Restauré una vieja config de mi modem que tenía los DNS de Speedy, y olvidé que cuando sus DNS no encuentran un NS te redirige a www.ayudaenlabusqueda.com.ar, así que si nosotros estamos buscando subdomains para sitio.com, y pingeamos frutanga.sitio.com, nos va a devolver el famosísimo (al menos para mi) :
[matt@mfsec]$ ping frutanga.sitio.com
PING frutanga.sitio.com (208.70.188.15) 56(84) bytes of data.
64 bytes from smartbrowsebr-mx.terra.com (208.70.188.15)
… que hablando en criollo vendría a ser lo mismo que comerte el redirect por el browser a ayudaenlabusqueda.com.ar

Lo mismo para domains que no existen, un ejemplo, si tienen speedy tiren no sé, algo tipo:
“ping asdhui82ue8921heuidh2oui1hdji2l1ehdjk2hdjk2.tar.gz”, sí, .loquesea :/
Surprise!

Ya mismo estoy volviendo a los DNS de google (8.8.8.8 y 8.8.4.4), porque perdí un par de horas haciendo DNS Enumerations fruta, y yo que estaba totalmente emocionado de que había muchísimos domains nuevos para testear me tuve que conformar con este post ;(

Pregunta al márgen: ¿Cuándo acepté como cliente que ellos manejen este tipo de cosas?

[matt@mfsec] wget http://downloads.sourceforge.net/dradis/dradis-v2.6.0.tar.gz

[matt@mfsec] tar -xvzf dradis-v2.6.0.tar.gz

[matt@mfsec] cd dradis-2.6/

[matt@mfsec dradis-2.6 ] ./verify.sh

[matt@mfsec dradis-2.6 ] sudo gem install RedCloth (don’t know why does not get verified)

[matt@mfsec dradis-2.6 ] cd server

[matt@mfsec dradis-2.6/server ] bundle install

[matt@mfsec dradis-2.6/server ] rake dradis:reset (initialize all, option ‘a’)

[matt@mfsec dradis-2.6/server ] mkdir script/tmp (just in case)

[matt@mfsec dradis-2.6/server ] mkdir script/tmp/pids (just in case)

[matt@mfsec dradis-2.6/server ] touch script/tmp/pids/server.pid (just in case)

[matt@mfsec dradis-2.6/server ] ruby script/rails server

https://127.0.0.1:3004 (default configuration)

For remote use on another port (example: 5555):

[matt@mfsec dradis-2.6/server ] ruby script/rails server -b 0.0.0.0 -p 5555

https://127.0.0.1:5555 (custom configuration)

Remember to use https!

En mi caso tuve la oportunidad de ir a 2 trainings: El que dictó Immunity llamado Breaking Windows, y Malware Reverse el cual fue realizado por gente de ESET, en ambos aprendí un montón, y cada día me siento más seguro de en qué ramas quiero/no quiero especializarme, por ahora me viene convenciendo mucho la onda de ser exploit writter. En el de Breaking Windows como trainers tuve el enorme placer de tener a dos personajes bastantes divertidos, a Agustín y a Franco, a quienes recordaré por los conocimentos brindados y la buena onda que le pusieron durante toda mi estadía en Capital. El training de Malware Reverse lo dió Joan Calvet, un jóven de 24 años con quién tuve la oportunidad de charlar más de 3 horas seguidas, quién me dijo que por lo visto mi inglés no está tan mal como pensaba.

Me quiero ahorrar toda la parte de las charlas porque en los demás blogs podrán encontrar reviews muchísimos mejores que los que yo pueda llegar a redactar sin irme por las ramas, les recomiendo que miren el de Chema y el de SpamLoco (a quién confundí con un extranjero y empecé a darle instrucciones en inglés de cómo tenía que ponerse la pulsera para ingresar al vip del boliche… increíble lo mío), pero lo que más quiero resaltar es la comunicación, el contacto que se forma con todo este ambiente. Cada vez que me voy de capital me vuelvo con un montón de contactos, gente que no es sólo un contacto, sino con quién levanto proyectos, armo una amistad duradera, intercambio ideologías, etcétera.

Siguiendo con la conferencia, no tuve la oportunidad de hacer muchas actividades, sólo participé del CTF en los recreos que había entre cada charla, y como esta vez continuó en horarios fuera de la EKO me quedé con uno de los chicos hasta tarde elaborando planes malignos para ganar (sí, malignos, ya saben… consecuencia de pasar tiempo con Chema). El taller de antenas biquad que se realizó estuvo muy bueno según me contaron, ya vi algunas andando y andan muy bien. DragonJar realizó un reto forense en el cual había que (obviamente) resolver un caso con las pistas obtenidas, pero debo decir que nunca me imaginé que iban a armar semejante escenario, uno por reto forense se imagina algo más precario, una computadora o un pendrive con datos y nada más, pero no, igualmente si ven las fotos que les dejo al final del post se van a dar cuenta de lo que les hablo.

Quiero agradecerle a toda la organización de la ekoparty por la infinidad de cosas que hicieron por mi este año, especialmente a Francisco Amato y a Federico Kirschbaum .También a los chicos de Immunty por la buena onda, ¡y no saben algo chicos! hace quince minutos realicé mi primer exploit sin ayuda, exploté una vulnerabilidad muy estúpida en el winamp, pero sólo lo hice para practicar, así que ya puedo ejecutar calculadoras, y gracias por el vino (nos ganamos un vino sorteado con un rand, muy nerd el sorteo) lo estoy guardando para alguna ocación especial :).

Un par de cositas que quiero destacar antes de cerrar el posteo: este año se implementó una medida de seguridad que logró que no haya ninguna desaparición de objetos, separaron el ctf de los stans de los sponsors ,¡y llenaron el auditorio! Así que el año que viene van a tener que buscarse un lugar más grande eh, ya pasamos las 800 personas.

En fin…si quieren ver fotos de la eko acá hay un montón:

Ekoparty2010 @golmatt

Ekoparty leduardo

Ekoparty derlok

ekoparty wallpaper

Este año la conferencia consta del doble de charlas que el año pasado, ¡un increíble logro! Aquí les dejo las charlas que se dictarán con sus correspondientes speakers:

- Chema Alonso – Pentesting Driven by FOCA
- Cedric Blancher – Hacking, an activity of Public interest?
- Nicolas Bareli – Sandboxing based on SECCOM for Linux kernel
- Cesar Cerrudo – Token Kidnapping\’s Revenge
- Cesar Cerrudo – History 0days, Disclosing y otras yerbas
- Claudio Criscione – Virtually Pwned: Pentesting VMware
- Giovanni Cruz – Atacking VoIP…a paradise!
- Nicolas Economou – 2×1 Microsoft Bugs: ‘Virtual PC hyper-hole-visor’ + ‘Windows Creation Vulnerability (MS10-048)’
- Gary Golomb – Network-based detection of PE structural anomalies and linker characteristics
- Michael Hudson – Wrong Way, the true story of a Black Hat
- Barnaby Jack – Jackpotting Automated Teller Machines
- Leando Meiners & Diego Sor – WPA Migration Mode: WEP is back to haunt you…
- Eric Monti – iPhone Rootkit? There’s an App for That!
- Mariano Nuñez Di Croce – SAP Backdoors: A ghost at the heart of your business
- Hernan Ochoa & Agustin Arzubel – Understanding the Win SMB NTLM Weak Nonce Vulnerability
- Hernan Ochoa – Transferring files on isolated remote desktop environments
- Deviant Ollam – Distinguishing Lockpicks: Raking vs Lifting vs Jiggling and More
- Alfredo Ortega & Oren Isacson – Exploiting Digital Cameras
- Andres Riancho & Lucas Apa – Web Application Security Payloads
- Juliano Rizzo & Thai Duong – Padding Oracles Everywhere
- Pablo Sole – Hanging on a ROPe
- Roelf Temmingh – Your life online: No more secrets Marty
- Chris Valasek – Understanding the Low Fragmentation Heap: From Allocation to Exploitation

Para ver mas información sobre los Speakers hacer click aquí.

Las actividades que se realizan paralelo a algunas de las charlas son una muy interesante y divertida alternativa:

• un WarGame para demostrar tus habilidades improvisando frente a servicios/webs vulnerables compitiendo contra el resto de los participantes en un límite de tiempo,
• LockPicking junto a Deviant Ollam dónde recrean un ambiente muy interesante en el cual progresar se vuelve fácil si sabés usar al menos una ganzúa,
• WarDriving, argumentado sería algo como… kismet + Van con profesionales + google maps + pentest aplications, = epic win,
• AfterCon hour & Aftercon Part, las cuales no podés perder.

El cronograma por ahora no está disponible, pero no tardarán en colocarlo, así que estén atentos.

- Me quiero registrar, ¿cómo hago?

Acceder a la registración.

- ¿Cómo llego al konex?

Seguir las instrucciones que te brindan en su web.

- ¿Qué es eso de los challenges que vi en la parte de novedades?

Son desafíos abiertos al público, los cuales si superás satisfactoriamente, como recompensa te darán códigos de descuentos para hacer que tu registración sea más accesible.

- ¿Qué challenges hay?

# Eset Challenge (link a los detalles).
# Binary challenge (descarga un binario).
# Juntá la guita (¿aburrido? Jugá un ratito ;D)

@ekoparty [stay tunned for updates!]
ekoparty website.

Este posteo no se trata sobre cambiar posiciones, sino sobre algo que me sorprendió que no podía dejarlo pasar por alto. Los botnet masters, spammers, y cualquier otro tipo de atacante que necesite como recurso un host, siempre que eran denunciados a su proveedor se les desconectaba, y ahora para evitar ese tipo de cosas, lo que hacen es comprar Bloques de IP’s en LRIs (Local Internet Registries), invierten en servidores, y terminan formando sus propios datacenters en dónde quién sabe qué cantidad de cosas ilegales se mueven.

¿Cuál es el problema con esto? ¿Por qué no simplemente los denuncian a los LRIs? Resulta que la cosa no es tan fácil en este caso, ya que es un proceso muy difícil y largo.

Uno de los ejemplos más notables es Russian Business Network.

¿Soluciones? pocas. Según John Curran, CEO de ARIN, es parte del motivo por el cual las direcciones IPv4 se están acabando.

Vía: Alt1040
Sources: ThreatPost

Hago esta nota cortita que salió hace poco, hay una vulnerabilidad SSL/TLS que permite hacer un MITM (man-in-the-middle) attack usando renegociación SSL que permite inyectar prefijos arbitrarios en cualquier sesión SSL sin ser detectada.

En barrapunto comentan

Se han demostrado ataques prácticos contra la autenticación por certificados en el cliente contra versiones recientes de los servidores Apache y Microsoft IIS en varias plataformas y clientes. También se han demostrado casos que no necesitan de certificados en el cliente. La investigación continua y se espera que surjan ataques generalizados contra otros protocolos basados en TLS.

Fuente: Slashdot, Links, Reporte en IETF

Short story short, frase textual sacada del blog de Rapid7:

Prometimos que tendríamos grandes noticias, y estoy entusiasmado de compartir con ustedes el primero de muchos anuncios a venir: Metasploit es ahora parte de Rapid7.

Rapid7 es una compañía de software que provée productos sobre tests de penetración (penetest), ayudan con manejo de vulnerabilidades (vulnerability management), hacen asesoramiento de riesgos (risk assessment) y más entre otras.

Para nuestro alivio:

HD Moore y su grupo se unieron a Rapid7 para manejar tiempo completo el proyecto Metasploit desde aquí. El proyecto Metasploit continuará siendo Open Source, HD y su grupo continuarán siendo leaders – ahora con soporte adicional por parte del resto de Rapid7 para uno de los proyectos basados en comunidad más importantes en salir de nuestra industria.

Muy intersante, sobre todo si en su blog los de Rapid7 terminan con cosas estilo: “Para los competidores: No tengan dudas… la barrera ha crecido”, “Sobre esto, no tengan dudas que hablamos muy en serio”.

tl;dr: Metasploit se mueve, siguen los mismos líderes de siempre, ahora los ayuda Rapid7, y va a seguir siendo Open Source, fin.

Fuentes:
Rapid7 news
Rapid7 Blog
HD Moore @ Metasploit

La finalidad de este club es la de entrenar a sus miembros en el arte de apertura de cerraduras con fines educativos, y esta orientado a personas interesados en la seguridad física o la cerrajería. El conocimiento es transmitido de persona a persona y la intención no es la de realizar grandes reuniones con todos los miembros que generalmente serán de a 3.

Para formar parte hay que ser recomendado por un socio y poseer un candado o cerradura perteneciente al catalogo oficial del club. La idea es que los candados vayan rotando por todos los miembros del club para que todos puedan abrir todos. Una vez que un miembro abre un candado delante de los otros 2 de la reunión se certifica que puede abrir ese candado y en la planilla de habilidades del miembro se anota el código del candado que abre. No es necesario se un experto para formar parte del club a medida que se intercambien mas candados se incrementara su habilidad hasta lograr abrir el total de los candados.

Cuantos mas miembros mas cerraduras habrá. Una idea que estoy preparando es la de regalar una palanca y una ganzúa casera a cada miembro hecha por el que recomienda al nuevo miembro. Por ejemplo los primeros 10 miembros los conseguí yo, así que a esos 10 yo les arme una ganzúa y un palanca para que practiquen, la idea es que los demás miembros sigan esta tradición para incentivar el crecimiento del club.

La verdad, bastante original, sacando de lado las películas, ¿no?. Esperemos que esto siga tan bien como empezó y no termine desvirtuándose, porque es una muy buena idea.

Espero que tarde o temprano alguien quiera invitarme, ya que esta semana estuve haciendo hooks, wrenchs, tensores con clips, tenazas e invisibles para practicar en casa.

Mucha suerte con el club Augusto.

Para consultar sobre el club -> aepereyra [at] gmail [dot] com

Sinegubko, quién hizo el hallazgo, escribe en su blog que hasta ahora cada una de las máquinas infectadas está siendo usada como un dedicado para correr una web legítima, pero que lo que resalta acá es que lograron poder levantar otro segundo webserver basado en nginx, pero este sólo se dedica a servir malware. Los websites beningnos, por así decirlo, corren por el puerto 80, y el que reparte malware por el 8080. Lindo spread se mandaron estos chicos eh ;P

También descubrió que esa botnet estaba conectada a otra botnet de máquinas caseras. Y no fué el único con encontrarse con sorpresas, Symantec había reportado que Google Groups estaba siendo utilizado como medio de comunicación para un recién descubierto troyano, y un researcher de Arbor Networks descubrió un uso parecido para una botnet con perfiles de twitter.

Esta botnet que descubrieron, es bastante interesante, ya que el website maligno (8080), con la ayuda de dynamic dns y accesos necesarios, inyectan una porción de código en el website bueno (80). Cosa de estar navegando bien tranqui y terminar cargando algo a lo que nunca quisiste acceder.

Hacen estas inyecciones gracias a usuarios ftps robados, obtenidos sniffeando, ¿y ustedes se preguntaban qué carajo hacer con tantos logins ftps? Jaja, acá alguien encontró forma de darles uso.

En fin, lo más “preocupante” de todo, es que todavía no se ha descubierto qué vulnerabilidad están explotando, o qué otro medio de infección han descubierto, posiblemente en Apache.

Por el momento yo recomiendo no ser colgados y cuidarse a la hora de hacer un login, por más que sea ftp o http.

Buenos Aires, Septiembre 17-18.

“What if r00t was one of us?” será el slogan de este año, envíado a votación por hdc. ¡Felicitaciones a hdc por su triunfo!

Ahora hdc está en el podio junto al ganador del slogan del año pasado, “Vi root y entré” y había sido envíado por Vampii.

Sin mencionar la experiencia que viví el año pasado con la compañía de un pequeño grupo que organicé, esta vez estoy acá para contarles lo que será esta quinta edición, que parece ser muy prometedora.

Este año la conferencia consta de 13 charlas:

• Alfredo Ortega y Anibal Sacco -> Deactivate The Rootkit.
• Cesar Cerrudo -> Opening intranets to attacks by using Internet Explorer.
• Charlie Miller -> iPhone Hacking: Fuzzing and Payloads.
• Chema Alonso  -> Connection String Attacks.
• Deviant Ollam -> Ten Things Everyone Should Know About Lockpicking & Physical Security.
• Leandro Federico Meiners -> WiFi Power save DoS (Turbo Talk).
• Leonardo Nve -> Playing in a Satellite environment 1.2.
• Luis Miras -> Attacking SMS.
• Moxie Marlinspike -> More Tricks For Defeating SSL In Practice.
• Nicolás Economou -> Heuristicas aplicadas a la comparacion ( diffeo ) de binarios.
• Nicolás Waisman -> Abusando Bitmask (Turbo Talk).
• Philippe Langlois -> SCCP hacking, attacking the SS7 & SIGTRAN applications one step further and mapping the phone system.
• Sebastián N. Fernandez -> POSIX Meterpreter.

Para más información sobre cada charla click en la misma, y presionar enter en la barra de direcciones así los posiciona sobre la descripción.

Este año no sólo hubo un ctf (capture the flag), en el cual se iban colectando puntos por superar los challenges para así poder ganar entradas vips y demás. ¡Sino que también habrá una wargame como el año pasado!  Para ver los ganadores del ctf click aquí.

De la mano de Deviant Ollam, tendremos un LockPicking challenge llamado Gringo Warrior, que sin la previa práctica en el Lockpicking Village dudo mucho servir como competencia.

Con respecto al wardriving, personalmente si hay lugar me gustaría presentarme, pero no llegué ni si quiera a armar una buena antena para poder capturar algún que otro paquete. Para ver el mapa del wardriving del año pasado online click aquí.

Se ha agregado una nueva charla, que se va a tratar sobre experiencias comprando vulnerabilidades in the wild, y en otros tipos de mercados incluyendo legales (por lo que entendí). La charla será dictada por Pedram Amini.

Dos muy buenas noticias: una para los que no saben inglés o para lazys, porque este año gracias a encuestas que se hicieron durante el año habrá traducción simultanea en todas las charlas. La otra para quienes saben sobre Buffer Overflows, ¡porque van a tener la posibilidad de tener un certificado hands-on llamado NOP por parte de Immunity!

Ahora hablando un poco de mí, ya tengo la entrada confirmada y varios de los de mi grupo de este año también. Será cuestión de tener un buen viaje hasta capital, encontrarme con mi grupo, disfrutar del Konex (lugar al cual todavía no fuí), y tomar algo de alcohol mientras hago sociales.

Gracias a Francisco Amato, a Federico Kirschbaum y a los demás de la ekoparty que siempre se portan para darme una mano cuando la necesito.

¡Nos vemos allá!