósitos. Cada quien sabrá para cuales... }:-)

Empecemos por el principio, su creador es Vicente Aguilera Diaz. @VAguileraDiaz. Representante del capítulo OWASP de España. Está hecha en python (v 2.7). La herramienta se llama Tinfoleak. Hay varios requisitos previos antes de usarla. Veamos a continuación:

  1. Asumo que están usando alguna versión de Linux, si tienes Windows asegúrate de buscar los instaladores adecuados. En mi caso uso una versión de Debian completamente inocente, la bella Kali.
  2. Si no tienes una cuenta de Twitter, pues deberás creártela. Dale, en 5 minutos haces este paso.
  3. Lo siguiente que necesitas es darte de alta como developer en Twitter. Esto para que puedas usar el API de Twitter, que va por la versión 1.1 (en este link encontrarás todo el framework necesario). Los pasos para hacerte developer puedes encontrarlos acá. Cuál es el resultado que debes esperar luego de seguir los pasos anteriores? Básicamente cuatro valores que deberás colocar en un archivo .py (py por Python) que luego explicaré.
  4. Los valores mencionados corresponden a los parámetros: CONSUMER_KEY (API Key), CONSUMER_SECRET, ACCESS_TOKEN y ACCESS_TOKEN_SECRET. Qué significan estos parámetros, no es relevante para este post, lo que debes saber es dónde colocarlos.
  5. Lo anterior nos lleva al siguiente paso. Bajen de la fuente original el programa Tinfoleak.
  6. Desempaqueten/descompriman el programa donde deseen. Abran el Tinfoleak.py con algún editor de texto. Busquen dichos parámetros (OAuth settings) y coloquen entre las comillas de cada uno, los valores que les asignaron en el sitio para developers de Twitter. Hasta aquí ha sido sencillo.
  7. No cierren el documento. Busquen la siguiente línea: api = tweepy.API(auth). La modifican de la siguiente manera: api = tweepy.API(auth, secure=True). Lo anterior es porque Twitter creo ciertas medidas de seguridad cuando ejecutas sus Apps desde programas externos. Si no hacen ese cambio les presentará un error similar a [‘SSL is required’, ‘code’: 92] ya que la invocación no es segura.
  8. Cierren el archivo anterior. El autor me comentó por correo que: Por otro lado, te informo que en los próximos días voy a publicar una nueva versión (la 1.3) de tinfoleak, que corrige algunos problemas, amplía la información obtenida y aporta una nueva e interesante funcionalidad. Si estás atento a mi web (http://vicenteaguileradiaz.com/tools/), la verás allí publicada en breve (seguramente antes del lunes 21 de abril). Así que ese fix que describí ya no se hará en la siguiente versión.
  9. Otro prerequisito es verificar si tenemos Tweepy. OK... respiremos un poco. Asumo que el autor usó Python porque es ultra simple de programar, y porque tiene librerías de virtualmente TODO. En nuestro caso necesitamos tweepy, que tiene toda la API de twitter. Normalmente se instala al instalar Python, si no, lo bajas y lo instalas. Si lo tienes, vete a la siguiente dirección: /usr/share/pyshared/tweepy/. Luego abres el archivo api.py y buscas la siguiente línea: api_root='/1'. Cambias el parámetro a api_root='/1.1' para que no te de el error: [The Twitter REST API v1 is no longer active. Please migrate to API v1.1]. Eso es porque Twitter cambió el API a la versión 1.1 y hay software que no ha sido actualizado, como el tweepy.
  10. Listo!!! Puedes ejecutar el TinfoLeak.py (recuerda que es con ./) con el parámetro --h para ver la ayuda. Te voy a dar mi ID de Twitter con la ejecución básica para que veas que sale (igual puedes usar la tuya): ./tinfoleak.py -n elbartocr -b
  11. Recuerda ejecutarlo en la carpeta donde lo bajaste.
Espero lo disfruten! Nos vemos!

miércoles, 9 de abril de 2014

Fallo en OpenSSL: Heartbleed

Hace un par de días atrás el US-CERT sacó la noticia que dejó atónitos a muchos (incluyéndome) en internet.

El fallo fue descubierto entre un grupo de investigación de Google y una firma de seguridad llamada Codenomicon. Y básicamente, este threat compromete las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real. Esto permite a los atacantes espiar las comunicaciones, se roban los datos directamente de los servicios, de los usuarios y suplantarlos.

El problema radica en el chequeo del "TLS heartbeat extension" del OpenSSL (de ahí el nombre Heartbleed) que permite capturar y desencriptar desde nombres de usuario hasta contraseñas en los primeros 64k de memoria conectados al cliente o al servidor de dicha extensión.

Las versiones afectadas son 1.0.1, 1.0.1f , 1.0.2-beta y 1.0.2-beta1 de OpenSSL.

Para arreglar la vulnerabilidad los usuarios deben actualizar al OpenSSL 1.0.1g. O bien recompilar su versión de OpenSSL con -DOPENSSL_NO_HEARTBEATS. La versión 1.0.2 será arreglada con 1.0.2-beta2.

Una nota curiosa es que la NIST, catalogara dicha vulnerabilidad como nivel medio:

http://web.nvd.nist.gov/view/vuln/search-results?query=+CVE-2014-0160&search_type=all&cves=on