El pasado domingo 14 de marzo se realizaron en Colombia las elecciones para el Senado de la República, Cámara de Representantes, los representantes de Colombia en el Parlamento Andino y las consultas interpartidistas. En años pasados los resultados parciales o “boletines” de las elecciones se generaban desde la Registraduría y eran entregados inmediatamente a medios de comunicación y a veedores internacionales unicamente, este año quisieron ademas de esto, ofrecer a todos los ciudadanos esta información también en “tiempo real” desde el sitio de la Registraduría nacional.

Para cumplir con la labor de divulgación de estos boletines, se contrató a la empresa UNE, que a su vez subcontrato a la empresa “Arolen” quienes serian los encargados de implementar toda la infraestructura tecnológica necesaria para cumplir con la demanda de información que tendría la pagina de la Registraduría.

El dia de elecciones, varios medios de comunicación reportaban fallos constantes en el portal de la Registraduría nacional, impidiendo así el acceso a la información, no solo para los ciudadanos sino para todos los medios que deseaban informar a la población, después de los fallos “Arolen” admite los problemas y habla sobre ello en la siguiente rueda de prensa echándole la culpa de los fallos a un ataque informático:

En el vídeo habla Iván Ribón, gerente de “Arolen” donde explica que los fallos se debieron a un ataque informático, por esto contrataron una empresa llamada “Adalid” para investigar el caso y llegaron a la conclusión que se trataba de un ataque de denegación de servicios (DoS) y afirman que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información”.

El Registrador Nacional del Estado Civil Carlos Ariel Sánchez en una entrevista para el programa de televisión “El Radar”, nos da un poco mas de información sobre el tema:

Como pueden ver el problema fue debido a un ataque de denegación de servicio hacia la pagina de la Registraduría, pero les recuerdo que estas paginas no necesitan un ataque de este tipo para caerse, se caen solas, es como decir que a la pagina del ICFES le hacen un DoS cada que salen los resultados de los estudiantes.

Personalmente pienso que la empresa “Arolen” no supo anticipar la cantidad de personas que consultarían la pagina de la Registraduría este día y el sistema les colapsó (como pasa con el ICFES, o los portales del gobierno cuando ofrecen 10 puestos para 5000 aspirantes), pero supongamos que es cierto y el ataque se llevo a cabo, ¿acaso no tenían los recursos para solucionar el problema?, miremos:

• Arolen cuenta entre su portafolio el servicio de “seguridad informática“, por lo que en teoría debe tener personal capacitado en seguridad que sepa reaccionar frente a un ataque de este tipo, aunque es una realidad que muchas empresas ponen en su portafolio este servicio, pero no cuentan con personal propio para realizar las labores sino que subcontratan, como parece ser este caso, ya que se asesoraron de una empresa externa llamada Adalid solo después que el ataque fue realizado.
• Mitigar un ataque de denegación de servicio (y mas si es distribuido) no es sencillo, pero el contrato del que estamos hablando asciende a los 77 mil millones de pesos, estoy seguro que podían contratar una empresa de seguridad decente (que tenemos muchas en el país) que les solucionara el problema (ya que claramente ellos no pudieron hacerlo).
• UNE tiene una de las mejores infraestructuras de telecomunicaciones del país, fácilmente podría soportar la cantidad de trafico que aseguran recibió la pagina de la Registraduría (75 mil veces por segundo) incluso sin poner ningún tipo de reglas en su firewall que mitigara el ataque, pero UNE es una empresa privada y busca maximizar sus ingresos a toda costa, por eso subcontrató a Arolen y se desentendió del problema (aunque ellos podian solucionarlo).
• La Registraduría cuenta con diferentes cuentas en distintas redes sociales que podrían haberse utilizado como medio alternativo para divulgar la información sin sufrir ningún problema, por ejemplo su cuenta de twitter pude ser un excelente medio de difusión de información, su blog en Blogger seguro no hubiera sentido los 75mil hits por segundo, lo mismo con sus cuentas en y *.
• No creo que servicios como el Amazon Simple Storage Service (Amazon S3) o el Google App Engine. hubieran sido tomados en cuenta por la empresa Arolen para solucionar el problema *.

* posiblemente utilizar redes sociales y servidores externos no hubiera sido una buena opción debido a lo delicado de la información, pero es una posible solución al problema.

Al afirmar que “casos como estos normalmente no son obra de un hacker, sino son obra de una empresa de delincuentes que esta tratando de tumbar un servicio como el de la Registraduría o como el de la información” nos dan a entender que se trataba de un ataque de denegación de servicio distribuido (DDoS), posiblemente lanzado desde alguna red de equipos zombies (botnet), pero tratan de incriminar una “empresa” u “organización criminal” cuando la realidad es que cualquier persona con 300USD disponibles, puede alquilar una Botnet para realizar un ataque como el que supuestamente sufrió la Registraduría.

El que arolen tuviera que contratar a una empresa de seguridad para saber qué fue lo que pasó en sus servidores, solo demuestra que sus servicios de “seguridad informática” son una total farsa y no contaban con el personal adecuado para hacer frente a un incidente como este, tenían todos los medios necesarios para solucionar el problema ¿por que no lo hicieron?, quedamos a la espera del análisis forense que se le realice a lo servidores afectados (si es que se les realizaría este tipo de análisis) para aclarar lo sucedido el pasado domingo 14 de marzo.

ACTUALIZADO:
El periódico el tiempo acaba de publicar un articulo titulado “Desde una misma dirección ingresaron 75 mil veces a la página de la Registraduría” en el que nos confirma que el ataque se realizo desde una sola maquina y no fue un ataque de denegación de servicios distribuido (DDoS) como se pensaba, lo que confirma que el problema en la pagina de la Registraduría fue por NEGLIGENCIA de la empresa Arolen ya que con un simple “iptables -A INPUT -s IP -j DROP" (si el servicio estaba sobre un servidor GNU/Linux) o bloquear la ip con cualquier otro firewall bastaba para detener el ataque.

También puede interesarte...

• Documentación sobre Seguridad Informática en formato Multimedia
• COMBAT Training v2.0 en Colombia
• Confirmado el COMBAT Training en Colombia
• ¿Dónde estudiar seguridad informática en Colombia?
• Seguridad Informática con Software Libre
• Encuesta Latinoamericana de Seguridad Informática
• “Hacker”, la palabra de moda
• Así fue el 2do Foro de Seguridad TI

Segun Google Skipfish no solo es mas rápido que cualquier otra herramienta de su tipo, sino que ademas tiene menos “falsos positivos” y su interfaz es mucho mas sencilla que las demás.

Aunque no cumple con los estándares publicados por el Consorcio de seguridad de aplicaciones Web para los escaners de vulnerabilidades en aplicaciones web, es una buena herramienta para tener en cuenta a la hora de realizar nuestros test.

Descargar Skipfish

Mas Información:
Pagina Oficial de Skipfish
Anuncio en la Comunidad
Google presenta Skipfish, un escáner de seguridad para aplicaciones web

También puede interesarte...

• Wapiti – Escaner de Vulnerabilidades en Aplicaciones Web
• Video Tutorial Fingerprint y Escaneo Básico
• FAQ sobre Seguridad en Aplicaciones Web
• Como realizar un borrado seguro usando BleachBit
• Aplicaciones Web Vulnerables
• Multiples Vulnerabilidades en SMF
• Criterios para la Evaluación de los Escaners de Seguridad Web
• Binging – Footprinting utilizando Bing

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

• Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms



Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

• Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
• No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

También puede interesarte...

• ¿Cómo Recuperar una Cuenta de Facebook?
• Resetear Password de Root
• Como Recuperar Clave MySQL
• Listado de Diccionarios para Realizar Ataques de Fuerza Bruta
• “1234″ y “password” son las Contraseñas + Utilizadas en USA
• Las Peores 500 Contraseñas de Todos los Tiempos
• PassPub, Generador de Contraseñas Seguras
• Maneja tus Contraseñas de Forma Sencilla

Precisamente sobre este tema habló en el EISI  III (descarga las diapositivas si deseas) y nos explico claramente el origen del problema, como se explotaba y su solución; para quienes no asistieron al encuentro internacional de seguridad informática (el encuentro de seguridad en Colombia), les dejo una serie de vídeos realizados por el mismo Luciano Bello para la Universitat Oberta de Catalunya (Universidad Abierta de Cataluña) en el que nos explican paso a paso el famoso fallo en OpenSSL que afectó Debian y sus derivados hace ya 2 años.

El vídeo se encuentra dividido en 5 módulos, en los que se explica en profundidad cada una de las etapas del fallo para entenderlo mejor.

Análisis del Fallo en el Generador de Números Aleatorios

El error

Explotación del bug

Explotación del bug: Descifrando PFS en EDH

Explotación del bug: MitM, DSA y conclusión

Espero que les gustara esta serie de vídeos, la verdad esta explicación es mucho mas simple que cualquier otra en la que Luciano explicara el fallo (incluso en vivo), por lo que es recomendado incluso si ya sabes como es el Fallo en el Generador de Números Aleatorios de OpenSSL/Debian.

También puede interesarte...

• Sin SSL ¿Y Ahora Quien Podrá Defendernos?
• Registraduría Nacional de Colombia.. ¿DoS o Negligencia?
• COMBAT Training v2.0 en Colombia
• El futuro de la industria de la Seguridad Informática
• Fallo en OpenSSL permite obtener clave privada
• Resetear Password de Root
• Pastel, Cheet Sheets, Chuletas en la Seguridad Informática
• “Crean” un navegador pensando en su seguridad

Durante este curso de 5 días, el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales. Este es un curso altamente práctico, donde el asistente se enfrentará a diferentes desafíos que deberá superar, y que luego serán explicados en detalle. De esta forma, el asistente aprenderá del instructor, de sus colegas, y de sus propios errores y aciertos.

MODALIDAD DEL CURSO
El COMBAT training es un curso 90% práctico – 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor.

A cada asistente se le proveerá una máquina virtual con BACKTRACK, una distribución de Linux diseñada para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking.

QUIEN DEBERÍA ASISTIR
Penetration Testers, Ethical Hackers, Consultores y Auditores que necesiten tener un mayor conocimiento técnico, Estudiantes de Sistemas, todos aquel los interesados en aprender como descubrir vulnerabilidades en las redes de su organización.

FECHA, LUGAR Y COSTO
Las fechas y las ciudades donde se realizarán las 2 capacitaciones son:

• BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm.
• MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm.

El costo es de 999USD (el mismo entrenamiento en argentina tiene un costo de 1200USD) e incluye una entrada gratuita a la EKO Party de este año, certificación del training, almuerzos, refrigerios, memoria y participación el el Capture The Flag al final del curso, cuyos premios son:

Espadas, dagas y estrellas ninja

FORMAS DE PAGO:

Para ver los temas a tratar en estos 5 días e información mas detallada del entrenamiento, pueden descargar este pdf.

Si estas interesado en asistir a esta capacitación, por favor PRE-Inscribete en el siguiente formulario:

También puede interesarte...

• Confirmado el COMBAT Training en Colombia
• Encuesta Latinoamericana de Seguridad Informática
• Registraduría Nacional de Colombia.. ¿DoS o Negligencia?
• ¿Dónde estudiar seguridad informática en Colombia?
• Entrevista a Jose Maria “Chema” Alonso para La Comunidad DragonJAR
• OLPC y Sugar en Colombia
• Transmitiendo en VIVO desde La Campus Party Colombia
• Seguridad Informática con Software Libre

En los siguientes videoturiales, aprenderemos de la mano de David Hoelzer, como crear un Exploit paso a paso y convertirlo en un modulo de Metasploit para después utilizarlo con este excelente framework; aunque los vídeos se encuentran en ingles, son bastante prácticos y visuales, con lo que no tendremos ningún problema al seguirlos.

El código utilizado en los vídeos fue:

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define PORT “7777″ // the port users will be connecting to

#define BACKLOG 10 // how many pending connections queue will hold

void vulnerable(char *net_buffer)
{
char local_buffer[120];
strcpy(local_buffer, net_buffer);
return;
}

void sigchld_handler(int s)
{
while(waitpid(-1, NULL, WNOHANG) > 0);
}

// get sockaddr, IPv4 or IPv6:
void *get_in_addr(struct sockaddr *sa)
{
if (sa->sa_family == AF_INET) {
return &(((struct sockaddr_in*)sa)->sin_addr);
}

return &(((struct sockaddr_in6*)sa)->sin6_addr);
}

int main(void)
{
int sockfd, new_fd; // listen on sock_fd, new connection on new_fd
struct addrinfo hints, *servinfo, *p;
struct sockaddr_storage their_addr; // connector’s address information
socklen_t sin_size;
struct sigaction sa;
int yes=1;
char in_buffer[20], out_buffer[20], net_buffer[2048];
char s[INET6_ADDRSTRLEN];
int rv;

memset(&hints, 0, sizeof hints);
hints.ai_family = AF_UNSPEC;
hints.ai_socktype = SOCK_STREAM;
hints.ai_flags = AI_PASSIVE; // use my IP

if ((rv = getaddrinfo(NULL, PORT, &hints, &servinfo)) != 0) {
fprintf(stderr, “getaddrinfo: %s\n”, gai_strerror(rv));
return 1;
}

// loop through all the results and bind to the first we can
for(p = servinfo; p != NULL; p = p->ai_next) {
if ((sockfd = socket(p->ai_family, p->ai_socktype,
p->ai_protocol)) == -1) {
perror(“server: socket”);
continue;
}

if (setsockopt(sockfd, SOL_SOCKET, SO_REUSEADDR, &yes,
sizeof(int)) == -1) {
perror(“setsockopt”);
exit(1);
}

if (bind(sockfd, p->ai_addr, p->ai_addrlen) == -1) {
close(sockfd);
perror(“server: bind”);
continue;
}

break;
}

if (p == NULL) {
fprintf(stderr, “server: failed to bind\n”);
return 2;
}

freeaddrinfo(servinfo); // all done with this structure

if (listen(sockfd, BACKLOG) == -1) {
perror(“listen”);
exit(1);
}

sa.sa_handler = sigchld_handler; // reap all dead processes
sigemptyset(&sa.sa_mask);
sa.sa_flags = SA_RESTART;
if (sigaction(SIGCHLD, &sa, NULL) == -1) {
perror(“sigaction”);
exit(1);
}

printf(“server: waiting for connections…\n”);

while(1) { // main accept() loop
sin_size = sizeof their_addr;
new_fd = accept(sockfd, (struct sockaddr *)&their_addr, &sin_size);
if (new_fd == -1) {
perror(“accept”);
continue;
}

inet_ntop(their_addr.ss_family,
get_in_addr((struct sockaddr *)&their_addr),
s, sizeof s);
printf(“server: got connection from %s\n”, s);

if (!fork()) { // this is the child process
close(sockfd); // child doesn’t need the listener
memset(net_buffer, 0, 1024);
strcpy(out_buffer, “HELO\nCOMMAND:”);
if (send(new_fd, out_buffer, strlen(out_buffer), 0) == -1)
perror(“send”);
if (recv(new_fd, net_buffer, 1024, 0))
{
vulnerable(net_buffer);
strcpy(out_buffer, “RECV: “);
strcat(out_buffer, net_buffer);
send(new_fd, out_buffer, strlen(out_buffer), 0);
}
close(new_fd);
exit(0);
}
close(new_fd); // parent doesn’t need this
}

return 0;
}

También puede interesarte...

• Vídeo: Introducción al Metasploit Framework
• Vídeo Tutorial de IPTables
• Video Tutorial, Cómo descargar y editar archivos Flash (SWF)
• Video: Explotando WM Downloader
• Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida
• Metasploit Framework 3.3.2
• Desbloquear iPod Touch 2G Fácilmente
• Metasploit Framework 3.2 Portable para Windows

Sin mas preámbulos, los dejos con las memorias del DISI 2009

Inauguración DISI 2009
D. José Manuel Perales, D. Ramón Capellades, D. César Sanz, D. Jorge Ramió

Duración: 07:28 minutos

Conferencia Inaugural. Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones
D. Hugo Krawczyk, IBM Research – Estados Unidos

Duración: 01:10:19 horas, Las diapositivas puedes descargarlas de aquí.

Coloquio Tendencias en Malware
D. José Bidot Director de Segurmática Cuba, D. Ero Carrera Chief Research Officer Collaborative Security VirusTotal España y D. Emilio Castellote Director de Marketing de Panda Security España. Modera D. Justo Carracedo Catedrático de la EUITT-UPM

Duración: 01:20:50 horas, Puedes descargar diapositivas de D . José Bidot (aqui) y las Diapositivas de D . Ero Carrera (aqui).

Coloquio Mitos y Realidades en Hacking
D. Luis Guillermo Castañeda Director de Servicios Profesionales de Rusoft México, D. Chema Alonso Consultor de Seguridad de Informática64 España, D. Alejandro Ramos Manager de TigerTeam en SIA España y D. Rubén Santamarta Consultor Técnico Independiente España. Modera D. Daniel Calzada Profesor Titular de la EUI-UPM

Duración: 01:46:57 horas, Puedes descargar las Diapositivas de D . Luis Guillermo Castañeda (aquí), y las Diapositivas de D . Chema Alonso (aquí)

Clausura DISI 2009
D. Justo Carracedo, Dña. Gemma Déler, D. Jorge Ramió

Duración: 06:15 minutos

Si quieres descargar los vídeos de estas charlas puedes instalar el plugin para Mozilla Firefox Video DownloadHelper.

Para mas información visita la página oficial del evento, donde encontraras también las Ponencias del DISI 2006, las del DISI 2007. y las ponencias del DISI 2008.

También puede interesarte...

• Memorias del DISI 2008
• El futuro de la industria de la Seguridad Informática
• Kevin Mitnick – The Art Of Deception – Video Conferencia
• 1st Security Blogger Summit
• Video: Explotando WM Downloader
• ¿Dónde estudiar seguridad informática en Colombia?
• Vídeo: Introducción al Metasploit Framework
• Video: Ataque de envenenamiento de cookies (Cookie-Poisoning)

Este libro reúne desde los conceptos más básicos a los más avanzados de la Seguridad Informática. En la segunda entrega se explican los diferentes protocolos que hacen posible la comunicación entre computadoras, el modelo OSI, el protocolo TCP/IP, ICMP, UDP y ARP con el que se finaliza realizando un laboratorio practico.

Descargar Capitulo 2 de “El Atacante Informático”

Capítulos Publicados:

• El Atacante Informático – Capitulo 1
• El Atacante Informático – Capítulo 2

Para Mas Información:
IT Forensic

También puede interesarte...

• La arquitectura de seguridad OSI
• Descarga Gratis el Libro de Una al Día
• (IN)SECURE Magazine Edición 21
• Cárcel y Multas para Delitos Informáticos en Colombia
• Libro: Redes Inalámbricas en los Países en Desarrollo
• Aspectos Avanzados de Seguridad en Redes
• Skipfish, el escáner de Google para seguridad de aplicaciones web
• Memorias del DISI 2009

La esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. En este articulo, se dan a conocer las técnicas en que se basa la estenografía, sus aplicaciones y diferencias frente a la criptografía.

Si deseas descargar el articulo en PDF, puedes hacerlo con el siguiente enlace “La esteganografía, el arte de ocultar información”.

Mas Información:
Pagina oficial de INTECO
Articulo “Esteganografía, el arte de ocultar información”

También puede interesarte...

• ¿Cómo Configurar la Privacidad en las Redes Sociales?
• Taxonomía de un Ataque con Backtrack 4
• La arquitectura de seguridad OSI
• ¿Como Eliminar la Contraseña de un PDF?
• OWASP.TV, videos en línea de las conferencias OWASP
• La mejor presentación de Seguridad en Aplicaciones Web
• OpenStego, solución libre para esteganografía
• Proyecto libre StegSecret – Herramientas libres para estegoanálisis

Aun así, cada que publicamos un nuevo numero de nuestra ezine, muchas personas preguntan donde descargar los demás números y nos comentan que desconocían totalmente el proyecto, para  todas estas personas que desconocen la revista de nuestra comunidad, les dejo los 4 números que hemos publicado hasta el momento para que los visualicen desde su navegador o los descarguen según sus gustos.

Ezine #1 BETA de La Comunidad DragonJAR

E-zine #2 Comunidad DragonJAR

E-zine #3 Comunidad DragonJAR

E-zine #4 Comunidad DragonJAR

Este año con la ayuda de Seifreed esperamos aumentar la periodicidad con la que publicamos estos números y la calidad de los artículos contenidos en cada uno de ellos, si quieres participar de alguna forma con nuestra revista digital visita este enlace.

También puede interesarte...

• Nuestros propósitos para el 2010
• Convocatoria para el próximo numero de DragonZineIT
• Nuestros propósitos para el 2009
• Ezine Phrack # 65
• Ezine #1 BETA de La Comunidad DragonJAR
• COMBAT Training v2.0 en Colombia
• Revista Electrónica El Derecho Informático
• Boletín de La Comunidad DragonJAR #0008