The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for November 1, 2010

Tuenti

Tuenti y las redes locales inseguras – 2/2

Antes de empezar voy a hacer un pequeño resumen de la entrega anterior para que nos ubiquemos en ésta con mayor facilidad.

Como vimos en la primera entrega, podemos aprovechar que el TuentiChat no está cifrado para monitorizar las conversaciones de cualquier usuario que se encuentre en nuestra red local y al que le hayamos realizado previamente el ataque MITM.

A pesar de lo interesante que pueda ser la monitorización de las conversaciones (y las acciones que podamos realizar sobre ellas) creo que es más importante destacar que indirectamente obtenemos el sessionID (de ahora en adelante SID) de la víctima, por lo que nos hacemos con el control total de su cuenta (en realidad casi total, porque algunas acciones requieren la introducción de la contraseña, la cual no obtenemos en ningún momento, por ahora…).

Como se comentó, para poder realizar peticiones en nombre de la víctima necesitaremos, además del SID, el CSFR y en ocasiones el ID (que habremos obtenido durante la monitorización del TuentiChat). Un breve esquema sobre su utilización en las peticiones:

  • Petición GET: SID, ID (a veces)
  • Petición POST: SID, CSFR, ID (a veces)
Bueno, como ya se dijo, en esta segunda entrega se va a hablar de algún ejemplo de peticiones sobre la cuenta de la víctima y sobre robo de sesiones (obligar a la víctima a generar un SID válido) y robo de credenciales (aprovechándonos de que la página de login no está cifrada).

¡Comencemos!

1. Tuenti, yo soy la víctima

Una vez obtenido el SID ya tendríamos control total sobre la cuenta, pues bastaría con abrir nuestro navegador y modificar la cookie SID añadiendo el contenido del de la víctima (abriéndose Tuenti con su sesión). Aun así, si queremos que sea un programa nuestro el que realice las peticiones, voy a dar alguna información sobre como el modificar la información personal de la víctima.

Cuando realicemos la petición no es necesario que enviemos todos los parámetros pero sí todos los relacionados entre sí (por ejemplo los que tienen que ver con el número de teléfono) y, lo más importante, si alguno falla la petición no se procesará, independientemente de que otros datos fueran correctos.

Con respecto a la ciudad, lo importante es el código de la misma (location_hidden) y no su nombre (que no se valida), al contrario que con el barrio (neighborhood_autofill) el cual tiene que tener el nombre exacto o no validará.

Para obtener el código de la ciudad o el nombre del barrio basta con realizar las siguientes peticiones:

{“search_string”:””,”results”:[{“id”:ID,”string”:”CIUDAD”,”info”:{“location”:”CIUDAD”}}]}
{“search_string”:””,”results”:[{“id”:ID,”string”:”BARRIO”,”info”:null}]}

Como apunte final, simplemente decir que en todas las peticiones que modifican información (todos los ‘POST’) ha de enviarse el CSFR.

¿Qué medida va a tomar Tuenti al respecto?

Pues Tuenti pretende introducir un sistema de firmado de peticiones a través de un token secreto intercambiado por SSL en el inicio de sesión y que no saldría del navegador (incrustado en la página o en una cookie que solo se enviaría en conexiones cifradas).

De ésta forma, junto con un timestamp que se enviaría para darle caducidad a las peticiones y evitar su duplicado, se evitaría que se pudiesen hacer peticiones al servidor sin dicho token.

¿Cómo podríamos obtener ese token secreto?

En principio, bastaría con modificar el HTML que le llega al usuario y hacer que en cualquiera de los formularios del mismo se envíe el mismo token que se utiliza para firmar. Aun así, habría que ver la implantación del mismo.

En la aplicación que se adjunta al artículo podéis ver otras acciones como cerrar la sesión, cambiar el estado, modificar la página web y números de teléfono (los demás campos de la información personal), etc.

2. Robando una sesión

Todo lo que se ha contado es aplicable siempre y cuando el usuario no decida cerrar la sesión, pues entonces el SID quedaría invalidado y no podríamos realizar ninguna acción sobre su cuenta, pero… ¿qué ocurriría si pudiésemos obtener una sesión, de forma transparente al usuario, y que éste no pueda cerrarla? Pues en ese caso tendríamos acceso completo a la cuenta y el usuario no podría hacer nada.

Es cierto que Tuenti establece un límite máximo de cinco SIDs válidos por cuenta/servicio (es decir, la versión normal y la móvil son independientes) y si la víctima abriese cinco cuentas al mismo tiempo nuestro SID quedaría invalidado pero es poco probable pues no es un dato que se conozca además de que el ataque se habría realizado de forma (casi) transparente.

¿Cuál sería el procedimiento?

Este ataque es muy fácil de llevar a cabo. Bastaría con bloquear el envío del SID de la víctima al servidor, de ésta forma éste creería que el usuario no está autenticado y le enviaría la página de login. La víctima se reautenticaría (sería extraño que se diera cuenta de que está siendo atacada pues tampoco es una situación anómala) y generaría un nuevo SID en el servidor. Si tras la reautenticación levantamos el bloqueo y le dejamos seguir operando con el SID antiguo, es decir, modificamos en la cabecera (en Set-Cookie) del paquete de respuesta el contenido de la cookie SID introduciendo el antiguo y nosotros nos quedamos con el nuevo, tendremos acceso a la cuenta de la víctima (tenemos un SID válido) sin que ésta pueda actuar al respecto.

Para realizar el bloqueo, podemos utilizar los filtros de Ettercap. Bastaría con modificar el contenido de la cookie SID. El filtro podría ser así.

if (ip.proto == TCP && tcp.dst == 80) {
if (search(DATA.data, “sid=”)) { replace(“sid=”, “sid=0”); }
}

A pesar de que podríamos utilizar el Ettercap, yo recomendaría realizar una aplicación propia para el MITM para poder tener mayor control del tráfico antes de que éste se envíe a la víctima. De ésta forma podríamos crear un filtro más personalizado y no estar atados a las opciones que nos da el Ettercap. En el código adjunto al artículo se puede consultar la clase MITM para realizar el ataque desde Java.

¿Qué medida va a tomar Tuenti al respecto?

La medida que va a tomar Tuenti al respecto es el implantar un sistema de control de sesiones (similar al que tenemos, por ejemplo, en Gmail). Es verdad que si el atacante tiene acceso a la cuenta puede monitorizar este servicio y cerrar cada sesión generada por el usuario (bloqueándole el acceso a su cuenta), por lo que la idea es solicitar la contraseña cada vez que se vaya a cerrar una sesión (en todo el ataque no hemos obtenido los credenciales de usuario pues la idea es que el proceso sea lo más transparente posible y, a pesar de que la mayoría aceptaría un certificado falso sin fijarse, es demasiado “cantoso”).

3. Obteniendo los credenciales

Por desgracia es extremadamente sencillo. Bastaría con aprovechar que el “login page” no se cifra, para modificar el formulario de autenticación para que realice la petición sin SSL, obteniendo los credenciales en texto plano.

¿Cómo podríamos modificar el “login page”?

Como estamos realizando un ataque MITM y el tráfico no está cifrado, no sólo podemos monitorizarlo sino también alterarlo, por lo que podríamos utilizar un filtro de Ettercap que se encargue de realizar el proceso, bastando con reemplazar ‘https’ por ‘http’ en el action del formulario. El filtro podría ser así:

if (ip.proto == TCP && tcp.src == 80) {
replace(“action=\”https”, “action=\”http”);
}

Otra opción podría ser la utilización de la aplicación SSLStrip.

¿Qué medida va a tomar Tuenti al respecto?

Para evitar el robo de credenciales Tuenti tiene previsto cifrar por completo (no solo el envió de los credenciales) el ‘login page’ para evitar su manipulación.

Aun así, es necesario concienciar al usuario de que el login ha de hacerse siempre por medio de una conexión segura, es decir, fijarse si estamos a través de SSL y que además el certificado es de Tuenti. Esto es importante porque sino el atacante, por ejemplo, puede obtener el ‘login page’ por SSL y brindárselo a la víctima sin cifrar, obteniendo los credenciales en texto plano.

Como apunte final, decir que actualmente la contraseña se envía tal cual, y como medida complementaria Tuenti pretende utilizar un token para la autenticación que se enviaría junto con el correo electrónico y cuya estructura sería:

token auth = token secreto + hash(contraseña)

¡Hasta aquí todo! Ya para terminar…

Simplemente decir que el artículo (comunicado hace meses) ha servido para que Tuenti implante (en principio se dijo a medio plazo, pero ahora me entra la duda de que vayan a tomar verdaderamente medidas al respecto) una serie de medidas de seguridad que nos benefician a todos los usuarios.

La mejor medida sería que toda la red social se ofreciera por SSL, opcionalmente al menos (independientemente de la complejidad que conllevara, hay que tener en cuenta los datos tan privados contenidos en la red social). Aun así al parecer (no lo digo yo ni significa que lo comparta) la infraestructura actual de Tuenti no lo soportaría (debido al sistema de balanceo que tienen implementado) además de que la experiencia de usuario se vería afectada en gran medida (ralentización).

Y con respecto a la aplicación…

Se han modificado muchas de las ideas que lancé al publicarlo. Por ejemplo, ahora ya podemos empezar a realizar acciones sobre la cuenta de la víctima esté ésta en el TuentiChat o no (como comentaba, lo importante es el SID). Además, se ha modificado el sistema de peticiones pues dejó de funcionar.

Además, se han realizado muchos cambios internos, por lo que os animo a echarle un vistazo al código (no solo compilarlo y ponerse a probar todo lo que se ha dicho en este artículo).

Muchas personas me han pedido que se publique, además del código, una versión ya compilada y lista para usarse. No lo voy a hacer pues es inmediato (puedes incluso abrir el proyecto desde un IDE y compilarlo con un click) y si uno no es capaz de hacer esa tarea tan sencilla es mejor no darle todo hecho…

Nombre: aplicacion_src.7z
CRC-32: f0bb0406
MD5: 919d2ac7b9e13c06c96784f52f38c492
SHA-1: 5ca1691308d7411fe6685f32fe25ad6d37508c15

Artículo cortesía de: Luis Delgado J.

Advertisements

Combatir la pirateria:)

China combate la piratería con una idea descabellada

pirateria China combate la piratería con una idea descabellada

La cuestión tiene incontables matices, pero no podemos negar que la piratería es un problema, sobre todo para las compañías de software. Y siempre se suele hablar de las pérdidas que estas pueden tener en Europa o en Estados Unidos, pero lo cierto es que en el resto del mundo, en países donde los ingresos promedio son mucho menores, la piratería tiene una penetración infinitamente superior. Eso mismo sucede en China y dieron con una solución que si bien no elimina por completo el problema (eso sería ridículo), sí ha hecho que la piratería disminuya.

La solución encontrada en el país asiático es extraña y poco convencional, como suele ocurrir por aquellos lugares del mundo y no creo que a nadie en su sano juicio se le hubiera ocurrido ponerla en práctica ni en Europa ni en América. A ver lectores, porque seguro que se van a sorprender igual que yo ante la descabellada idea: sin más preámbulos… lo que hicieron en China, fue… bajar los precios de los productos.

Una cosa es que haya piratería en lugares como Alemania o Estados Unidos, pero las compañías mantienen los mismos precios al traer los productos a países como Argentina, entonces hacerte con una copia legal de una aplicaciones a veces es directamente imposible. Para que se hagan una idea, un diseñador junior puede ganar entre 2500 y 3500 pesos argentinos por mes, pero una copia de la suite de Adobe supera los 7000 pesos. Teniendo en cuenta que el diseñador en cuestión debe tener que pagar unos 1500 pesos anuales de renta y, si puede, comer, se complica y bastante la adquisición de una copia legal.

Algunas de las empresas que han adoptado esta medida son Microsoft y Autodesk. Windows 7 Home Basic, por ejemplo, pasó de ser vendido a 199 dólares a sólo 59. Y Autodesk, al disminuir en un tercio los precios de sus productos, directamente duplicó las ventas. No hace falta tener un diploma en Matemáticas para saber que esto quiere decir que no sólo vendieron más productos sino que pasaron a ganar más dinero, a la vez que disminuyeron el mercado pirata.

Lo interesante es que no se están haciendo productos de menor calidad como podría ocurrir en otras industrias, sino que simplemente bajan los precios, ofrenciendo los mismos productos y demostrando que pueden hacerlo y aún así ganar dinero (no sólo eso, sino que pueden llegar tener todavía más ganancias). ¿Se les ocurrirá alguna vez hacer algo así en Latinoamérica?

Vía: The Brilliant Stories

China combate la piratería con una idea descabellada escrita en Bitelia el 1 November, 2010 por federico-erostarbe
Enviar a Twitter | Compartir en Facebook


Security

10 pasos para implementar seguridad en la empresa

Según un estudio realizado recientemente por INTECO, 8 de cada 10 equipos se encuentran infectados con algún tipo de código malicioso. Ante estos datos tan alarmantes, Microsoft ha elaborado una Guía de Seguridad que intenta describir los pasos prioritarios que una empresa debe implementar para proteger su entorno.
Es necesario incidir en la necesidad de un cambio de concepción, que conlleva al empleo de medidas reactivas a proactivas en la gestión de la seguridad. Las medidas reactivas son soluciones parciales, medidas de protección implementadas sin apenas intervención del usuario, que básicamente consisten en “la instalación del producto” sin un seguimiento y control continuado.

Si desea evaluar los puntos débiles de su entorno de seguridad de IT puede usar la herramienta gratuita de Evaluación de Seguridad de Microsoft (MSAT), diseñada para ayudar a las organizaciones de menos de 1.000 empleados.

Fuente: Microsoftwww.segu-info.com.ar


Denken Uber

Como protegerte de Firesheep

from Denken Über by mariano 

2 people liked this – you, and 1 more

Hace apenas 4 días publiqué una nota sobre Firesheep y el add-on ya fué descargado más de 250.000 veces.

No creo en el concepto de seguridad por oscuridad donde se maneja todo en silencio hasta que haya una solución porque los que viven del hacking cononcen estos problemas pero ni al publicarlo creí que iba a despegar así…. y teniendo en cuenta que el concepto de WIFI gratis y sin clave es mucho más común en Argentina que en el resto del mundo, sólo les recomiendo esto: Usen un servicio de VPN.

¿Si uso un VPN el problema de seguridad desaparece? NO que quede claro que no desaparece sino que simplemente cambiás el punto débil de la cadena de “los paquetes que salen de tu PC” a “los paquetes que salen del servidor seguro hacia el servicio que estás accediendo”.

¿Que servicios de VPN hay en el mercado? De forma gratuita les recomiendo usar Hotspot Shield que es algo de buen nivel y gratis… y la verdad excepto el bannercito molesto que aparece cuando navegás un sitio desde una red WIFI abierta es la mejor elección que hay 🙂

Yo personalmente uso y recomiendo StrongVPN luego del problema del hack que sufrió @cvander y que básicamente lo uso porque el servidor seguro es confiable.

¿Que gano y que pierdo usando una VPN? Siendo honesto, si NO usás hotspots abiertos y tu router está asegurado, no deberías tener problemas porque nadie puede entrar entre tu “máquina” y tu “router” pero si sos de ir a bares/aeropuertos o lugares donde no controlás vos tu seguridad…. el VPN es la mejor forma de evitar un problema, pero repito: esto no evita que exista el mismo

Mientras tanto… piensen si vale la pena o no proteger sus datos porque estoy seguro valen algo 😉

Tip: sirven para iPhone y Android 🙂


Alberto Ballestin

Microsoft apuesta por HTML5 y retira Silverlight de su estrategia WWW

Microsoft ha abierto los ojos, se ha limpiado las legañas, y ha visto una internet HTML5. Con Flash en caída libre y todas las compañías apostando por el Lenguaje de Marcado de Hipertexto, los chicos de Redmond han decidido reducir la promoción de Silverlight en la red de redes, aceptando que HTML5 es el futuro. No hace falta malgastar recursos en una batalla perdida, y así, Silverlight se convertirá en su plataforma de desarrollo para Windows Phone (y posiblemente centros multimedia integrados). Pero lo que es más; páginas web como Bing Maps, que requieren Silverlight, migrarán a HTML5, haciendo más fácil su uso desde todo tipo de equipos, ya sean de sobremesa, portátiles o de bolsillo.

Lo cierto es que resulta sorprendente la velocidad con la que Microsoft ha reaccionado a la aceptación de HTML5, teniendo como tiene un largo historial del proyectos zombis, cuya vida ha sido prolongada artificialmente durante años hasta que finalmente ya no podían tenerse en pie. En vez de luchar con Flash hasta su último aliento por el trono de la irrelevancia online, Microsoft ha hecho lo que debía y sin perder tiempo. ¿Estará cambiando algo en Redmond?


Francotirador:)

¿Por qué hay un USB empotrado en la pared?

Los proyectos de arte son de lo más variado. Por ejemplo, en un tiempo en donde cada vez es más rápido el acceso a Internet ya no es necesario intercambiarse información con disquetes (ni con su “evolución tecnológica”, los pendrives). Sin embargo, han ideado un proyecto de arte pensando que sería curioso poder compartir cualquier cosa por la calle. Sin embargo, dejar pendrives sueltos no tendría éxito, ya que la gente los cogería para usarlos personalmente. Ahora bien, si se empotran en una pared de tal forma que nadie se los pueda llevar, pero sí acceder a ellos, la cosa puede resultar interesante. Te damos más detalles de este asunto después del salto.

Así, la idea es que cualquiera pueda dejar cualquier contenido en el pendrive y también leer lo que hay dentro, para saciar su curiosidad. Además, al margen de lo que cada usuario quiera meter, todos los pendrives incluyen un fichero de texto explicando en qué consiste la idea. De momento, el proyecto de momento se limita a 5 USB empotrados en la ciudad de Nueva York (Estados Unidos de América). No obstante, como en cualquier lugar público, hay que extremar las precauciones y en este caso en particular, si se pretende usar dichos pendrives, lo mejor es tener un buen antivirus actualizado. Al margen de esto, es un poco incómodo estar con el portátil en la mano, por lo que es posible que algunos de sus usuarios vayan preparados con una silla plegable. Eso, y un alargador de USB para no rozar el portátil con la pared, claro. [Dead Drops via MAKE]  — Fco. José Cañizares.


Dany Buron

Los astronautas comenzarán a ir en esquijama para misiones de gran duración

Que estos nuevos trajes de la NASA son una horterada es una realidad, pero también el que ayudarán a los astronautas a soportar mejor el paso del tiempo en misiones de gran duración en el espacio. Tras el salto os contamos como funcionan y porqué son necesarios.

Normalmente un astronauta pierde entre un 1 y un 2 por ciento de hueso por cada mes que pasa en el espacio, siendo la cantidad de hueso interno perdido incluso mayor. Esto supone un gran inconveniente para mandar expediciones a Marte o trabajar en la estación internacional.

Tradicionalmente, para paliar los efectos de la pérdida de hueso los astronautas seguían rutina de ejercicio, pero luego se comprobó que estos ejercicios no contribuían a frenar la pérdida.

La solución a este problema es el Gravity Loading Countermeasure Skinsuit, desarrollado por el Laboratorio Hombre-Vehículo del MIT. Básicamente lo que hace es que comprime el cuerpo haciendo que los hombros vayan hacia los pies, contrarrestar esta tendencia simula los efectos de la fuerza de gravedad de la Tierra en el espacio.

Por ahora sólo son prototipos pero las nuevas pruebas que están realizando permitirán comprobar sus efectos al usarlo para dormir y mejorarlos para que el efecto “gravitatorio” también afecte a la zona de las pantorrillas. En cuanto lo consigan sólo les faltará crear versiones con estampados de superhéroes famosos.— Dani Burón