logotipo

No suelo escribir dos post en un periodo tan corto de tiempo pero esta vez merece la pena.
Si ayer hablaba sobre la Russian Business Network y proporcionaba algunos recursos al respecto hoy "vengo a hablar de mi libro" y a darme yo mismo una palmadita en la espalda, no olvidemos que el ego es a la seguridad informática lo que la musa al poeta.

El caso es que ha salido la nueva versión de OSSEC y en el mismo artículo de presentación mi tocayo Daniel B. Cid me nombra entre los agradecimientos, en esta ocasión por hacer de beta testing, si bien mantengo correos electrónicos con él sugiriendole mejoras en las reglas de detección y espero ser más util en futuras versiones.





Estamos en la cresta de la ola, que no lo olvide nadie.

Si nos centramos en el aspecto técnico y dejamos a un lado cuestiones legales, morales y demás los interesados en la seguridad digital podemos afirmar que la RBNetworks es un filón. Un filón de malware, troyanos, virus, botnets y todo lo que tenga que ver con el lado oscuro( no estoy hablando de Micro$oft ).

Hace poco nos alertaban en un artículo desde Hispasec, e incluso desde el Washington
Post. He encontrado un interesante mapa de la Russian Bussines Network, no me acuerdo de la fuente, lo he colgado de ImageShack:




Es cierto que por un lado resulta sumamente atractivo escanear estas redes en busca de interesante contenido educativo sobre seguridad informatica, pero por otro lado son redes sobre las que en el uso normal de nuestras computadoras debemos protegernos, ya que conexiones involuntarias con estas redes son al 90 % causa de infección por virus,troyanos, etc.

Los chicos de Bleeding Threats han reaccionado rapido y han creado una serie de reglas para Snort que alertan de las conexiones con la RB Network, están basadas en listas negras de IP's. Cito una de ejemplo:


alert ip [88.201.208.0/20,89.149.186.77/32,89.149.186.81/32,89.149.186.89/32] any -> $HOME_NET any (msg:"BLEEDING-EDGE RBN Known Russian Business Network Host Traffic (8)"; reference:url,doc.bleedingthreats.net/bin/view/Main/RussianBusinessNetwork; threshold: type limit, track by_src, seconds 60, count 1; sid:2406007; rev:2;)

El resto podéis encontrarlas en éste enlace.

Por otro lado, he encontrado un interesantísimo blog de reciente creación sobre esta red con información muy util.

Un saludo

Desde hace un tiempo me estoy centrando en el hacking de aplicaciones web. De entre todas las vulnerabilidades conocidas me producen especial interés las relacionadas con la mala validación de parametros: sql injection, ldap injection, XSS o Html injection, etc.
En particular me llaman la atención los Cross Site Scripting, tal vez sea por el poco interés que suele provocar entre la comunidad de desarrolladores.

El caso es que me he decidido a comenzar un proyecto( no sé si merece este nombre ) para profundizar sobre estas vulnerabilidades y de paso aportar algo al mundo del OpenSource, esta vez desde el lado defensivo. Para ello he creado una pagina web donde iré colgando reglas para Snort que detecten/prevengan XSS, con sus correspondientes signaturas, licenciadas bajo la GPL v3:

http://www.xssnortrules.es.kz

Inicialmente incluiré pruebas de concepto para los vectores de ataque clasicos, aunque la idea es ir progresando hasta cubrir vectores más complejos, como los de ha.ckers y mario.heideri.ch. La idea es abarcar ataques más o menos genéricos, a diferencia de la tendencia de Bleeding Edge Threads, que se centra en una regla por cada vulnerabilidad de XSS reportada en aplicaciones web concretas.

De momento la pagina web ya está montada, gracias a un diseño de Open Web Design y a la mano de vmlan con los css.
Estoy abierto a cualquier tipo de colaboración, ya sea reportando reglas, mejorándolas, proporcionandome hosting, fortunas monetarias y/o equipos informáticos( gracias adelantadas jramix ).

Hace algo menos de una semana estuve en mi reciente pero ya antigua facultad de informática en la jornada técnica "Sun Opensource Technologies". El marco de la misma eran dos conferencias: OpenSolaris y OpenSparc.

De la segunda no comentaré apenas nada, porque me parece un buen refrán aquello de "de lo que no sepas, no hables" y porque la conferencia se centró en obtener de la facultad un proyecto relevante de fin de carrera sobre la tecnología OpenSPARC a cambio de la generosa donación de una de esas potentes maquinas y la integración de Sun en los procesos educativos de la facultad( muy interesante por cierto ).
Lo negativo, que aquellos que vayan a cursar este año la nueva asignatura que la facultad imparte sobre el kernel de Linux pueden temblar porque en el bazar turco que pude contemplar el profesor de la asignatura en cuestión propuso estudiar en su lugar el núcleo de OpenSolaris. O es un crack en la materia o un superhombre, porque poca gente tiene los conocimientos suficientes como para cambiar todo el temario de una asignatura a diez dias de que comienze la misma.

La primera de ellas fue para mí mucho más interesante, trataba sobre OpenSolaris. Hace tiempo que conocía del desarrollo de este sistema operativo pero me he quedado gratamente sorprendido al comprobar que no se dedican simplemente a ponerle un kernel Sun a software GNU. Comentaron diferentes avanzes tecnológicos que me parecen muy interesantes:

ZFS: Sistema de ficheros de alto rendimiento, escalabilidad de datos practicamente sin límite, herramientas bajo comandos para su administración. En fín, el más mejor de todos los filesystems.

DTRACE: Herramienta de depuración del núcleo y vendida como suficientemente segura como para ser usada en un servidor en producción. Además es el primer componente de Solaris 10 abierto al OpenSource.
Hay un artículo muy interesante en castellano. Puedes acceder pinchando aqui.

CONTENEDORES: Permiten la virtualización en zonas aisladas dentro del sistema, es decir, que Sun está en el mercado de la virtualización, lo cual es muy esperanzador.

Evidentemente no fue toda la conferencia así, antes una serie de dispositivas ayudaron al ponente a explicar lo bueno que ha sido Sun para la comunidad OpenSource y lo que la ha apoyado a lo largo de los años. No lo discuto. Por cierto, ¿no he comentado que recientemente Sun ha contratado a Ian Murdock, creador de Debian?.

Lo prometido es deuda y al primer ponente( disculpa que no recuerde tu nombre ) le prometí que probaría el DVD con el que me obsequió( las camisetas y el bolígrafro ya los he probado y todo perfect :) ) y publicaría una reseña en mi blog( la primera camiseta la gané solo por tener blog... ).
Lo primero que he de decir es que no he hecho un benchmark ni me he tirado horas con el DVD ya que el tiempo no es algo que me sobre aunque si he sacado alguna conclusión después de usarla en dos pc's y un portatil, autoarrancado y sobre maquina virtual.

Contiene buena documentación en castellano sobre OpenSolaris, las distribuciones Live que alberga, alguna presentación y enlaces a videos explicativos, listas de correo, etc. Sin lugar a dudas estos chicos de Sun saben de marketing. El DVD es autoarrancable y muestra un GRUB con diferentes opciones:





Basicamente disponemos de tres distribuciones Live con diferentes opciones de inicio.

Nexenta

Tal como reza en el starter kit: "completo sistema operativo de código abierto basado en GNU y concebido a partir del núcleo de OpenSolaris y el userland Ubuntu".
No he conseguido arrancarlo, ni en dos pc's ni en mi portatil, siempre obtengo el mismo error:





Belenix

Es la unica distribución de la que tenía algún conocimiento antes de la conferencia. Arrancó perfectamente, me reconoció un disco duro portatil, tarjeta gráfica, y demás, aunque no cargó la interfaz de red. Muy interesante, aunque lo que he probado en profundidad me deja la sensación de que es una Live más de tantas:





Schillix

Este sistema operativo de nombre impronunciable es según el starter kit "el primer sistema operativo completo de código abierto basado en el código fuente de OpenSolaris".
Me funcionó perfectamente, pensado para servidores esta distribución me da la sensación de ser la más robusta. Cargó muy rapidamente incluso sobre maquina virtual:





En definitiva, creo que aún falta por madurar algún tipo de distribución "oficial" para acaparar ya no desarrolladores sino usuarios, que es la base que sustenta un proyecto. Creo que en ese aspecto quizá deberían imitar un poco a Red Hat con Fedora, porque ofrecer el código fuente sin proporcionar un binario instalable y oficial no atraerá a usuarios corrientes. Por lo demás creo que Sun acierta cuando piensan que hace falta un nuevo sistema operativo, ellos no apuestan por Linux y están en su derecho, no obstante tienen como apoyo la gran eficacia y rendimiento de sus servidores/maquinas y parece que se han salido del lado oscuro del software privativo. Me parece muy positivo como dije antes, que no desarrollan simplemente un nuevo kernel, sino que van más allá y estan creando nuevas tecnologías libres que si bien ahora están unicamente enfocadas a sus productos, pueden ser utilizadas en otros desarrollos libres.
Particularmente creo que ese nuevo sistema operativo que irrumpa en el mercado podría provenir del apoyo por parte de una gran empresa a algún BSD, aunque de escaso conocimiento, de estabilidad, madurez y eficacia probadas.

Por otro lado y previo registro ofrecen al más puro estilo Ubuntu el Open Solaris Starter Kit, muy recomendable para probar y juzgar por uno mismo.

A la respuesta del título yo contesto que a día de hoy esperanza, ¿qué opinas tu?

No es un secreto que las vulnerabilidades XSS(Cross Site Scripting) abundan en la red, como tampoco lo es que los programadores no otorgan a estas vulnerabilidades la relevancia que merecen.
A menudo evidencio un XSS con un simple script que muestra una ventana con la cookie del usuario, un simple script con un alert y un document.cookie en su interior.

Sin embargo el alcance de estas vulnerabilidades va mucho más allá de esta simple inyección. Las posibilidades son infinitas cuando hablamos de ejecución de código remoto, con una importancia mayor aún si cabe cuando tratamos XSS permanentes. Pruebas de esta importancia son los tuneles XSS, pruebas de concepto como la del ya famoso Jikto( cuyo código disponemos ya todos ), o herramientas de secuestro del navegador cada dia más maduras, como el ejemplo de BeEF.

Este post viene al caso no solo para quejarme publicamente sobre el desprecio generalizado antes estas fallas, sino a la decepción que me he llevado recientemente al descubrir y reportar una de ellas.
Se trata del ya famoso BASE, la interfaz escrita en php para administrar alertas del detector de intrusos Snort.
El dia 24 de Septiembre del mes pasado(hace ya 10 días) descubrí un XSS en BASE, lo evidencié en forma de imagenes:





que remití a los desarrolladores. Mi correo fue contestado muy rapidamente por Kevin Johnson, el lider del proyecto, agradeciendome el reporte, pidiendome información concreta sobre la vulnerabilidad y comentandome que intentarían arreglarlo ese mismo dia.

Tras 10 días no solo sigue aún sin resolver, sino que el bug que abrí en Bugtrack tiene una prioridad media y no ha sido asignado a nadie. Por otro lado en el CVS del fichero afectado en cuestión no hay ninguna entrada que haga referencia alguna a esta vulnerabilidad.

Como curiosidad dejo un pantallazo de la inserción de un enlace, apuntando hacia un supuesto código maligno:





Estaré pendiente de la resolución.