Archive for 03:53 hrs.

Matias Katz | 03:53 hrs.
6 comments

In Fraganti – Caso #5, importante empresa de seguros, ciudad de Buenos Aires

Esta vez me encontré con algo diferente, pero igualmente preocupante.

En un edificio en zona céntrica, en la recepción del piso correspondiente a esta empresa, se encontraba una caja llena de paquetes dirigidos a la misma.

Para mi asombro, esta caja estaba completamente desatendida y sin vigilar. Para corroborar mi teoría, me quedé por unos 3 minutos esperando que alguien venga a recoger la caja, pero nadie apareció.

Adentro de la caja se encontraban diferentes cartas y paquetes, junto con una hoja que detallaba todos los firmantes (y responsables) del proceso de envío de dichas cartas y paquetes.

Me pregunto yo…. Considerando el hecho que estamos hablando de una empresa de seguros… Qué clase de información habría en esas cartas y paquetes, disponibles públicamente para que cualquiera se lleve?

Category: Seguridad | Tags: , , ,
Matias Katz | 01:48 hrs.
One comment

Curso de Metasploit en Video

Hace un tiempo ya publiqué un post sobre un curso online sobre Metasploit, que requería una extensiva lectura y comprensión de texto teórico.

Con alegría les cuento que este material se encuentra disponible ahora en video.

Vivek Ramachandran, un reconocido gurú de la seguridad, armó 17 videos explicativos que cubren los conceptos más importantes de esta famosa herramienta, explicando detalladamente el uso de cada una de las funcionalidades de la misma.

El material está publicado en SecurityTube (el Youtube de la seguridad informática)

Lamentablemente, aunque los videos faciliten el estudio, el material está armado en inglés con acento Indio y sigue teniendo un nivel técnico altamente avanzado.

Sin embargo, no deja de ser un excelente material para poder profundizar los conceptos que hacen a esta herramienta tan poderosa.

Links a los videos:

  1. http://videos.securitytube.net/Metasploit-Megaprimer-1.mp4
  2. http://videos.securitytube.net/Metasploit-Megaprimer-2.mp4
  3. http://videos.securitytube.net/Metasploit-3.mp4
  4. http://videos.securitytube.net/Metasploit-4.mp4
  5. http://videos.securitytube.net/Metasploit-5.mp4
  6. http://videos.securitytube.net/Metasploit-6.mp4
  7. http://videos.securitytube.net/Metasploit-7.mp4
  8. http://videos.securitytube.net/Metasploit-8.mp4
  9. http://videos.securitytube.net/Metasploit-9.mp4
  10. http://videos.securitytube.net/Metasploit-10.mp4
  11. http://videos.securitytube.net/Metasploit-11.mp4
  12. http://videos.securitytube.net/Metasploit-12.mp4
  13. http://videos.securitytube.net/Metasploit-13.mp4
  14. http://videos.securitytube.net/Metasploit-14.mp4
  15. http://videos.securitytube.net/Metasploit-15.mp4
  16. http://videos.securitytube.net/Metasploit-16.mp4
  17. http://videos.securitytube.net/Metasploit-17.mp4
http://www.matiaskatz.com/?p=248
Category: Seguridad | Tags: , , , , ,
Matias Katz | 17:09 hrs.
4 comments

Vive ForoSI – Lo que fue

El jueves pasado, 28 de octubre, tuvo lugar Vive-ForoSI, el evento de seguridad organizado por Segu-Info, del cual formé parte como disertante.

El evento estuvo muy bien organizado, las charlas fueron de gran calidad, y los pequeños imprevistos y desperfectos técnicos (que pueden suceder en cualquier evento) fueron manejados y solucionados.

El evento se transmitió completamente por streaming, y según comentaron los asistentes a distancia la calidad del audio/video fue excelente.

Les dejo aquí la presentación que di sobre ataques Man-In-The-Middle sobre sesiones protegidas por SSL.

ViveForoSI – Robo de Informacion en sesiones seguras

Lamentablemente las grabaciones del evento se perdieron, por lo que posiblemente grabe mi presentación y la suba a Youtube en estos días.

Felicito a Cristian Borghello y a toda la gente que forma Segu-Info por el evento, y agradezco el haberme invitado a disertar. Nos veremos en el próximo Vive-ForoSI

Category: Evento, Seguridad | Tags: , , , , , , , ,
Matias Katz | 15:58 hrs.
5 comments

Una falla en Facebook simplifica los ataques de ingeniería social

En esta ocasión voy a mostrarles rápidamente un problema bastante preocupante.

Se trata de un método para poder averiguar de manera simple y rápida si ciertas direcciones de e-mail le corresponden a usuarios de Facebook o no.

La red social, al igual que cualquier proveedor de servicios web, posee la opción de recuperar el acceso a nuestra cuenta si nos olvidamos nuestro password.

Al entrar al sector de recuperación, nos aparece el siguiente formulario:

FB_1

Al introducir nuestra cuenta de e-mail, el sistema confirma nuestra identidad mediante un CAPTCHA y si todo sale bien, el proceso seguirá mediante el reseteo de password.

Qué pasa entonces si introducimos un email que NO esté registrado con Facebook? El sistema nos mostrará un error, de la siguiente forma:

FB_2

Si quisiéramos seguir intentando recordar con que dirección de e-mail estamos registrados en la red social, el sistema nos permitirá volver a intentar la cantidad de veces que sea necesario.

Esto puede resultar cómodo para el usuario, pero representa una gran falla de seguridad al permitirle a un atacante averiguar si una dirección de e-mail en particular corresponde a un usuario activo de Facebook o no.

Lo único que el atacante debe hacer es intentar una y otra vez con las diferentes direcciones que necesite corroborar, y según el resultado (error o no) sabrá si corresponde o no a un usuario de la red social.

Para una cantidad limitada de cuentas de e-mail esta puede ser una tarea simple, pero cuando se tiene una base de datos de miles de direcciones, se torna imposible.

Cómo se puede simplificar esta tarea?

Simple.

Resulta ser que la tarea del envío de la dirección de e-mail al motor de reseteo de cuentas se puede automatizar.

Mediante el uso de una URL específica, que incluya en su contenido a una variable con la dirección de e-mail, podemos enviarle la información deseada al motor de reseteo de cuentas de manera masiva.

Aquí hay 2 resultados diferentes, uno con error y uno sin error, obtenidos luego del envío de información al motor a través de la URL en cuestión:

FB_3

FB_4

Lo único que debemos realizar es armar un simple script que realice las siguientes tareas:

  1. Tomar las direcciones de e-mail desde una base de datos (o un simple archivo de texto), una por una
  2. En cada iteración, incluir la dirección de e-mail en la URL y le envíe la petición al servidor web
  3. Obtener el documento HTML de respuesta del servidor y busque la palabra “Incorrect”
  4. Si la palabra aparece, marcar la dirección en la base de datos como inexistente (o directamente eliminarla)
  5. Si la palabra NO aparece (significa que dicha dirección corresponde a un usuario válido), marcar en la base de datos como existente

Luego de que el script finalice, tendremos una segunda base de datos de e-mails, pero esta lista habrá pasado por un “filtro de existencia en Facebook”.

Esta nueva lista se podría usar para realizar ataques de ingeniería social basados en Facebook, como ser e-mails que notifiquen supuestos mensajes enviados por otros usuarios, o invitaciones a eventos, o peor aún… recomendaciones de links.

Es importante aclarar que este mismo problema ocurre en Twitter:

TW_1

Cómo se puede solucionar este problema?

Simple. Existen 2 métodos válidos:

1) Configurar al motor de reseteo de password para que envíe mensajes genéricos al usuario que desea resetear su password, como es el ejemplo de LinkedIn:

LI_1

2) Agregar un paso de seguridad extra, al incorporar el uso de CAPTCHAs en el proceso de reseteo, como en Gmail:

GM_1

Ambos métodos son muy fácilmente implementables, y solucionarían al 100% este tipo de ataque.

Category: Seguridad | Tags: , , , ,