Ago 11 2008

Cómo evitar que se roben tu cuenta de GMail

Gabolonte Blasfemus

Hasta no hace mucho varios de nosotros creíamos que con ingresar https://mail.google.com en la barra de direcciones bastaba para disponer de una sesión completamente encriptada mediante SSL con GMail, pero parece que esto no es del todo así; Google seguía generando tráfico que no estaba cifrado en medio de la sesión. Es por eso que gracias a herramientas como la reciente Surf Hack de Sandro Gauci permiten automatizar bastante bien el proceso que permite robar la cookie de sesión de un usuario que está accediendo su cuenta de GMail, para luego ingresar en su lugar y hacer lo que quiera. En el siguiente video el creador de este exploit muestra como un atacante, utilizando su herramienta en conjunto con técnicas de ARP o DHCP spoofing y/o el famoso bug del DNS, o simplemente esnifeando una red Wi-Fi, puede capturar dicha cookie, y luego usarla desde su navegador para acceder a la cuenta de la víctima.

En el mismo video también podemos apreciar como lo solucionó, al menos parcialmente, la gente de GMail. Y digo parcialmente porque lo que hicieron fue agregar una opción en la configuración de cuenta para cifrar o no permanentemente toda la sesión, sin estar por defecto seleccionada la opción más segura, con lo que todo usuario de GMail que desconozca este peligro e ingrese desde hotspots y demás redes inseguras está en peligro de perder su cuenta, y muchas cosas más.

image

Google recomienda activar esta opción sólo si sabemos que vamos a acceder al servicio desde redes no confiables, alertando de algunas contras como una menor velocidad o la imposibilidad de acceder desde navegadores que no soporten SSL, pero sinceramente me parece un precio muy bajo por pagar a cambio de evitar que cualquier hijo de vecino con una notebook y un poco de ganas de joder pueda quedarse con tu cuenta. Cualquier navegador decente soporta SSL, incluso los móviles, y la demora extra no es una eternidad tampoco, no tiene sentido seguir expuesto si no sabemos desde donde podemos estar logoneándonos la próxima vez.

Vía The Hacker Webzine. SpamLoco también habló del tema.


Ago 6 2008

SSH y Telnet desde el celular

Gabolonte Blasfemus

image El otro día Gabriel me preguntaba algo que sinceramente jamás me molesté en verificar: ¿Existe algún cliente SSH hecho en Java (J2ME) que pueda usarse desde un celular común y silvestre? Puede parecer algo sin sentido querer tener una línea de comandos remota desde un dispositivo cuyo teclado es tan limitado, pero si existen clientes VNC para el celular y algunos los usan, esta idea tenía más sentido.

Pronto San Google me dio la respuesta que necesitaba, y esa respuesta era afirmativa. Existen algunos clientes tanto de SSH como de Telnet hechos en Java para el celular, siendo el más evolucionado de todos MidpSSH. Aunque parezca increíble, esta aplicación J2ME tiene todo lo que necesitamos para administrar un servidor por la línea de comandos desde la comodidad (o incomodidad, depende como se quiera ver) de nuestro teléfono móvil. Soporta tanto SSH v1 como v2, Telnet, admite distintos tipos y tamaño de fuente, pantalla completa, almacenamiento de claves, y directorio de entradas para almacenar los servidores a los que nos conectamos frecuentemente. Además de todo esto, es código abierto, licenciado bajo GPL.

Existen también otras opciones para tener nuestra línea de comandos remota, pero a mi parecer de menor calidad o viabilidad:

  • JSch for J2ME es un port a J2ME, como su mismo nombre lo dice, de la implementación original en Java de SSH2 desarrollada por JCraft bajo licencia BSD. Ni siquiera pude probarlo, ni en mi celular ni mi PDA, por carecer de los encabezados necesarios para ser reconocido como aplicación J2ME.
  • SSH & Telnet Floyd cuenta con clientes separados tanto para SSH como para Telnet, pero adolece del mismo obstáculo que el anterior a la hora de la instalación, aunque por sus capturas de pantalla se ve eficaz.
  • kTelnet y µTelnet son dos clientes de Telnet exclusivamente, por lo que más allá de ser viables o no, hay que considerar las implicancias de seguridad antes de utilizar este protocolo directamente.

Por todo esto, MidpSSH se perfila como la mejor opción si lo que buscamos es practicidad y no andar experimentando, y así podremos estar administrando nuestros servidores mientras esperamos al médico o hacemos la cola para pagar las cuentas. Claro, si Vomistar nos deja


Jul 31 2008

Educando al usuario: Cuando reciba un email, ante todo desconfie

Gabolonte Blasfemus

image Y no, no dije desconfíe, dije “desconfie”, como diría el negro Dolina. El día anterior me consultaron unos usuarios, consternados, por un email importantísimo cuyo archivo adjunto no podían abrir “con nada”, y era importante porque decían que provenía del Poder Judicial de Brasil. Lo primero que hice fue pedir que me reenviaran ese mensaje taaaan importante, para verificar lo que ya me imaginaba. A continuación paso a desguazar el correo en cuestión. A la mayoría de los que me siguen no creo que les esté diciendo nada nuevo, así que bien pueden ahorrarse la lectura; esto es más bien un instructivo para el uso del sentido común que quiero dejar asentado para mostrarlo cuando haga falta.

Enos aquí, con un supuesto mail importante. Por qué es importante, dirán? Vamos a ver. El asunto dice: N.º 687/2008 URGENTE! PROCEDIMENTO INVESTIGATÓRIO N.º 687/2008. Aaahh… claro, dice “URGENTE!” en mayúsculas y con signo de admiración, encima se complica entender bien qué dice porque está todo en portugués, seguro se trata de algo importante! Y “PROCEDIMENTO INVESTIGATÓRIO” con esos numeritos al final tampoco se ven muy bien…

Continue reading


Jul 30 2008

Evilgrade: Tu próxima actualización puede no ser como esperabas…

Gabolonte Blasfemus

image Las vulnerabilidades encontradas en el DNS, más allá de haberse mostrado como un fiasco, está trayendo cada vez más peligros a cualquier equipo que se conecte a Internet. Una nueva herramienta, llamada Evilgrade (presentación en PDF), utiliza estas técnicas de explotación junto a otras más para hacer que cualquier equipo descargue e instale falsas actualizaciones de software que en realidad pueden ser troyanos, virus, o cualquier otro tipo de payload que el atacante desee.

Evilgrade, creado por Francisco Amato, especialista en seguridad informática argentino y fundador de Infobyte Security Research, se trata de un kit de herramientas diseñado para aprovecharse de los sistemas de actualización online inseguros que muchos fabricantes de software implementan, en donde no se verifica ninguna integridad del supuesto paquete de actualización que se descarga, confiando plenamente en que si se lo está descargando de update.fabricante.com éste tiene que ser original y puede ejecutarse en el sistema con total tranquilidad. Entre las armas que Evilgrade utiliza, además del DNS Cache Poisoning de moda se encuentran también otras técnicas conocidas como el ARP y el DHCP Spoofing. Está programado en Perl y funciona en base a módulos, incluyendo en esta primer versión los que permiten aprovecharse de los sistemas de actualización de Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++ y Speedbit. En este video puede verse una demostración en la que se logra ejecutar código malicioso en una PC con un Windows totalmente actualizado a través del sistema de actualización de la máquina virtual Java de Sun Microsystems. Por supuesto, de momento y para causar más revuelo a raíz de la masividad que supone, muchos de los módulos están pensados para software que corre bajo Windows, pero como puede verse este mecanismo de intrusión es completamente independiente de la plataforma, sólo requiere que la actualización falsa sea el malware adecuado para el SO que se quiere comprometer.

Con todas estas amenazas, hoy más que nunca es importante prestarle atención al fallo de los DNS y actualizar todos los sistemas que sean necesarios y/o utilizar servicios que no están afectados como OpenDNS.

Vía Kriptópolis.


Jul 25 2008

Switcheo rápido de perfiles de red con Avanquest Connection Manager

Gabolonte Blasfemus

image Existen unas cuantas aplicaciones que permiten solucionar o suavizar el dilema del usuario que debe conectar su notebook en distintas redes (por ejemplo en su casa, en la oficina, o en cafés, hoteles y aeropuertos por Wi-Fi) y no quiere o no sabe lidiar con configuraciones de red y direcciones IP, pero de todas estas Avanquest Connection Manager parecer ser una bastante intuitiva y simple.

Esta utilidad antes era paga pero ahora se ofrece completamente gratis, y permite de una forma rápida y visual definir perfiles para que el usuario no tenga más que hacer un par de clicks de acuerdo a su actual ubicación para estar conectado al instante. Ideal para hacerle más amena la vida a nuestros lusers.

Vía LifeHacker.