Solución al reto de esteganografía de HackPlayers

Vía Sec-Track me enteré hace unos días de un reto de esteganografia publicado en HackPlayers. Dado que hace poco he estado repasando conceptos preparando el examen para el CHFI decidí intentar resolverlo, y parece que ha habido suerte.

A continuación resumo los pasos que he seguido para encontrar y abrir el archivo de texto oculto en un archivo de imagen. (En HackPlayers han publicado una explicación mucho más extendida y detallada).

En el reto proporcionan dos imágenes, la portadora limipia, que es una imagen en formato jpg (mu_ecodenieve.jpg y la portadora con otro archivo “secreto” dentro (mu_ecodenieve2.jpg).

Comparándolas con un editor hexadecimal se puede ver la información de más que presenta la imagen 2.

Con la herramienta StegSecret, que encontré en Cryptored pude ver que se había utilizado Camouflage 1.2.1 para insertar el archivo “secreto” en la portadora.

Instalé Camouflage 1.2.1 pero al intentar extraer el mensaje secreto vi que se solicitaba contraseña.

Buscando un poco encontré en Packetstorm detalles sobre como averiguar o saltarse la contraseña en archivos camouflage 1.2.1

Con un editor hexadecimal localicé la contraseña y la sobre-escribí para que fuera nula. Posteriormente guardé el archivo modificado como imagen3.

Abrí imagen3 con camouflage y esta vez no era necesario escribir contraseña. Siguiente, siguiente y aparece el archivo de nombre secreto.txt que contenía la siguiente frase: Para que los milagros ocurran es imprescindible que alguien crea en ellos

BBDD de RIPE disponible para descarga

RIPE es uno de los cinco Regional Internet Registries. El que se encarga, entre otras cosas, de gestionar el direccionamiento IP de los paises europeos.

El “nuestro” está en Amsterdam, justo delante de un bonito canal y a tres calles de la plaza Dam. Es una especie de Naciones Unidas a escala, cuando estuve por allí tenían 60 empleados de 22 paises distintos, todos gente muy maja y amigos de la cerveza.

Cuando se desea saber el propietario de una dirección IP se suele acudir al servicio whois de los RIR. El problema es que algunos de estos servicios de whois no permiten utilizar expresiones regulares o buscar por cliente en lugar de por IP.

Hoy me he enterado que es posible descargar la bbdd de RIPE y hacer el mismo tipo de consultas que se hacen sobre archivos (grep, cat, …).

El archivo se puede descargar desde: ftp://ftp.ripe.net/ripe/dbase (ripe.db.gz)

via [www.unsec.net]

Qué ha pasado con el “hackeo” a la página web eu2010.es

A estas alturas del día seguramente ya has oído hablar de un “hackeo” a la página web de la presidencia española de la Unión Europea.  Sobre esta noticia me gustaría apuntar las conclusiones a las que llego.

Un gran suspenso para el/los programadores que han escrito el archivo resultadoBusqueda.html que contenía un cross site scripting fácil de encontrar por herramientas open source como Nikto.

Otro suspenso para el responsable de seguridad que no ha debido auditar el código antes de ponerlo en producción.

Otro suspenso para el colectivo de periodistas que ha demostrado una falta de ética periodística al publicar informaciones sin contrastarlas. Explotar un XSS no es penetrar en un servidor y no tengo claro que se le pueda llamar hacker a alguien que construye un enlace que explota dicho XSS.  Nadie ha podido acceder y modificar datos en los servidores que hospedan el sitio web (ver qué es un XSS o Cross Site Scripting). Más que a un hackeo se parece a crear una presentación en powerpoint y enviarla por correo a los amigos.

También fallan algunos medios al reflejar 11.9 millones de Euros como cantidad destinada íntegramente a presupuesto de seguridad para ese sitio web. Más bien parece ser el presupuesto de TI de la solución completa, o casi completa. No sé si cara o barata porque no se ha publicado el desglose de esa cantidad.

Un aviso para los propietarios de sitios web que no invierten en un servicio profesional de desarrollo y seguridad. En mi opinión ya no es aceptable que vulnerabilidades de ese tipo lleguen a un entorno de producción. En España trabajan profesionales del desarrollo y de la seguridad muy buenos, no hay nada que envidiar a otros países desarrollados.

Una llamada a la conciencia para los responsables de seguridad que se quedaron estancados en la seguridad perimetral. Tomen conciencia de lo que se puede hacer con un XSS + acortador de direcciones + twitter. Que no se haya accedido al servidor no significa que el “ataque” no haya existido ni tenido éxito. Se ha dañado seriamente la imagen del Gobierno y de Telefónica, concesionaria del contrato de TI. Y de rebote, por el aumento de tráfico, se está produciendo aún una denegación de servicio como un castillo.

Señores de las grandes empresas de servicios de TI, vayan preparando un servicio de auditoria de código que este mes se va a vender con mayor facilidad que ayer. Pero eso sí, piensen también en mejorar sus procedimientos de selección, la formación continuada a sus trabajadores y la motivación del personal que da valor a sus firmas.

Pequeña historia de la esteganografía

La esteganografía consiste en la ocultación de un mensaje “secreto” dentro de otro “portador”.

Es más antigua que la criptografía y uno de los ejemplos más usados en los libros es el del griego Histieus, quien quería convencer a Aristágoras de Miletus para iniciar una revuelta contra el rey Persa de la época.

Para enviar las instrucciones de forma segura Histaieus le rapó la cabeza al mensajero, le tatuó el mensaje y dejaron crecer el pelo de nuevo. Entonces el mensaje viajó hasta el pueblo del receptor, Aristágoras, éste le rapó de nuevo el pelo y pudo leer las instrucciones para iniciar la revuelta.

Otro caso curiosos es el que permitió al pueblo de china revelarse contra el poder de Mongolia. Dicha revuelta se cordinó ocultando las instrucciones en unos pasteles típicos de una festividad china (moon cakes). Cuando los chinos se comieron los pasteles esa noche recibieron las instrucciones para iniciar una revuelta que dio paso a la dinastía Ming. Hoy en día se sigue celebrando el día de los “pasteles de luna” para conmemorar aquella revuelta.

Fuentes: Certfied Hacking Forensic Investigator Study Guide y Wikipedia.

Manifiesto en defensa de los derechos fundamentales en Internet

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de
modificaciones legislativas que afectan al libre ejercicio de las
libertades de expresión, información y el derecho de acceso a la
cultura a través de Internet, los periodistas, bloggers, usuarios,
profesionales y creadores de internet manifestamos nuestra firme
oposición al proyecto, y declaramos que…

1.- Los derechos de autor no pueden situarse por encima de los
derechos fundamentales de los ciudadanos, como el derecho a la
privacidad, a la seguridad, a la presunción de inocencia, a la tutela
judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo
competencia exclusiva del poder judicial. Ni un cierre sin
sentencia. Este anteproyecto, en contra de lo establecido en el
artículo 20.5 de la Constitución, pone en manos de un órgano no
judicial -un organismo dependiente del ministerio de Cultura-, la
potestad de impedir a los ciudadanos españoles el acceso a cualquier
página web.

3.- La nueva legislación creará inseguridad jurídica en todo el
sector tecnológico español, perjudicando uno de los pocos campos
de desarrollo y futuro de nuestra economía, entorpeciendo la creación
de empresas, introduciendo trabas a la libre competencia y
ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y
entorpece la creación cultural. Con Internet y los sucesivos
avances tecnológicos se ha democratizado extraordinariamente la
creación y emisión de contenidos de todo tipo, que ya no provienen
prevalentemente de las industrias culturales tradicionales, sino de
multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho
a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y
actividades asociadas a sus creaciones. Intentar sostener con
cambios legislativos a una industria obsoleta que no sabe adaptarse a
este nuevo entorno no es ni justo ni realista. Si su modelo de negocio
se basaba en el control de las copias de las obras y en Internet no es
posible sin vulnerar derechos fundamentales, deberían buscar otro
modelo.

6.- Consideramos que las industrias culturales necesitan para
sobrevivir alternativas modernas, eficaces, creíbles y asequibles y
que se adecuen a los nuevos usos sociales, en lugar de
limitaciones tan desproporcionadas como ineficaces para el fin que
dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias
políticas auspiciadas por sectores que pretenden perpetuar
obsoletos modelos de negocio e imposibilitar que el saber humano siga
siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la
Red en España, ante cualquier presión que pueda producirse, como
marco para el desarrollo de una economía sostenible y realista de cara
al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad
intelectual orientada a su fin: devolver a la sociedad el
conocimiento, promover el dominio público y limitar los abusos de las
entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse
tras el oportuno debate público y habiendo consultado previamente
a todas las partes implicadas. No es de recibo que se realicen cambios
legislativos que afectan a derechos fundamentales en una ley no
orgánica y que versa sobre otra materia

Este texto se publica multitud de sitios web. Si estás de acuerdo,

publícalo también en tu blog.

Nuevo CFGS para futuros administradores de sistemas y tal vez seguridad

Aunque ya existen los CFGS de Administración de Sistemas Informáticos y Sistemas de Telecomunicaciones e Informáticos (del cual soy orgulloso titular desde su segunda promoción) el Gobierno acaba de aprobar un nuevo CFGS que guarda estrecha relación con éstos.

El CFGS Administración de Sistemas Informáticos en Red (como el primero pero en red) no tiene mala pinta a primera vista aunque no entiendo muy bien que aporta respecto al de Administración de Sistemas Informáticos (a secas).

En la descripción de competencias de estos nuevos técnicos aparece muchas veces la palabra “seguridad”, algo que de entrada es positivo y que refleja como ha crecido la concienciación en este campo desde que se crearon a finales de los 90 los ciclos formativos que he comentado al principio.

Esta titulación puede ser en breve el mejor punto de entrada rápida al mundo profesional de la seguridad, especialmente para aquellos que quieran tener la titulación pronto y no estar 4 años en la universidad, un par de ellos haciendo matemáticas, matemáticas, cálculo, álgebra, matemáticas y cálculo.

Hotel Costes – Spotify playlist

Me acabo de dar cuenta de que todos los álbumes de Hotel Costes han sido agregados a Spotify (por fin). He creado una lista de reproducción para tenerlos todos juntos.

Para añadir la lista de reproducción a tu Spotify haz clic aquí.

Click here to add the Hotel Costes Spotify Playlist to your Spotify

Open Declaration On Public Services 2.0

Un grupo de usuarios de Internet  ha impulsado una iniciativa con el fin de aprovechar las ventajas que la tecnología de la información ofrece para mejorar la relación ciudadanos/administración.

Sus fines incluyen, entre otros, una mayor implicación del ciudadano en la toma de decisiones, una mayor transparencia y la difusión del conocimiento. En general se trata de hacer una “política” participativa de todos y para todos. Un poco utópico teniendo en cuenta el panorama actual en este país pero una iniciativa que tendrá más fuerza cuanto más apoyo reciba por parte de todos.

Para ello puedes dar soporte a la iniciativa a través de este  sitio web en el que además encontrarás versiones en varios idiomas de la declaración.

Por cierto, por países España es el que está dando mayor soporte.

Les Roquetes del Garraf – Fotografia de 1957

El ICC ha publicado fotografías aéreas realizadas en 1956 y 1957 de casi toda Catalunya.

Se pueden ver con mejor detalle aquí: http://www.ortoxpres.cat/client/icc/

11 años de Una-al-día de Hispasec

Hoy hace 11 años que los chicos de Hispasec comenzaron su particular reto, publicar una noticia sobre seguridad informática cada día.

Yo me enganché un año después y desde entonces debe ser la lista a la que llevo más tiempo suscrito.

Durante este tiempo he compartido algunas líneas con algunos de sus autores, por temas profesionales una veces y por puro vicio friki otras y la verdad es que siempre me han dado un poco de envidia porque si bien es mejor trabajar en un cliente final que en una empresa de servicios, es mejor aún trabajar en una empresa de seguridad (si eres un enfermo de la materia como un servidor).

Para celebrar el undécimo aniversario han publicado la versión digital del libro que ya publicaron el año pasando recogiendo algunas de las noticias publicadas durante todo este tiempo. Se puede descargar desde aquí.

Desde aquí mis felicitaciones por trabajar en lo que les gusta y haber conseguido vivir (y me imagino que bien) de su pasión.