Scrawlr: herramienta gratuita para detectar vulnerabilidades a inyección SQL

25 06 2008

Con razón o sin ella, no cabe duda que la infección masiva de cientos de miles de sitios web (la mayoría corriendo IIS y SQL Server) no ha hecho ningún favor a la reputación de Microsoft.

Por eso, a instancias de Microsoft, HP ha desarrollado Scrawlr, una herramienta gratuita que revisa tu sitio web en busca de posibles debilidades que puedan facilitar la inyección de SQL.

Scrawlr tiene, no obstante, algunas limitaciones frente a otras soluciones comerciales de la propia HP: explora un máximo de 1500 páginas, no comprueba formularios (grrr!), no vale para sitios que requieren autenticación, etc…

Referencias:

Vía: Kriptópolis

Anuncios




Publicado Backtrack 3

21 06 2008

Casi un año después de que viera la luz Backtrack 2, y tras una larga fase beta, acaba de publicarse la versión final de BackTrack 3, una de las distros más apreciadas por profesionales y aficionados a la seguridad.

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve entorno a la seguridad informática.

Deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX.
WHAX a su vez fue la evolución del Whoppix(WhiteHat Knoppix) el cual paso a basarse en SLAX en lugar de en Knoppix.

Incluye larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless.

Repleta de novedades, BackTrack 3 puede descargarse en tres “sabores”: como imagen para quemar en CD, imagen para grabar en USB o imagen para correr virtualizada bajo VMware.

Vía: Kriptópolis y DragonJAR





Más de 300.000 sitios chinos comprometidos

21 05 2008

Este tipo de juegos siempre acaban convertidos en armas de doble filo. Así, si hasta ahora eran sitios chinos los que infiltraban código malicioso de forma masiva en sitios occidentales, este fin de semana la ruleta ha girado al revés, y han sido más de 300.000 sitios de China, Taiwan, Hong Kong y Singapur los que han resultado afectados.

El denominador común de todos estos sitios es el uso del servidor IIS de Microsoft y su SQL Server…

Vía: Kriptópolis

Referencias:





Detenidos en España cinco de los ‘hackers’ más activos del mundo

17 05 2008
  • Firmaban sus ataques con los seudónimos ‘ka0x, an0de, xarnuz y Piker’
  • Dos de ellos son hermanos y otros dos tienen sólo 16 años
  • Vivían en Sabadell, Burgos, Málaga y Valencia y se coordinaban a través de Internet
  • Habían atacado más de 21.000 páginas y ocupaban el 5º puesto en un ránking mundial

Algunos de ellos se hacían llamar ‘ka0x, an0de, xarnuz y Piker’, y en dos años habían atacado más de 21.000 páginas web, entre ellas la de Izquierda Unida justo antes de las elecciones generales del 9 de marzo.

Los cinco jóvenes, dos de ellos de 16 años, pertenecían a uno de los grupos de ‘hackers’ más activos de la Red, ‘D.O.M. Team 2008’, que ostentaba el quinto puesto en el ránking mundial de ataques informáticos según ‘Zone-H’, una página web que mantiene una base de datos de sabotajes a sitios de Internet.

Habían atacado la web de Jazztel, la Compañía Nacional de Teléfonos de Venezuela, un dominio de la NASA y otros sitios gubernamentales de EEUU, Latinoamérica y Asia. En su última acción, el pasado 30 de abril, accedieron a la página de Esquerra Unida de Buñol, y dos días antes protagonizaron uno de sus mayores ataques masivos. En un solo día penetraron en cerca de 800 sitios.

En la mayoría de los casos sustituían los contenidos de las webs atacadas por mensajes reivindicativos y de ciberprotesta, e incluían imágenes de simbología anarquista. Como la frase en inglés que insertaron el 24 de febrero en la página web de Jazztel: “Fuck Bush”. O la que escribieron en la web de IU bajo una foto retocada de Zapatero y Rajoy: “Tenemos algo en común, le dijo un presidente a un embustero…”.

En libertad con cargos

Los detenidos, que proceden de las provincias de Barcelona, Burgos, Málaga y Valencia, no se conocían personalmente, salvo dos de ellos que, según ha podido saber elmundo.es, son hermanos y viven en Sabadell. Otros dos, los arrestados en Málaga y Burgos, sólo tienen 16 años. Los cinco fueron puestos en libertad con cargos tras prestar declaración ante el juez y se enfrentan a penas de entre 1 y 3 años de cárcel.

Los ‘hackers’ coordinaban sus acciones a través de Internet y mantenían contactos con otros miembros del grupo en el extranjero, principalmente en Latinoamérica. En los cuatro registros practicados fueron intervenidos 20 equipos informáticos y diversa documentación que está siendo analizada. La operación, que ha sido coordinada por el Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica de la Policía Nacional, ha contado con la colaboración de agentes de la Brigada Provincial de Policía Judicial de Burgos, Málaga, Valencia y Sabadell.

La investigación se inició a principios de marzo, tras la denuncia del proveedor de servicios que alojaba la página web de IU. Su servidor fue atacado y quedaron inutilizados 15 portales ubicados en el mismo. Como consecuencia, a pocos días de las elecciones generales, la página web quedó inaccesible y su contenido fue sustituido por una caricatura de Zapatero y Rajoy firmada por los ‘hackers’.

La dirección de IU se ha puesto en contacto con los responsables de la Brigada de Investigación Tecnológica para transmitirles su felicitación por las detenciones, reconociendo la dificultad de estas investigaciones en las que los delincuentes son expertos conocedores de la seguridad y laxitud de los sistemas informáticos.

Los autores del ataque, que autodenominaban a su grupo como un laboratorio de investigación en seguridad informática, eran cinco jóvenes estudiantes, dos de ellos menores de edad. Uno de los responsables había publicado artículos relacionados con técnicas de ‘hacking’ en foros de seguridad informática conocidos mundialmente e incluso diseñaba sus propios ‘exploits’ y ‘troyanos’ (programas maliciosos que explotan fallos de seguridad y vulnerabilidades de los sistemas).

En la comunidad ‘hacker’ existe la idea bastante extendida de que los ‘deface’ son hechos no sólo inofensivos, sino que contribuyen al mantenimiento de la seguridad en la Red. Mediante estos ataques alertan a los administradores de la existencia de vulnerabilidades en sus espacios web. Sin embargo, en muchas ocasiones estas acciones provocan costosos daños y pérdidas económicas.

Las técnicas utilizadas en este tipo de intrusiones exigen en muchos casos conseguir privilegios de administrador en la máquina. Para conseguirlos se utilizan ‘exploits’ y ‘rootkits’ que a menudo tienen efectos secundarios irreversibles sobre el sistema operativo de los servidores. En el caso de IU los atacantes ‘secuestraron’ totalmente el servidor modificando incluso la contraseña de administración del mismo. Fue necesario reinstalar totalmente el software y restaurar una copia de seguridad para restablecerlo a su estado anterior.

Una actuación policial coincide con la celebración del Día Internacional de Internet cuyo objetivo es promover la importancia de las Tecnologías de la Información y la Comunicación en una sociedad global. Unas nuevas tecnologías que nos abren las puertas a la información sin fronteras, introducen nuevas técnicas de comercio, otras formas de interrelacionarse, de jugar o aprender; pero la Red puede ser también una vía de actuación para los delincuentes. La Brigada de Investigación Tecnológica rastrea la red en busca de esos ciberdelincuentes y con el objetivo de construir una Internet segura para todos.

Vía: ElMundo





Hacker israelí oculta 0-day para Explorer en su blog

8 05 2008

En conmemoración del 60 aniversario de la independencia de Israel, Aviv Raff ha convocado un curioso reto que él mismo denomina “La caza del tesoro”.

Aviv afirma haber descubierto una nueva vulnerabilidad en Explorer 7 y 8 que permite la ejecución de código en la máquina víctima con muy escasa interacción por parte del usuario. Tras comunicar el fallo a Microsoft, Aviv, que manifiesta sentirse decepcionado por la lentitud de la respuesta del equipo de seguridad de Microsoft en ocasiones similares (“la última vez que seguí su política de revelación responsable tardaron seis meses en cambiar una simple línea de código”, dice), ha decidido ocultar la prueba de concepto en su propio blog e irá suministrando pistas cada uno o dos días hasta la revelación total de los detalles, que anuncia para el próximo miércoles…

Vía: Kriptópolis





César Cerrudo tenía razón: Microsoft reconoce nueva vulnerabilidad

19 04 2008

Pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el “servidor Windows más seguro que ha habido nunca” (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.

Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.

Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.

A ver cuando sacan el parche para solucionar el fallo, cabe comparar que el parche del exploit para tener root para los kernels 2.6.x – 2.6.24.1 salió prácticamente al publicarse la vulnerabilidad, veremos cuanto tarda el de Microsoft…

Referencias:

Vía: Kriptópolis





Un estadounidense reconoce que vulneró cientos de miles de ordenadores

18 04 2008

“Un estadounidense de 26 años ha sido encontrado culpable en Los Ángeles de haber ‘pirateado’ “cientos de miles de ordenadores” en Estados Unidos para robar información confidencial y se expone a 60 años de cárcel, según anunció el Ministerio Fiscal”


Juan Schiefer, consultor de seguridad informática, reconoció frente a un juez “haber tomado ilegalmente el control de cientos de miles de ordenadores en Estados Unidos, que dirigía posteriormente a distancia mediante servidores”, sin que sus usuarios lo supieran, según precisó la oficina del fiscal federal.

“Una vez estos ordenadores estaban controlados, Schiefer utilizaba programas automáticos -‘botnets’- para buscar fallos de seguridad en otros ordenadores, interceptar comunicaciones electrónicas y robar datos personales”, con el fin de sacar beneficios económicos.

Schiefer fue encontrado culpable de interceptación ilegal de comunicaciones electrónicas, así como de fraude bancario y transferencias electrónicas.

El Ministerio Fiscal afirmó que el acusado, que reconoció su culpabilidad y puede ser condenado de forma directa, “es la primera persona en Estados Unidos que se declara culpable de interceptación de datos utilizando ‘botnets'”.

Juan Schiefer, conocido en la comunidad de ‘hackers’ con el sobrenombre de ‘acidstorm’, conocerá la condena el 20 de agosto. Además de la posibilidad de que se pase 60 años en la cárcel, es posible que también tenga que pagar una multa de 1,75 millones de dólares.

Vía: LaFlecha