viernes, 21 de septiembre de 2012

Otra de defacements

Creo que se momento no he hablado de defacements, pero si de accesos no permitidos a sitios web.

Eso es lo que les sucedió recientemente s la comunidad DragonJAR.

Aunque he perdido el enlace original en el que él mismo lo explicaba, he cogido el tweet que ha enviado INTECO:

Qué hacer si sufres un ataque de defacement, por @DragonJAR http://t.co/qyJGGB1A ¡Genial iniciativa! #seguridad -- Observatorio INTECO (@ObservaINTECO)

Algo que nos puede suceder a cualquiera.

miércoles, 19 de septiembre de 2012

Otra vez Java

Acabo de ver que este post no ser público cuando quería... de eso hace unas semanas. Sorry :(

Sergio de los Santos dice en un Tweet:

Oracle ha publicado Java 7 u7, que PARECE que corrige la vulnerabilidad, pero en la web no se dice nada al respecto. http://t.co/YWWQyhSl -- Sergio de los Santos (@ssantosv)

Tambien  comenta qué han a ctualizado la 6 a la versión 6u35. Cierto es,  como él mismo comentaba que es muy raruno.

Como podéis ver,  estos últimos posts que escribo son rápidos y vienen dé Twitter.  Es lo que tiene escribir desde el móvil.

Números PIN filtrados

Acabo de leer en tweeter:

[Ultima hora]: Se acaba de filtrar una lista con todos los códigos PIN del mundo: http://t.co/zbmbWhtS - Malditos hackers... -- Milhaud (@Milhaud)

Vamos! Todos a cambiar nuestros números PIN no se vaya a encontrar en la lista.

Lo se. Pequeña chorrada. ¿Como hoy se nos habrá ocurrido antes?

viernes, 7 de septiembre de 2012

Google y VirusTotal


Desde la lista de distribución de la RootedCon, y por parte de Alejandro Ramos, nos llega la noticia de que Google acaba de adquirir VirusTotal.

http://blog.virustotal.com/2012/09/an-update-from-virustotal.html


FRIDAY, 7 SEPTEMBER 2012

An update from VirusTotal
Our goal is simple: to help keep you safe on the web. And we’ve worked hard to ensure that the services we offer continually improve. But as a small, resource-constrained company, that can sometimes be challenging. So we’re delighted that Google, a long-time partner, has acquired VirusTotal. This is great news for you, and bad news for malware generators, because:
  • The quality and power of our malware research tools will keep improving, most likely faster; and
  • Google’s infrastructure will ensure that our tools are always ready, right when you need them.  

VirusTotal will continue to operate independently, maintaining our partnerships with other antivirus companies and security experts. This is an exciting step forward. Google has a long track record working to keep people safe online and we look forward to fighting the good fight together with them.   
VirusTotal Team

Es más, se puede ver que al final del post aparece como dirección de contacto press@google.com. Curioso, ¿verdad?

lunes, 3 de septiembre de 2012

Metro exposed - II

¿Quién iba a decir que escribiría un segundo post sobre metro exposed? No voy a negar que, en este caso, caerán más lugares de transporte público además del metro de Madrid. También he de decir que no serán cosas que hagan referencia a obtener billetes gratis tal y como explicaron en... ¿La Defcon2012? Volveré a hacer lo mismo que hice en su momento: a partir de las pantallas públicas de las que he podido sacar fotos, intentaré ver si se puede obtener más información.

La primera foto:

Signal out of range

Si nos fijamos un poco, se puede ver que la pantalla del fondo sí que está mostrando el vídeo correspondiente. Que el de enfrente muestre esto me da a entender que el sistema entero no esté mal. Lo más normal es que se haya quedado pillado este monitor. Según he podido averiguar, sucede cuando la resolución es mayor de lo que puede soportar (¿¿¿dónde está el famoso resultado que se veía como si estuviese "codificado" cuando te pasabas de madre con la resolución o el refresco???). Como se puede ver, esta tiene poca chicha. Al igual que la siguiente: no recibe la señal. La verdad, no tiene mayor misterio:

Sin señal

¿Qué más? He encontrado otro disk failure, tal y como hice con la primera entrega, vamos, algo poco sorprendente:

Otro disk failure en Metro de Madrid

 En este caso no se me ocurrió sacar los periféricos que tenía. A lo mejor una comparativa hubiera permitido ver si era el mismo equipo o era otro. 

El siguiente es un típico BSoD. Las dos imágenes muestran, con mayor o menor fortuna, lo que le ha sucedido a la expendedora de billetes (si no me acuerdo mal, era la accesible a ciegos):


Inaccesible boot service - 0x0000007B

No voy a negar que si lo hubiera escrito cuando saqué esta foto hace casi un año, me acordaría de más cosas al respecto. El código que muestro como descripción de las fotos se puede dilucidar de los pocos caracteres que pueden apreciar y del segundo bloque de código de error: 0xC0000032. He intentado ver si con el primero obtenía más datos, pero... Nada de nada. Al menos, esto demuestra que tiene un Windows instalado. Algo que más o menos se sabe, pero bueno. Sería un pequeño paso más cuando se toman datos que permitan realizar algún tipo de ataque de vete tu a saber qué.

La siguiente pareja la saqué en Saint Lazare, París, en julio de este mismo año:


chkxpndra... quiero decir: chkdsk

Estas imágenes muestran una máquina expendedora de la estación de tren, SNCF, de Saint Lazare, París, en el mismo preciso instante en que estaba haciendo un chkdsk del disco C:, cuando estaba en torno a un 45% para la primera imagen y un 7X% para la segunda. Un mágnifico Windows XP. Muy similar a la foto que me enseñó Lorenzo Martinez de un cajero automático cargando también un XP. 

También tengo algo más... Vamos a ver... Los teclados que han puesto en estas máquinas para pagar con la tarjeta de crédito/débito, tienen información que puede ser muy útil. Aunque, la verdad, no he sabido muy bien sacarle provecho. Si alguien lo consigue, por favor, que me avise. Tenemos:

Introducir PIN

Aquí tenemos dos datos. Uno, un término que es el RS232. Eso es el puerto serie. Y, si no me acuerdo mal, también se le llamaba a eso null modem. En este caso, podría suponer que este teclado está conectado a un puerto serie que tenga el PC que se oculta en la carcasa de la expendedora. A no ser que se esté utilizando algún tipo de emulador de USB que le haga creer que es un puerto COM, y por lo tanto, muestre en la pantalla el tipo de conexión que se está creyendo que utiliza.

Es más. Estuve intentando localizar desde Google el la concesionaria de las máquinas expendedoras. Y sólo encontré una: Telvent. Pero no pude sacar nada en claro.

La última imagen es de Cercanías/Renfe. En el tren, se mostraba este escritorio de Windows:

SDL_app y error al guardar en D:

De aquí se pueden sacar varios datos.

Uno: "Windows was unable to save all the data for the file D:\$Mft. The data has been lost. This errar may be caused by a failure of your computer hardware or network connection. Please try to save this file elsewhere.(la parte subrayada es la que se puede dilucidar que estaría escrito detrás del reflejo de las luces). Gracias a esto, podemos saber que, como mínimo, tenemos dos unidades con las que trabajar: C: y D:. También, y por curiosidad, el $MFT es el Master File Table, o, al menos, es lo que se puede descubrir después de hacer una búsqueda en Google.

El otro es que el programa que se utiliza para mostrar la información de la siguiente estación, temperatura y esas cosas, da la sensación de que es el SDL_app que se ve abierto junto al botón de Inicio. Por desgracia, no he sido capaz de saber qué programa es. De las nosecuantas cosas que han aparecido en una búsqueda como 'train "sdl_app" ' he encontrado algo que parece que tiene que ver con simuladores o juegos de trenes. También se hace difícil saber qué son los otros programas que aparecen junto al reloj. 

¿Mäs datos? Además de que está en inglés, la fecha y hora no están en formato español. Están en formato mes/día/año.

Si alguien consigue información sobre alguna de las cosas que se me han quedado ahí colgando, por favor, que avise en un comentario (ya sea para contarlo desde ahí o para poner un enlace a su blog explicándolo). 

También quise intentar sacar más datos sobre la primera pantalla que puse en la primera entrega. Pero, como me sucedió hace un año, no tengo más conocimientos para sacar más datos. ¿Utilizan SCADA? ¿Algún protocolo que no sea IP?

Y por ahora esta es la ultima entrega de Metro Exposed. Ya se que la última imagen debería de ser "Cercanias/Renfe exposed", pero, ya que empecé con el nombre de "Metro" y no se me ocurrió que pudieran salir otros... Así lo dejo.