Categoría: Hacking

Nicolas Chamatropulo


Microsoft termino el soporte para la mayoría de las computadoras con Windows XP en el año 2014, pero a partir del dia de hoy está ofreciendo un parche de actualización para este sistema operativo que ya cuenta con 16 años de edad.

Como lo describen en el posteo que realizaron en su blog de seguridad, están realizando esta acción inusual, debido a que sus clientes de todo el mundo, en los cuales se encuentran empresas estatales de países importantes sufrieron un golpe de “WannaCrypt” ransomware, como muy bien nos explicó Fabio el día viernes (ver aquí).

Microsoft realizo una actualización en marzo sobre los sistemas que si mantenía soporte activo para corregir el fallo, por eso este ataque no se realizó en la totalidad de las computadoras. Pero no les quedo otra que sacar este parche para la totalidad de sus verisones. Ingresando en este link, podrán encontrar el parche para descargar e instalar en Windows XP, Windows 8 y Windows Server 2003.



Esto no solo es importante para empresas también para usuarios particulares, si todavía se encuentran ejecutando sistemas operativos antiguos, como los que nombramos anteriormente, deberán parchear inmediatamente y ponerse en planes de realizar una actualización a alguno más actual.
Fabio Baccaglioni


Qué día y qué fin de semana van a tener varios administradores de sistemas! y no estamos hablando de redes pequeñas, empresas como Telefónica, Iberdrola, Gas Natural, Vodafone, varias de Rusia y Ucrania hasta el NHS, el National Health Service británico, la entidad de hospitales, el sistema de salud!

Si, en este caso estamos hablando del WanaCrypt0r 2.0 / WannaCry / Wanna Decryptor o como lo llamen, un ransomware que está solicitando alrededor de 0.2 bitcoins (alrededor de USD 300) para recuperar archivos de los sistemas afectados.

¿Qué equipos infectó? Principalmente con Windows, los más comunes en las oficinas, y todas sus versiones pero principalmente las viejas que ya no reciben soporte oficial de Microsoft.

Para aquellos que viven en la modernidad tengan en cuenta que muchas instituciones privadas o públicas cuentan todavía con equipos con Windows XP, no es chiste, además de Vista, 7, 8, 8.1 y varios más. Pero este tipo de ataques, utilizando vulnerabilidades de SMB sin parchear (Windows SMB Remote Code Execution Vulnerability).

Ahora bien, ¿De dónde sale este ransomware? Pues no es más que una combinación de los existentes (encriptan archivos, te piden rescate con amenazas) con las herramienas filtradas de la NSA (National Security Agency) que se publicaron hace unos meses donde se detallaban varios vectores de ataques posibles sin parches que eran explotados por la agencia de inteligencia y que ahora quienquiera puede utilizar contra usuarios desprevenidos (y desactualizados).

Se que muchos prefieren seguir con su viejo y querido Windows 7 o hasta XP, pero señores, es el año 2017, salvo que sean unos genios del backup lo ideal es tener un sistema actualizado y el único que puede lanzar un parche en tiempo y forma es Windows 10, MacOS o Linux en sus últimas versiones. Jugar al héroe con un sistema operativo viejo es ridículo. Además de esto, claro, podemos insistir con usar algún sistema operativo alternativo, pero no viene al caso

Para aquellos que creen que un antivirus es la solución les aviso que... estan equivocados, son bastante colador y por más antivirus hasta que éste reciba una actualización para frenar el ransomware es probable que éste ya haya encriptado tus archivos más preciados.

Según el CCN-CERT español las versiones de Windows afectadas son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016


Es decir, prácticamenete todo lo que hay en mercado hoy en día.

Si tienen alguna de estas versiones les recomiendo ejecutar la actualización de Windows o chequear aquí si estan en peligro (si no suelen actualizar automáticamente 100% de probabilidades de estar en riesgo). El parche (depende verisión, para W10 es KB3213986) está disponible desde Enero así que, por favor, no se arriesguen innecesariamente.

Más sobre este tema aquí, aquí y aquí
Fabio Baccaglioni


PS4: PC Master Race es el nombre de la charla que dio en el evento 33c3 el famoso hacker Fail0verflow (marcan) y cuando digo hacker es de los de verdad, no esos script kiddies que vemos en algún noticiero porque le robaron unas fotos a un famoso, estamos hablando de hackear una P4 a nivel físico y de software.

La demostración, que tienen a continuación en video (dura una hora y con detalles MUY tecnogeeks), es fantástica, no sólo tuvo que hacer un ataque man-in-the-middle en el PCI Express, si, cortando cables, sino que fue exploit por exploit, analizando cada mensaje interno, entenidendo la estructura interna de la PS4 que, si bien parece una PC, no es del todo una PC.

El hacking llegó no sólo a poder instalar y bootear Linux, sino a tener control de la aceleradora 3D (tanto CPU como GPU son de AMD) y poder hacer un uso intensivo de puertos y conexiones, llegando a instalar Steam y jugar al Portal.

Toda la presentación la hace desde, claro, una PS4 y su joystick, y desde el vamos arranca booteando normalmente la PS4 (Firmware 4.05) y pasando a Linux, luego a una GUI bien simplificada para evitar uso de recursos pero toda la presentación la ejecuta ahí. Muy buena demo.

Eso sí, no hay planes de publicación para el exploit, sólo el kernel ultra modificado que se necesitó ajustar para las limitaciones de la PS4, no quieren meterse en los típicos problemas, menos con Sony, y es por arte puro, por el hacking más básico y sano, usar el hardware al máximo.

El único detalle en el video es que Fail0verflow habla más rápido que yo, por momentos es difícil seguirlo si no tenés un buen oído para el inglés, olvídense de subtítulos en algo a esta velocidad, por suerte la presentación está llena de los detalles que tuvieron que superar paso a paso.



Via Wololo
Fabio Baccaglioni


Piensen en los estrenos de las últimas series, en las carreras de F1 o los partidos de fútbol, todos los días decenas de sitios de streaming logran llevarnos esos contenidos que las empresas de medios tratan de evitar. En la mayoría de los casos ni siquiera existe una alternativa paga, ni que uno quiera, no al menos a nivel global.

Esto provocó el nacimiento de dichos sitios y ya sea por streaming directo por HTTP o por Spocast, Acestream o lo que sea hay una buena cantidad de contenidos que se pueden acceder que normalmente nos estarían vedados. Por el momento los canales de TV no tienen mucho para hacer pero los de Cisco dieron con una vieja idea, la marca de agua.

En resumidas cuentas buscan implementar una marca de agua individual para cada cliente de TV por cable, un sistema que detecte y automáticamente le avise al proveedor de cable a quien cortarle la señal. Así directo, el Streaming Piracy Prevention busca dar sólo con la fuente y no con el que consume el stream, cortar la cabeza por la serpiente.

Cisco lo ofrece como un método seguro que deja por fuera a los abogados y las demandas, no hace falta un cease-and-desist, simplemente te cortan el partido de fútbol que estás emitiendo. La forma de implementación requiere incorporar en la señal una especie de watermark que no afecta la imagen en sí (Esteganografía) y luego cuando se encuentra un stream sencillamente se obtiene el ID del cliente.

Cisco coordina esto con la empresa británica Friend MTS quienes son los que detectan y avisan a los proveedores con el nada amistoso Advanced Subscriber iDentification (ASiD). En un primer caso se puede identificar tan sólo al proveedor, por ejemplo HBO identifica que es Cablevisión el que emite, pero el ASiD permite identificar unívocamente al cliente final.

Tengo mis dudas al respecto del sistema, es decir, si hay un método esteganográfico para incorporar la marca de agua en la señal entonces la misma se puede confundir o modificar, al fin y al cabo quien hace el streaming está recibiendo la señal, puede procesarla, modificarla, encriptarla y emitirla, no digo eliminando completamente la marca de agua sino alterándola. También habrá que ver cómo funciona con la compresión. Para que una marca de agua sea invisible tiene que alterar muy poco lo que se transmite, pero he aquí que ante la compresión (que no es 1 a 1, se rompe un poco todo) esos bits inservibles son justamente eliminados y/o modificados.

Tal vez el futuro del streaming "no tan legal" sea el de una imagen no full HD ni 4K, pero que sobrevivirá un tiempo, está por verse

Via TorrentFreak y Cisco
Fabio Baccaglioni


Hace menos de un mes escribí sobre el ataque masivo de 1Tbps contra el ISP OVH que desestabilizó todos sus sitios y clientes.

Hoy el objetivo fue Dyn, un proveedor de DNS, y por ende la dificultad para Twitter, Spotify, Reddit, The New York Times, Pinterest, PayPal entre otros atacados desde la botnet Mirai.

No estamos hablando ya de un sitio de un bloguero, estamos hablando de sitios mayores, la primera liga, el ataque de la herramienta Mirai es la misma que había atacado el blog de Brian Krebs donde tan sólo 145.000 equipos IoT lo habían atacado en septiembre.

Y es allí donde debemos mirar, la enorme cantidad de equipos conectados a la red que no son ni PCs ni teléfonos, routers, cablemodems, cámaras de seguridad, DVRs, y lo más importante: ninguno de estos tiene la más mínima seguridad, son un colador todos.

En muchos casos passwords de admin públicas, o certificados SSH que puede obtener cualquiera, vulnerabilidad total de todo equipo barato chino, la consecuencia es la destrucción de lo que hoy conocemos como Internet en manos del Internet de las Cosas, terrible ironía.

El código de Mirai se hizo públco hace unos días por lo que cualquier potencial atacante se hizo del fuente y hoy podría sencillamente hacerlo cualquiera con deseos y recursos. Puede ser un grupo de hacking, puede ser una represalia por el corte de internet a Julian Assange, puede ser Rusia, puede ser ISIS, puede ser Corea del Norte, puede ser un vago aburrido en un Starbucks, tipos amenazando para obtener bitcoins so pena de ataque, o tal vez una empresa ofreciendo servicios contra estos ataques, ejem.

Pero hay que tener en cuenta otra variable, el ataque de hoy fue aprendizaje y adaptación, no fue uno solo, fueron varios, el tercero recién mitigado por Dyn y estan aprendiendo a hacerlo mejor.

Bienvenidos a una era en la que la censura se puede aplicar más fácil que en ningún otro momento y sin matar a nadie, la "democratización" de la censura, un DDOS y se acabó.
Fabio Baccaglioni


Hace tan sólo una semana el sitio de seguridad informática KrebsOnSecurity recibía un ataque DDOS bestial de 620 gigabits por segundo, pero esto no fue el techo, el 19 de septiembre el poveedor francés OVH sufrió un ataque aun mayor.

Con una intensidad de hasta 1.1TBps seguido de un segundo ataque de 901 Gbps y varios más después, OVH calcula la capacidad de la botnet atacante de hasta 1.5TBps con nodos enviando de 1 Mbps a 30Mbps cada uno.

¿Desde donde se realiza el ataque? Pues bien, aquí lo más interesante de todo, ya no es infectando máquinas comunes ya que ultimamente se han vuelto muy buenas para contener el problema, sea por antivirus, conciencia de los usuarios o lo que fuere, el problema está en la enorme cantidad de routers inseguros y cámaras de seguridad vía internet, miles y miles de dispositivos IoT sin seguridad alguna y fáciles de vulnerar.

El lunes pasado más de 6800 cámaras se habían sumado a la botnet y para el miércoles entraban 15.000 nuevos dispositivos, generando ataques de hasta 800Gbps en 48 horas. La botnet está utilizando alrededor de 145.000 cámaras.

Según el CTO de OVH, Octave Klaba, la red parece ser la misma que atacó KrebsOnSecurity, considerando que en Junio la CDN Akamai había contabilizado 363Gbps como el máximo récord de una botnet esto ha crecido un 200% en apenas tres meses y no para de incrementarse.

Las advertencias contra lo inseguros que son los dispositivos IoT se vienen escuchando hace rato pero la producción de equipos de bajo coste era demasiado atractiva, ahora miles de equipos son vulnerados a diario y asociados a distintas botnets, claramente esto de ahorrar costes nos hará pagar un coste altísimo ya que no me extrañaría que en los próximos meses vuelva a triplicarse generando una botnet de más de 3Tbps de capacidad, algo que ningún ISP podrá resistir de golpe.

Si ustedes tienen routers o dispositivos conectados a la red googleen un poco para conocer si su modelo es vulnerable y si existe actualización de firmware. Lamentablemente la mayoría de los routers hogareños no tienen updates disponibles porque los fabricantes no dedican ningún recurso a las actualizaciones, todos los routers son riesgosos y ni hablar de las cámaras web, cero seguridad, usuarios admin con password fijos de fábrica y un largo etcétera.

Via Arstechnica
Fabio Baccaglioni


Seguramente alguna vez compraste unos candados para viaje "autorizados por la TSA", el organismo de control en aeropuertos de EEUU que cada cierto tiempo abre valijas para revisar tus calzones y justificar la paga.

Tanto impusieron normas, muchas de ellas ridículas, que terminan poniendo en riesgo a los mismos pasajeros, un ejemplo de ello son las llaves maestras. La TSA obliga a los fabricante de candados a crearlos con la posibilidad de una llave maestra así ellos pueden abrirlos fácilmente.

El problema es que una llave maestra no es una herramienta imposible de copiar, justamente todo lo contrario, toda llave maestra es, por definición, una vulnerabilidad grave.

En 2014 un artículo del Washington Post incluía una fotografía con un escritorio y en él un manojo de siete llaves que resultaban ser las llaves maestras para abrir todo tipo de candado autorizado.

Tan sólo con la fotografía es posible copiarlo y la semana pasada, en la HOPE Conference de New York, un grupo de hackers llamados DarkSim905, Johnny Xmas, y Nite 0wl presentaron la impresión laser de las copias de las llaves maestras.

Lo mejor: descarga libre de los modelos 3D para imprimirse un propio juego de llaves, porque así de estúpido es imponer estas "facilidades" para los servicios de seguridad que terminan abriendo un hueco enorme en la seguridad real de las personas y habilitando una herramienta para cualquier ladrón o hasta un terrorista que pudiera agregar a tus maletas un explosivo, un narco que te adorne de ladrillos de coca o simplemente los imbéciles de carga que te roban hasta los alfajores que llevás de recuerdo.

Tu opciones ahora son las siguientes, seguir con los candados aprobados por la TSA que ellos y cualquier delincuente puede abrir u optar por uno distinto y que ese mal día en que se les ocurre abrirla por rutina te terminen rompiendo toda la valija.

Via 3D Printing Industry
Fabio Baccaglioni


Una empresa de tests de penetración logró quebrar un sistema poco habitual, el sistema de un vehíulo, la Mitsubishi Outlander, una SUV que, como muchos vehículos actuales, posee una computadora conectada a la red para poder administrar desde una app funciones básicas.

Lo intresante de este modelo de Mitsubishi es que posee una red propia WiFi para no depender de una red 3G/4G para poder controlar las funciones y, por ende, tiene una latencia mucho menor y una respuesta casi inmediata.

El "problema" es la mala implementación del sistema el cual es fácilmente hackeable. Apenas dos días necesitaron para encontrar la SSID y la clave preincorporada que les dio acceso total a la red de WiFi y por ende a cada uno de los controladores en esta red interna que conforman los dispositivos del vehículo.

El procedimiento para capturar la comunicación entre el celular y el vehículo es sencillo, la mayoría de los equipos siguen conectados al vehículo cuando uno lo deja en su propio garage, un atacante fácilmente podría interceptar el diálogo y capturar el handshake para obtener privilegios. Como las SSID son fáciles de identificar es muy sencillo para un atacante saber dónde hay otra Outlander, en síntesis, estan regaladas.

Ahora bien, una vez ingresado al sistema y la red interna del vehículo se pueden controlar cosas triviales como la radio, las luces, o el sistema de calefacción. Hasta aquí una maldad podría ser gastarle la batería al vehículo, pero no llega hasta ahí, una posibilidad increíble es anular la alarma.

Con un simple comando se puede desactivar la alarma anti-robo.

Actualmente hay un workaround sencillo para deshabilitar la posibilidad de que otro se conecte, pero no viene por defecto, Mitsubishi debería replantear el firmware para mejorar esto, es totalmente posible, por alguna razón pensaron con el trasero y sin ninguna lógica de seguridad. Por suerte, luego de intervenir la BBC, el fabricante está trabajando en solucionarlo.

Via Pen Test Partners
Fabio Baccaglioni


Stuxnet ha sido por lejos una de las tareas de guerra electrónica más fantásticas, pero era solamente software utilizando hardware, ¿Se imaginan una historia de hacking directamente dentro de un circuito?

No sólo es posible, ahora existe una prueba de concepto de la idea, en un nuevo paper del simposio 2016 de la IEEE sobre seguridad y privacidad llamado "A2: Analog Malicious Hardware" investigadores de la universidad de Michigan crearon un diseño muy interesante para infiltrar circuitos que dejen desprotegido un sistema.

Tengan en cuenta una obviedad, la mayoría de los procesadores no son fabricados en origen, salvo un par de casos como Intel, la mayoría tiene sus fabricantes en China, empresas como TSMC, Huawei, Samsung en Corea y un par más son los únicos capaces de producir circuitos en tamaños tan pequeños que requieren de un poderoso microscopio electrónico para poder analizar.

Esta es la ofuscación perfecta, el ataque A2 apunta específicamente a influír en el proceso de fabricación agregando al circuito un pequeño segmento que habilite un bit de privilegio y así poder luego, desde el software, escalar privilegios en un sistema operativo y tomar control de una computadora.

El ataque se realiza en el proceso de manufactura, no de diseño, por lo que es imposible que alguien lo detecte y normalmente nadie está explorando los millones de transistores con un microscopio de efecto túnel, por lo que el ataque es perfecto.

Para demostrar que es totalmente factible tomaron el diseño open source del procesador OR1200, pero esto es totalmente aplicable en cualquier x86 o ARM, las dos arquitecturas más comunes en el mercado.

Este tipo de "infecciones" son de las más peligrosas puesto que no son detectables, sólo se manifiestan cuando llega el momento adecuado y se esconden hasta ese momento, es más, probablemente nunca se haga uso de tal vulnerabilidad (como muchos rootkits hacen) y sólo se afecte a algún usuario en particular.

La época del hardware corrupto ha llegado.

Via Boing Boing, IEEE
Fabio Baccaglioni
Más allá de los drones perdidos por exceso de distancia, baterías agotadas, ruido en la señal, mala configuración o, principalmente, mala suerte, hay una nueva forma de perder uno de tus vehículos favoritos: hacking.



Si, ya parezco una señora mayor usando la palabra hacking, pero seriamente, los Parrot tienen serias vulnerabilidades que fueron expuestas durante el Def Con de Las Vegas el fin de semana pasado, donde se expuso desde el hack para de-autorizar el WiFi que controle el Parrot ya que cuenta con una red WiFi abierta y es muy fácil desconectar al operador y reemplazarlo, tomar control desde otra app en otro operador.

Así de simple se puede "secuestrar" un dron y entre que el operador original trata de conectarse uno puede tomar control del vehículo y "secuestrarlo". En países como EEUU esto no es tan sencillo porque la app guarda datos de número de serie y podría identificar al ladrón, pero claro... no en todo el mundo precisamente.

El Bebop tiene un port telnet abierto, algo que en algunos lugares se ve como una característica para programarlo y cambiarle la performance pero desde el hacking es una vulnerabilidad total, se puede hasta apagar el dron o enviarlo en direcciones incorrectas y dañarlo.

También este modelo teine un server FTP para bajar las imagenes y videos, esto abre una puerta más para que cualquiera tenga acceso remoto, descargue, cambie, haga lo que quiera con el contenido que graba el dron. La señal de GPS se puede interferir también impidiendo que el mismo retorne a su punto de origen como está programado, aunque para esto hace falta un jammer y en muchos lugares está prohibida su venta.



Los investigadores Satterfield y Robinson, quienes presentaron esto en DEFCON, avisaron debidamente a Parrot y ya estan enterados del asunto, es problable que, si bien todavía los hacks son muy de nicho, hasta los vehículos a control remoto también necesiten una revisión de seguridad.

DJI con su Phantom III utiliza un radiocontrol distinto, no va por WiFi, por lo que no es "secuestrable" de la misma forma, también es vulnerable al jamming de GPS y a cualquier interferencia magnética por lo que puede perder el control si el compás magnético interno falla, pero es muy difícil de testear esto en vuelo, por lo pronto es mucho más seguro que los que van por WiFi.

Via ARSTechnica