Fuente: @Conz

• Geelbe hackeado y el problema de las claves únicas
• Contraseñas de Geelbe expuestas, ¡cuidado con las contraseñas únicas!
• Revelan la clave de algunos usuarios de Geelbe
• Geelbe crackeado ¡Cambia tus Claves YA!

Ahora, veamos algunas moralejas interesantes sobre la noticia que creo pueden ser de utilidad para los lectores.

Moraleja 1: los mecanismos de seguridad deben actualizarse

Aunque en este caso parece peor la situación, por la antiguedad del sitio todo indica que utilizaron un mecanismo de seguridad que ya era obsoleto e insuficiente al momento de su implementación. Lo importante aquí es que de una u otra forma se estaba utilizando un algoritmo de cifrado obsoleto (esto lo explican muy bien en Rompecadenas: “las claves tenían un proceso que se basaba en una directiva que convería “1234″ en “15sa1SWDs8sd45″, pero luego existe una misma directiva que trasforma ese “15sa1SWDs8sd45″ en “1234″“).

Hace un tiempo escribí un artículo sobre este tema, titulado Actualizarse o sufrir, esa es la cuestión, que está disponible en la sección artículos. La idea es muy sencilla: lo que hoy es una tecnología de seguridad segura (valga la redundancia), mañana deja de serlo. ¿Por qué? Básicamente porque hay atacantes dedicados a romper los mecanismos de seguridad. Lo que estaba haciendo Geelbe utilizando Base64 es como si yo a mi casa le pongo una cerradura de hace 40 años, que cualquier ladrón amateur sabe como abrir. Es seguridad obsoleta.

Moraleja 2: tus contraseñas nunca están seguras

Esto tiene que estar claro, al desligar la responsabilidad a decenas (¿cientos?) de empresas y portales donde dejamos nuestras contraseñas, nunca puede saberse si alguna base de datos será afectada, por lo que siempre es bueno tener en cuenta los varios consejos varios sobre contraseñas que ya he compartido en el blog.

Los más importantes son, por un lado, que recuerden el por qué de utilizar contraseñas fuertes, ya que minimiza el riesgo a que la misma sea adivinada.

Por otro lado, y un tema que deja lugar a subjetividades, la importancia de contar con más de una contraseña, y no compartir claves entre servicios críticos y servicios no tan importantes, algo que también ya discutimos por aquí. Vale destacar que pienso que es imposible tener una contraseña para cada servicio que utilizamos, pero sí es posible diferenciar en categorías los servicios, de forma tal que un incidente de este tipo no afecte temas importantes como las cuentas bancarias o el correo electrónico.

Moraleja 3: la responsabilidad es de todos

Hoy leía en Twitter la idea de que “si fuiste tan inconsciente de usar la misma clave de Geelbe en otros servicios, no los culpes a ellos… sos vos el imprudente” (vía @Xyborg), lo cual es un punto de vista válido que, aunque no comparto por lo que mencioné más arriba (no se puede tener una contraseña para cada cosa, y uno puede no ser inconsciente y verse afectado igual), sí creo que tiene algo para destacar: acá los responsables somos todos.

Por un lado le mencionaba a @Xyborg que me parece que no hay que olvidarse de la enorme responsabilidad de los desarrolladores del portal, los responsables (no principales porque para eso están los atacantes, pero sí en segundo lugar) de un incidente como el ocurrido.

Sin embargo, sí me parece otra oportunidad para refrescar lo que decía más arriba: no sean inconscientes. Repito, no se puede tener una contraseña para cada servicio porque me resulta imposible, y no se puede vivir con paranoia, pero tengan contraseñas fuertes y usen un número razonable de contraseñas para tener una administración lo más segura posible al respecto.

Las contraseñas son el acceso a datos muy sensibles y privados (o incluso a nuestro dinero). Son como las llaves de nuestra casa, y vale la pena cuidarla.

El usuario debe cumplir con su parte de responsabilidad, sobre todo cuando las empresas no cumplen con la suya.

Es interesante saber que, luego de la publicación en Segu-Info; aparentemente ArCERT ha anunciado que trabajará en la vulnerabilidad.

De todas formas lo que me interesa comentar es otra cosa. Hay una tendencia de aquellos que quizás no estén en el mundo de la seguridad (el hacking, el pen testing, el diagnóstico de vulnerabilidades) a pensar que aquel que encuentra una vulnerabilidad y la publica es el principal responsable de que después se cometa un ataque explotando dicha vulnerabilidad. Y aquí surgen dos debates que obviamente son más extensos de lo que podré comentar aquí.

En primer término, yo no acuerdo con esta idea. Es decir, no creo que cualquier vulnerabilidad deba ser publicada, y la discusión puede ser muy fina. Pero sí creo que pensar que el culpable de un ataque sea quien descubrió y publico la vulnerabilidad es, al menos, una reducción errónea del problema. Y digo esto principalmente porque hay dos actores a los que no se les puede desligar la responsabilidad probablemente mayor en la materia: quien programó un software con esa vulnerabilidad y quién realizó el ataque. En el primero de los casos la discusión se vuelve más fina aún, porque las vulnerabilidades ocurren tanto por la naturaleza propia del ser humano, que se equivoca, como por la ineficiencia o poca importancia a la seguridad que dedican algunas empresas de software (sería negligencia). Obviamente un caso y otro son distintos. En el caso del atacante, creo que desligar la culpabilidad a otra persona antes que a este es un error. Quién tiene una intención maliciosa no deja de ser el principal responsable, tanto desde el punto de vista técnico como desde el punto de vista moral.

Pero todo esto es preámbulo, y no lo digo por la longitud de lo que vengo diciendo. Si leen la noticia con la que arranque el post, hay un factor preponderante que escapa a todo el análisis que les dejé anteriormente: antes de publicar la vulnerabilidad, Zerial informó las mismas a la institución sin obtener respuestas. Repito, este me parece un factor de alta preponderancia. Si en una situación sin este factor, la discusión puede ser fina, creo que en estos casos la enorme negligencia de quien recibe un alerta y hace caso omiso debe simplificar la discusión. Acá hay negligencia por donde se lo mire. No hay error involuntario. De una u otra forma, alguien está ignorando un alerta de un potencial peligro.

Digo, es hora de que las organizaciones dejen de enojarse con un montón de gente que busca vulnerabilidades porque es su trabajo, y en muchos casos su pasión. Denles un poquito de bolilla nomás que muchos están predispuestos más a ayudar que a molestar.

¿O me equivoco?

El día de ayer fue descubierta una vulnerabilidad en WordPress (info en español) que reviste cierta gravedad, y que aún no posee parche oficial, aunque sí procedimientos manuales y parche no oficial para su remediación.

Basicamente, cualquier persona podía resetear la password de administrador de un blog en WordPress (específicamente la versión 2.8), ingresando a una dirección web de este tipo:

http://blog.com/wp-login.php?action=rp&key[asdf]=

No es un chiste, tipeen esa dirección en el dominio de cualquier blog vulnerable y será reseteado el password de administrador.

Cerrando los hechos, tomo el cierre del post en Ayuda WordPress: “Da miedo ¿verdad?, pues actualiza coño“.

Lo loco de todo esto, no es que se trate de una vulnerabilidad tan grave, sino de una vulnerabilidad tan tonta. Digamos, una plataforma que a nivel seguridad a dado buenos resultados, no puede tener una vulnerabilidad para reiniciar una contraseña de forma tan sencilla. Me imagino a muchos lectores pensando que una vulnerabilidad necesita de ciertos conocimientos técnicos para ser explotada, y ver esto parece un poco loco. No parece real pero así lo es.

Es más, es más frecuente de lo que uno cree. No es que pasen todos los días estas cosas, pero muchas veces en el esfuerzo (o no) por implementar seguridad en cuestiones muy complejas, los errores más simples terminan apareciendo. Independientemente de que este es un problema de seguridad, también es un problema de diseño, de malos diseños de las aplicaciones.

Me acuerdo que el año pasado, en la Ekoparty Conference, le pregunté a Luciano Bello en su charla sobre el fallo criptográfico en Debian, por qué creía él que había ocurrido semejante error y, fundamentalmente, por qué nadie lo había visto antes. En su caso era muy similar: cuando él explicaba por qué se generaban insuficientes variables pseudo-aleatorias, parecía un error demasiado obvio. La respuesta de Luciano estuvo muy cercana al “no sé”. Es decir, él lo vio; pero no sabe qué pasó de por qué no se lo vio antes.

Obviamente que hablando de software libre esto reviste para muchos una oportunidad de decir, cómo puede ser que con el código abierto no se vean estas cosas. Pero no es un tema de código abierto o cerrado.

Hace un tiempo me encontré con una vulnerabilidad similar en Exchange Server (el servidor de correo de Microsoft), específicamente en el OWA (webmail) de la version 2003. El bug (más información) era tan sencillo como el que les mostré antes. Direccionando a un usuario con un enlace de este tipo

https://webmail.com/exchweb/bin/auth/owalogon.asp?url=http://ejemplo.com

se lograba que un usuario observe la pantalla de login legitima, pero al hacer clic en el botón para ingresar, sea direccionado a un sitio web distinto (ejemplo.com). Más grave aún: esa vulnerabilidad tiene años y Microsoft decidió no arreglarla, sino directamente en las nuevas versiones de Exchange (2007). En su momento me agarré una buena bronca con la gente de Bill Gates, cuando un cliente me preguntaba como remediar esa vulnerabilidad, y yo tenía que decirle: “No, mirá, algo tan simple de arreglar el fabricante decide dejarlo así para que compres la nueva versión”. Pero así son las cosas.

Lo que esto demuestra es que estos errores pueden ocurrir, que no es el fin del mundo; pero que sí nos pone en la obligación de preguntarnos nuevamente cuánto saben los programadores de seguridad. O para no lavarme tanto las manos, por qué no hay trabajo en equipo entre los programadores y los expertos en seguridad. Los motivos pueden ser muchos: arrogancia, bajo presupuesto, desconocimiento o ignorancia, etc.

De una u otra forma, cada tanto, los usuarios terminan exponiéndose a vulnerabilidades que pueden ser explotadas por cualquier salame que tenga ganas de molestar. Y eso no está bien.

El primer caso ocurrió en la previa, en el sitio web para la consulta de padrones padrones.gov.ar, donde se pudo ver cómo modificaron la información de dos provincias argentinas agregando las palabras “chorros” y “ladrones” en cada una de ellas:

Me resultó curioso que después de esto hecho, el estado quiso que los ciudadanos se queden tranquilos de que la información de los padrones (es decir, dónde vota cada personas, sus números de documento, y otros…) no habían sido modificados. La tranquilidad debía ser que solo tocaron esos dos campos que ustedes ven en las imagenes.

En palabras de el director nacional electoral, Alejandro Tullio, les contamos cómo lo hicieron:

• los hackers “no entraron a los servidores“
• “no alteraron los servidores donde están las bases de datos“

Sí Tullio, ¿alguna otra idea? Te sugiero que digas también para tranquilidad de la gente:

• “Es más, lo que vio la gente fue una ilusión, ni siquiera existió el hackeo“, o…
• “No fueron hackers, fue un error del sistema que se volvió loco“, o pero aún…
• Fueron hackers pero “no entraron al servidor“, “no entraron a ningún lado” y, es más, “ni siquiera utilizaron una computadora“.

Para cerrar el fin de semana, luego de la “derrota” del partido oficialista, otros muchachos se dieron el gusto de hacer un deface al sitio web del partido pj.org.ar (ya reparado):

Como verán, las elecciones sacaron los mejor de estos “hackers” locos y se pudieron divertir un rato.

Prologo: el descubrimiento

Todo empezó hace unos días, leyendo el siguiente post: “How to Crack a Window’s Password in 5 Minutes” (en español, Cómo crackear el password de Windows en 5 minutos). El post decía, entre otras cosas:

“Sin importar cuál sea la razón para necesitarlo, encontrar la contraseña de Windows se generalmente simple, y puede ser realizado en un periodo corto de tiempo.”

“Para encontrar la contraseña de Windows, usted necesitará un programa llamado Ophcrack. Es completamente gratuito y funciona muy bien”

“… el Live CD iniciará las tablas rainbow y automaticamente comenzará a trabajar por la contraseña. Para la mayoría de las contraseñas de usuarios, solo tomará unos segundos crackearlas. Para contraseñas alfanuméricas más extensas, tomrá unos minutos, pero es la exepción, no la regla.”

“Una vez que encuentre la contraseña, anotala por ahí, quitá el CD y reiniciá el sistema. Ingresá la contraseña en el login y luego hace lo que quieras.”

“Nota: el sentido común indica que esto solo debe ser utilizado en computadoras donde usted está autorizado a acceder. Si utiliza esto para computadoras no autorizadas, eso es ilegal. Este artículo es solo confines informativos.”

Nota de mundobinario: hago extensiva la última nota a este post.

Primer estadio: escepticismo

La realidad es que luego de leer el artículo, pensé que esto se trataba de un titular, no digo amarillista, pero sí ventajoso. Supuse que el sistema funcionaría con contraseñas simples pero que ante contraseñas complejas (como la mía) esto no podía funcionar. Mis aprendizajes sobre ataques de fuerza bruta me hacían comprender que, a mayor complejidad, y dada la función exponencial, llega un momento en que el tiempo para calcular una contraseña va más allá de lo útil. La verdad, descreí…

Segundo estadio: las pruebas

De todas formas, más allá de mi opinión, creí que valía la pena realizar las pruebas pertinentes. Descargué el LiveCD y lo probé en una máquina virtual con Windows XP. El CD bootea y arranca a trabajar. El resultado, en la imagen a continuación:

Como podrán observar, ofusqué cierta información ya que la password que efectivamente el sistema encontró, es una que utilizo normalmente. Observar que:

• el primer recuadro azul marca la contraseña del usuario “Administrador”. El tiempo que demoró en encontrar la contraseña fue de aproximadamente 10 minutos.
• el segundo recuadro marca la contraseña (vacía) de un usuario que tengo configurado así. El tiempo que demoró fue unos pocos segundos (literalmente).
• abajo a la derecha se ve el tiempo total de finalizar todo el proceso aunque, como ya mencioné en el ítem 1, la password de administrador ya figuraba desde el minuto diez.

Finalmente hice dos pruebas más:

1. Modifiqué la contraseña a “123456″ y esta fue encontrada en un minto y medio (ver imágen).
2. Modifiqué la contraseña por una más compleja que la mía aún: “UnWi-*%$Np98ww”. La misma no fue encontradada luego de media hora (ver imágen).

Por lo tanto, pude concluir que este sistema de una u otra forma estaba utilizando algún método mejor que el clásico de fuerza bruta, que podía obtener contraseñas complejas… pero no tanto.

De todas formas estaba anonadado. Toda mi teoría sobre seguridad en contraseñas destruida en diez minutos. ¡Qué contraseña iba a utilizar ahora que la mía era fácil de obtener!

Tercer estadio: la comprensión

Nota de mundobinario: todos los méritos de esta sección para este post.

Definitivamente las pruebas me superaron, asumí mi derrota y pensé: “no hay derrota si hay aprendizaje”. Por lo tanto, decidí leer un poco a ver por qué este método funcionaba.

Como primer conclusión estaba claro que, como ya mencioné, esto no utilizaba un ataque de fuerza bruta clásico; y comprendí que justamente esto de las tablas rainbow no se trataba de este tipo de técnicas. Luego decidí ver qué decía el sitio oficial, que describe que se utilizan ataques de fuerza bruta para contraseñas simples y tablas rainbow para complejas. Incluso se pueden descargar las tablas que son muy pesadas (¡muy! desde 500 Mb. hasta varios Gigas).

¿Qué son las Rainbow Tables?

Cuando un usuario asigna su contraseña, el sistema operativo necesita guardar esa contraseña. Para no hacerlo en texto plano (sería muy simple encontrarla), lo que hace es aplicar una función Hash y almacenar el resultado de dicha función en un archivo (en el caso de Windows en C:\Windows\System32\config\SAM).

Una función Hash es una función que devuelve un valor casi único por cualquier cadena de texto (o incluso archivos, directorios, etc.). Es decir, si yo le aplico un Hash MD5 (un tipo de Hash) a la palabra “Sebastián”, el resultado será “c2d628ba98ed491776c9335e988e2e3b“. Y si hago lo mismo con “unmundobinario.com”, el resultado será “373e838e5050faca627b0433768aedef“. Claramente el resultado de una función Hash dista bastante de almacenar el texto plano.

Sin embargo, las funciones Hash tienen un inconveniente. Siempre que yo ponga la misma cadena obtendré el mismo resultado. Y aquí aparecen las tablas rainbow.

Basicamente a alguien se le ocurrió lo siguiente: no necesito hacer un ataque de fuerza bruta (prueba-error) para obtener la contraseña. Si conozco la función Hash, conozco la contraseña.

Una tabla rainbow es una colección enorme de Hashes con los algoritmos más conocidos. De esta forma, lo que antes era un ataque de fuerza bruta ahora es una búsqueda en unas tablas gigantes (literalmente). Obviamente el gran problema de estas técnicas es el espacio. De hecho, aunque aquí fue explicado de forma resumida, se utilizan funciones de reducción para no tener que ocupar tanto espacio de almacenamiento.

Entendido el método (¿entendido?) se entiende por qué en las pruebas que hice no se encontró en un caso el password: el motivo fue que no estaba cargada la función HASH de dicho password en la tabla de Hashes utilizada por la aplicación.

Nota de mundobinario: además del post citado en este estadio, pueden ver más información aún (en inglés) aquí.

Cuarto estadio: la conclusión

Cabe mencionar que, según el post que me ayudó a comprender esto, existen dos alternativas para poder segurizar las contraseñas almacenadas con Hash:

1. Utilizar espacios en blanco en las contraseñas. Esto lo probé con una contraseña muy simple (“esp acio”) y el programa no pudo encontrar la contraseña.
2. Añadir variables aleatorias en la generación del Hash. Es decir, que si pongo dos veces de contraseña Sebastián, obtener dos Hash válidos con una parte fija (siempre igual) y otra variable.

Luego de “experimento” podemos agregar que contraseñas MUY complejas también zafan (por ahora, y según las tablas que se utilicen) de este método.

Como conclusión, y en primer lugar está claro que todos los días se aprende algo nuevo.

Las técnicas de “hacking” están aprovechando los avances informáticos (y en materia de Inteligencia Artificial). Podrán observar que estas herramientas están al alcance de cualquiera asi que tengan cuidado a quién prestan su PC.

Por otro lado, me queda la duda por qué los Sistemas Operativos existiendo estas técnicas, no aplican funciones aleatorias a los Hash antes de guardar la contraseña. Debo seguir leyendo para dilusidar una respuesta pero espero que algún lector que sepa más que yo nos adelante por qué no se implementan medidas para segurizar este aspecto.

Bueno, espero que hayan disfrutado este post tanto como yo. Les debía un post así de largo y portense bien y usen esta herramienta solo para probarla (o como mucho con algún amigo o hermano para hacerle una joda. Hasta ahí se lo permitimos…).

w3af es el proyecto de un muchacho argentino, llamado Andrés Riancho. Llegué a la aplicación ya que la empresa donde trabajo, Openware, es uno de los sponsors del proyecto.

Para resumir de qué se trata w3af, tomo la información del sitio oficial: “w3af es un framework de ataque Web y Auditoría. El objetivo del proyecto es crear un framework para buscar y explotar las vulnerabilidades de aplicaciones Web que sea fácil de utilizar y ampliar“.

Aunque hace rato que sigo los pasos de la aplicación a través de una de sus listas de correo, me tomé unos días para probarla. En mi caso, lo hice en el siguiente contexto: utilicé Ubuntu 8.04 (aunque la aplicación actualmente está también disponible para Windows) y también recuerden que el hacking no es mi especialidad.

Antes de seguir con cualquier dato “irrelevante”, quiero destacar que el proyecto está distribuído con una licencia Open Source, bajo Licencia GNU General Version 2. En este momento, la aplicación está por su versión beta7, y avanzando, tanto en prestaciones como cantidad de usuarios, a pasos muy rápidos y firmes.

En sí la aplicación tiene una instalación muy simple. En Linux simplemente descomprimiendo el archivo que descargamos ya podemos utilizar la aplicación. En Windows, mi compañero de trabajo Ulises, hizo el instalador para Windows que es súper sencillo de instalar.

Para hacer uso de la aplicación, es posible hacerlo a través de una consola o a través de su interfaz gráfica (GUI).

En primer lugar, hice uso de la consola, utilizando el manual de usuario disponible en el sitio web. Respecto a la consola, me gustó la forma en que está pensada la ejecución, en donde uno va colocando comandos y en función de eso va escalando a diferentes secciones para configurar los diferentes parámetros. La interfaz gráfica es aún mejor, además de lo amena, es extremadamente simple de utilizar. Podemos ver desde la interfaz las cuatro pestañas respecto al uso de la aplicación: configuración, log, resultados y exploit. Basicamente estas pestañas describen también el proceso de un ataque-auditoria a una aplicación web.

¿Cómo funciona la aplicación? Bueno, básicamente utiliza, al estilo Nessus, diferentes plugins que uno puede configurar según cuales quiere utilizar. Nuevos plugins aparecen periódicamente. Estos están agrupados en categorías:

• Discovery: se utilizan, por ejemplo, para descubrir nuevas URLs válidas en el sitio.
• Evasión: son utilizados para tratar de evadir los IDS.
• Auditoria: se utilizan para auditar la seguridad de la aplicación web.
• Grep: son utilizados para analizar cada respuesta que devuelve el servidor.
• Output: se utilizan para escribir la salida de otros plugins en un formato cómodo para el framework.

Basicamente, el proceso es el descripto anteriormente. Primero, el usuario selecciona el “combo” de plugins que va a ejecutar, selecciona la “víctima” (el sitio web a escanear) y decide comenzar el “ataque”. Posteriormente, se pueden visualizar los logs mientras se realiza el ataque. Finalmente, es posible visualizar los resultados obtenidos por el escaneo, y conocer las vulnerabilidades que tiene la aplicación y los exploits que pueden explotarlas.

Además, con la última versión, el usuario tiene paquetes pre-armados de plugins para, por ejemplo, probar el OWASP TOP 10, y testear las vulnerabilidades más comunes en sitios web.

Como punto bajo creo que aún falta mejorar la documentación disponible, cosa que permitirá también acercar más usuarios para que prueben el software.

Me resulta interesante los por qué’s de hacer el proyecto, explicados en el sitio web por Andrés:

Quiero devolver algo a la comunidad Open Source.

Soy perezoso y este software permitirá automatizar mi trabajo en test de penetración.

Quería tener un proyecto GPL, para aprender sobre él.

Quiero aprender Python

Como conclusión, me parece que w3af cubre un nicho de mercado cada vez más importante (vulnerabilidades en aplicaciones web) y, encima, lo hace a través de un proyecto colaborativo y Open Source. El proyecto quizás no esté 100% preparado pero, como dije al principio, el crecimiento y las mejoras son muy rápidas y periódicamente aparecen versiones más estables, más completas y con más funcionalidades.

RESUMEN

Aplicación: w3af

Autor: Andres Riancho + comunidad

Costo: Free

Lo mejor: software libre, excelente diseño y funcionalidad, pretende ocupar un espacio que aún está vacante (un framework para auditorias de aplicaciones web).

Lo peor: pocos idiomas, aún está en versión “beta”, falta de documentación.

Sitio web: http://w3af.sourceforge.net/

Puntaje: ¿se olvidaron que no pongo puntajes? Prefiero no acotar el resultado y expresar todo, lo bueno y lo malo y, fundamentalmente, la subjetividad del texto y la opinión, para que cada uno lo pruebe luego y ponga su propio puntaje.

Lamentablemente, cuando Andrés vino a visitarnos a Openware, y a contarnos del proyecto, yo estaba de visita en Bahía Blanca con mi familia y aún no lo conozco personalmente. De todas formas, mis felicitaciones a Andrés por encarar semejante proyecto, hacerlo en la comunidad del software libre, y ponerle tanto esfuerzo para que siga creciendo y mejorando.

Desde ya, invito a los lectores que tengan espacios en la web a difundir el proyecto y, ni hablar, a aquellos que sean programadores a colaborar en él.

Todo empezó porque en una importante conferencia de Seguridad, dos investigadores suspendieron su charla a pedido de la empresa Adobe, indicando que era responsable no divulgar aún los detalles de la vulnerabilidad que ellos descubrieron, teniendo en cuenta, su gravedad, y que afectaba a muchas plataformas (prácticamente todos los navegadores).

¿De qué se trata la vulnerabilidad?

La vulnerabilidad, denominada Clickjacking (secuestro del clic), hablando muy simple, es la posibilidad de que un atacante pueda manipular los enlaces en un sitio web.

Nada mejor para entenderlo, que verlo, ingresen en este link, donde Segu-Info realizó una prueba de concepto, y verán como aún creyendo que están ingresando a Google, se forzará el direccionamiento a otra web, sin el consentimiento del usuario.

¿Cómo puedo protegerme?

Este es el punto que más me interesa. Por el momento no han trascendido muchos detalles, pero sí hay una solución que por el momento parece la forma de estar menos expuesto a la vulnerabilidad: usa Firefox con el plugin NoScript instalado.

Para instalar Firefox (si aún eres usuario de IE), lo puedes hacer desde el sitio oficial, ya estamos en la versión 3.0.3. Luego, una vez instalado, pueden ingresar aquí, e instalar el plugin NoScript, que permitirá protección contra la ejecución de código sin el consentimiento del usuario.

Como usuarios finales, confíen en mí , y si pueden realicen los pasos aconsejados en el párrafo anterior. No estoy muy de acuerdo con la paranoia de la seguridad, pero sí con tomar recaudos cuando aparecen amenazas de este tipo.

Más información:

• Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores
• Firefox y NoScript vs Clickjacking
• Pruebas de Concepto de Clickjacking
• Clickjacking
• Clickjacking
• ClickJacking, ¿lo nuevo en (in)seguridad?
• US-CERT: Multiple Web Browsers Affected by Clickjacking
• Clickjacking and NoScript

Ya les había adelantado de qué se trata el libro “Hacking Ético” pero lo resumo de nuevo: una producción rosarina de un joven profesional, Carlos Tori, que dedicó unos cuantos meses a escribir este compendio de los temas más importantes del hacking ético.

El libro fue publicado hace unos pocos meses y si no me equivoco, ya va por su cuarta edición. Además, desde el sitio web, el autor libera periódicamente algunas páginas del libro como para poder observar qué se puede encontrar en el resto de las páginas. El prologo fue realizado por Cesar Cerrudo, fundador y CEO de Argeniss. Fue impreso de forma independiente (sin editorial de por medio, amén) y es distribuido solo a través de su sitio y de su autor.

La distribución de los capítulos ya adelanta que esto se trata de una visión genérica del tema, acaparando las diferentes aristas que aparecen en la temática: ingeniería social, fuerza bruta, ataques web, servidores, etc.

A pesar de no profundizar en ninguno de los temas (no lo considero un punto bajo ya que creo que el libro no lo pretende), los mismos son tratados no solo en forma teórica, sino que se muestran ejemplos prácticos en cada capítulo. De esta forma, los conceptos teóricos, que quizás puedan ser leídos en un sitio web, son complementados con la experiencia profesional del autor, otorgando un valor especial a cada temática. Sumado a ello, los conceptos y ejemplos son constantemente acompañados con imágenes alusivas a cada tema.

Sumado a ello, el libro abunda en material para extender la información, lo cual lo enriquece ya que uno muchas veces se queda con ganas de seguir leyendo sobre alguno de los temas, según los gustos y aficiones de cada uno. En mi caso particular, los capitulos que más me gustaron fueron “Inyección de código SQL” y “Servidores Windows“.

Me resultó interesante, además, el bonus track del libro, un pequeño how-to para instalar en un mismo equipo tres sistemas operativos: Windows XP, Debian Linux y FreeBSD. Es un concepto interesante para algún jóven que luego de leer el libro quiera poner en práctica lo aprendido a lo largo de las páginas.

Como puntos bajos (sí, en Mundo Binario no se salva nadie, y me gusta aportar alguna crítica para hacer un poco más creíble mi review y que vean que acá no hay nada de compromiso), debo reconocer que no me gustó la edición interna, con diferentes tipos de letras a lo largo del libro y muchos tamaños diferentes. A pesar de ello, sí me gustó (mucho) la edición de tapa y contratapa, a la vez simples e interesantes. Además, me hubieran gustado (esto es más personal, según mis gustos), la publicación del libro con otro tipo de licencia y la redacción en tercera persona.

En fin, un material altamente recomendable para aquellos que deseen adentrarse en el mundo del Ethical Hacking, contado por un profesional desde su experiencia en el área.

RESUMEN

Título: Hacking Ético

Autor: Carlos Tori

ISBN: 978-987-05-4364-0

Costo: $105 para argentina (con envío incluido, ver otros costos en sitio web)

Cant. de páginas: 328

Lo mejor: Lo abarcativo del tema, la relación conceptos-ejemplos-imágenes.

Lo peor: La edición interna, la licencia.

Sitio web: http://www.hackingetico.com/

He decidido no poner puntaje a la review, e intentaré mantenerlo de aquí en adelante. De hecho, ya le tenía puesto un puntaje al libro (bastante alto por cierto) pero pensé que el puntaje es relativo, ya que, como mencioné anteriormente, el libro vale 10 puntos, para un joven que quiere entrar en este mundo, quizás vale 8 para alguien que ya conocía muchos de los conceptos y quizás vale 6, para alguien que ya está muy metido en el mundo del hacking y ha practicado en él. El libro vale según cuáles sean los ojos que lo lean.

Mis felicitaciones personales a Carlos y me resulta grato que exista material de esta calidad, oriundo de nuestra ciudad, Rosario.

cada día son mas la gente que dice saber sacar contraseñas de correo , asi que comprendo a quienes no quieran creerme .
mi sistema de trabajo funciona así.
usted me dice la cuenta que quiere hackear ….
yo procedo a realizar el trabajo y en cuanto tengo la contraseña (no mas de 2 días) ,
le doy las pruebas suficientes para recién cobrar , antes no cobramos nada ,
además de vender contraseñas , podemos también darte las conversaciones (anteriores)de MSN entre 2 correos que tu nos indiques. Por un precio adicional podemos darte mas datos como información física del PC . Capturar su computadora y gravar todo cuanto se haga o diga desde su PC.
nuestro servicio es nuevo y no te hacemos perder el tiempo ni tu dinero, solo pagas cuando te mostramos el mail hackeado , para poder contactarnos solo escribe a xxxxxxxxxxx@hotmail.com , y cuéntanos tu caso . nosotros nos encargamos de ofrecerte las posibles soluciones y logramos resolverlo ..hasta el final ..es un servicio personal ..
el servicio es totalmente confidencial y anónimo , en ningún momento la victima podrá notar que tu estas vigilando su correo , el programa es nuestro (creado por nosotros)y solo necesitas los password de las personas que quieras ver sus
conversaciones.
te invitamos a contactarnos . solo pedimos seas una persona seria y responsable , recuerda que también ayudamos en caso muy delicados (infidelidad , secuestros , suplantación de identidad , engaños , usurpación , etc.)
condiciones .
1 No es un servicio gratuito
2 bajo ninguna condición enviamos ningún tipo de contraseña asta no recibir el pago
3 no cobramos nada por intentar hackear la cuenta
4 no cambiamos el password , te doy el password original
5 el costo es de 50 dólares por cada cuenta y 60 dólares por el programa para ver las conversaciones de msn sin que se den cuenta
6 es totalmente anónimo.
7 no es necesario que la victima visite su correo, nosotros trabajamos en un nivel superior
8 el plazo máximo para los password es de 2 días
9 el único mail de contacto es xxxxxxxxxx@hotmail.com

Es increíble que haya gente que haga caso a este tipo de anuncios. Me encanta la técnica barata de “comprendo a quienes no quieran creerme” como para dar credibilidad al mensaje. En fin, ya lo hablamos la otra vez pero si quieren saber como hackear hotmail, no hagan caso a tantas estupideces y entren aquí.

Fuente: “Hackeo Msn Hotmail Yahoo Gmail”

A veces siento que la gente tiene el imaginario que “hacker hotmail” es como hacer una fatality en el Mortal Kombat, y esperan un dialogo por el estilo…

- ¿Me podrías decir cómo hackear hotmail?

- Sí, es así: Entrá a la web de hotmail, escribí la dirección de correo que queres hackear, en password escribí “soyunsuperhacker” y después apretá la siguiente combinación de teclas “Alt + Supr + q + i + 3″. Posteriormente mantené presionado durante 7,5 segundos la tecla F9 y listo, ya estás adentro.

No se si será esto lo que la gente espera cuando hace este tipo de preguntas. La realidad es que no se puede hacker hotmail, por lo menos tal cual se debería interpretar la palabra hackear. En los últimos dos días me encontré con dos post aclarando esto y eso me disparó a clarificarlo también para los lectores de Mundo Binario.

Cristian nos muestra en el blog de Segu-Info como en algunos foros, algunos utilizan esta “necesidad” de la gente de sacarse la duda y hacen diferentes ofertas donde al final le piden a la gente sus datos de acceso y se arman una linda base de datos, que después cotizará en bolsa.

Este mito de que es fácil hackear hotmail tiene sus orígenes en que hace unos años existió una vulnerabilidad en Hotmail que permitía realizar un ataque XSS y de esta forma obtener acceso a cuentas de correo sin conocer la contraseña. El tema, es que dicha vulnerabilidad fue remediada y dejó de existir. Lamentablemente quedó dando vueltas la idea de que Hotmail es vulnerable y, por consecuencia, el hecho de que los usuarios piensan que cualquier “informático” puede contestarle la pregunta sobre cómo hackear Hotmail.

Ya en Paraíso Geek, Alan Rodriguez nos muestra que, aunque mucha gente piense que es imposible, hay algunas formas de “hackear hotmail”…

1. Debes conocer muy bien a la persona, estudiarla, vigilarla durante aproximadamente una semana.
2. Ve a una tienda de armas, compra una, sólo que para que la aprueben debes decir que es para protección y que no tienes antecedentes penales, si no es así, olvídalo.
3. Una ves que tengas tu arma, y que sepas todo lo que hace tu víctima, a que hora se levanta, a que hora come, a que hora sale por el pan, entonces podrás actuar.
4. Metete a su casa, la manera más fácil es saltarse la barda, si pesas más de 150 Kg. entonces olvídalo.
5. Una vez adentro, amaga a tu víctima, apuntale y pídele su password, si no te lo da, entonces quiébrale las rodillas con un tubo, eso provocará que te de la contraseña.
6. Sal de ahí y ve al ciber más cercano, la contraseña debió ser correcta, no por nada le quebraste las rodillas.
7. Disfruta y entérate de todo lo que quieras (No olvides visitar la sección de “correo no deseado”).

En realidad, este chiste nos ayuda a clarificar algunos puntos. Que no se pueda hackear hotmail, no significa que no se pueda obtener acceso a una cuenta de hotmail sin el consentimiento de su dueño o sin la contraseña.

Pero para ello, deberíamos usar algunas técnicas de ingeniería social que no se corresponden con lo que se debe llamar “hacking”. Algunos ejemplos pueden ser desde el simple y clásico espiar la contraseña mientras el otro la tipea o enviar un correo simulando ser el soporte técnico de hotmail o cosas por el estilo. Otras tecnicas también son válidas como por ejemplo utilizar un keylogger para conocer qué combinaciones de teclas utilizó un teclado pero en este caso el hacking sería al ordenador comprometido y no a hotmail.

Para cerrar, les cuento una de las formas de acceder a hotmail, con una cuota de ingeniería social, que utilizamos con un compañero hace unos cuantos años, cuando yo aún no sabía ni qué era seguridad informática, ni hacking ni nada.

Estabamos en la escuela secundaria y no me acuerdo por qué utilizamos la pregunta secreta de una de nuestras cuentas de hotmail o algo por el estilo. Se nos ocurrió empezar a ingresar a las cuentas de nuestros amigos y utilizar el famoso botón de “olvidé mi contraseña” y empezamos a ver cuáles eran las preguntas secretas de nuestros amigos. Como resultado, luego de unas cuantas pruebas pudimos acceder a dos cuentas de correos de dos amigos y cambiarles las contraseñas que fueron entregadas al otro día, luego de hacerles pasar un mal rato. La verdad que me acuerdo que cuando accedimos no lo podíamos creer, estabamos muy contentos, nos sentíamos como hackers aunque no sabíamos de qué se trataba.

Ah… la pregunta secreta de nuestros amigos era en ambos “¿Cuál es tu mascota favorita?” y en cada uno ingresamos con el nombre de sus respectivos perros.

PD. Lo más gracioso es que con este post inauguro la categoría hacking.