Buenas,

quisiera saber que librería SSL/TLS utilizais en vuestros proyectos y el porque. Si miramos al pasado tenemos el caso Poodle, donde un atacante podía hacer un downgrade al canal SSL para que utilizara SSLv3 en la comunicación y Heartbleed, relacionado con OpenSSL. También me gustaría saber si se deshabilitó el uso de SSLv3 en NSS y OpenSSL.

Por lo que veo debería utilizar TLSv1.2 ya que la 1.0 y la 1.1 son inseguras : http://tools.ietf.org/html/rfc5246#section-1.2

Enlace interesante que comprueba la seguridad de nuestras conexiones SSL: https://www.howsmyssl.com/

Aquí os dejo una comparativa de las librerías SSL/TLS actuales:
http://en.wikipedia.org/wiki/Comparison_of_TLS_implementations#Protocol_support

Saludos.

Muy buenas,

Este año empecé a impartir charlas en mi universidad (País Vasco) sobre diversos temas relacionados con la seguridad informática: hacking ético, malware, vulnerabilidades web/software/OS , bugs y exploits, SSL/TLS, privacidad ...

Ayer impartí dos sesiones y quería compartir con vosotros el material expuesto y las referencias que he consultado.

Enlaces para los interesados:

Charlas: https://github.com/FreeJaus/gea-PRISM/tree/master/Security%20Talks
Trabajo de investigación: https://github.com/FreeJaus/gea-PRISM/tree/master/Research/Microsoft/Bugs%20%26%20Exploits
Referencias: https://github.com/FreeJaus/gea-PRISM/tree/master/Documentation

Iré subiendo contenido frecuentemente pues falta alguna charla y documentación.

Además contamos con soporte en vídeo en: https://www.youtube.com/user/FreeJaus este finde subiré los vídeos de sesiones anteriores.

Si sois de Euskadi y os interesa la electrónica y/o la informática no dudeis en suscribiros a https://twitter.com/FreeJaus para estar atentos de los últimos eventos a organizar.

Gracias y saludos.

Buenas a todo el mundo,

documentándome acerca de los detalles arquitectónicos de las pirámides he quedado sorprendido con algunos detalles sobre la precisión y error mínimo de la colocación de las piedras, así como los largos y kilométricos pasadizos que alberga en su interior, además del corto plazo de construción y las herramientas y materiales empleados para la misma.

Os dejo un vídeo que lo expone bastante bien:



Me gustaría que diérais vuestra opinión al respecto. Según algunos expertos del vídeo, todavía hoy día no contamos con la precisión con la que los egipcios construyeron dichos bloques.

Saludos.

Buenas tardes,

hace tiempo que leí que explorer.exe se conecta a servidores de Microsoft para mejorar la experiencia de conectividad de red, y seguramente, para más cosas como envío de información personalizada, cosa que te dejan deshabilitar al instalar Windows 8.1 (mi OS), por lo que me deshice de aquellas configuraciones que permiten el envío de informes, smartscreen y la cloud de Microsoft (SkyDrive). Como soy paranoico tengo creada una extensa regla de firewall para filtrar conexiones indeseadas bajo mi criterio.

Por lo tanto, ¿es normal que cada 10 minutos explorer.exe abra conexiones a estos hosts? En algunos utiliza SSL como podeis ver en la imagen de abajo.



Os dejo info de algunas de las IPs:

Esta siempre va por SSL y pertence a Microsoft -> http://www.elhacker.net/geolocalizacion.html?host=157.56.122.47
Esta otra ni siquiera es de Microsoft y siempre va por puerto 80 asi que pondré WIRESHARK a la escucha a ver que saco -> http://www.elhacker.net/geolocalizacion.html?host=204.245.63.67
También otra por puerto 80 y no es de M$ -> http://www.elhacker.net/geolocalizacion.html?host=64.208.186.27

Si alguno de vosotros sabe si Windows hace uso de otros ejecutables para enviar info a sus servidores ponedlo por aquí.


EDITO:

He analizado con Wireshark las conexiones con 64.208.186.27:80 (HTTP) y afirmo que explorer.exe se encarga de mantener los gadegts del escritorio metro, ya que descarga varios .xml relacionados con el tiempo o con las finanzas, en mi caso, seguramente se ocupe de actualizar otros gadgets.

Aquí os dejo las URLs que he obtenido con Wireshark, así como unas capturas de los .xml solicitados y los gadgets de metro, veréis que guardan relación.

URL: http://finance.services.appex.bing.com/Market.svc/AppTileV2?symbols=&contentType=-1&tileType=0&locale=es-ES

XML:



Gadget metro:



URL: http://weather.tile.appex.bing.com/WeatherService.svc/PreInstallLiveTile?lang=es-ES&region=ES&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&FORM=APXWEA

XML:
 


Gadget metro:



Que conste que no soy de Madrid, ya que deshabilite que las apps de Windows pudieran saber de mi localización.

Saludos!

Buenos días a todos,

me gustaría saber donde encontrar un mercado de exploits 0-day, en este caso, para vender dicho contenido. ¿Hay alguna zona de compra/venta legal?

Lo ilegal como que no me llama, pero me pica la curiosidad por saber como se llevan a cabo ese tipo de transacciones.

Saludos!

Muy buenas,

llevo toda la semana profundizando en el tema de escalación de privilegios y subversión de UAC en Win7/Win8 (x86/x64). Ayer por casualdiad encontré una nueva forma de escalar privilegios (SYSTEM) en Windows 8.1 Pro x64. La técnica es conocida pero fue parcheada hace tiempo. Lo que he logrado es modificar dicho procedimiento así que la escalada de privilegios es viable y no conocida por Microsoft. Básicamente te permite ejecutar un programa como Admin/SYSTEM sin tener privilegios y sin saltar UAC.

He estado leyendo acerca del programa de recompensas de Microsoft y piden firmar un pre-acuerdo -> http://technet.microsoft.com/en-us/security/dn425049
Ahí podeis fijaros en los requisitos previos, pero también dicen que quieren todo tipo de vulnerabilidades, vivas o muertas (0-days o técnicas conocidas).

¿Alguien ha tenido alguna experiencia previa con este tipo de programa? ¿Qué me recomendais hacer? Realmente me gustaría reportarlo y obtener una recompensa. Ayer les envié un mensaje a la dirección del pre-registro, todavía espero su respuesta.

Saludos!

---

Otro año más arranca la edición del clásico entre los clásicos, Ehn-Dev, donde cada usuario pone a prueba su valía, intelecto y motivación.

En este post encontrarás información útil al respecto, cualquier pregunta o comentario debe de ser posteado aquí.

Para presentar una aplicación y/o revisar las aplicaciones presentadas visitad:

[Ehn-Dev 2014] - Concurso de desarrollo de aplicaciones - Hilo oficial

---

1) ¿Se pueden utilizar repositorios para almacenar el proyecto (github, bitbucket etc)?
- Sí aunque puede que ciertos usuarios no esten familiarizados con el repositorio, por lo que tú aplicación no sería revisada.

2) ¿Qué ocurrirá con la aplicación ganadora una vez termine el concurso?
- Se le hará mención en el hilo oficial del concurso así como en la página oficial de elhacker.net. El código fuente de la aplicación será accesible desde dichos medios.

3) ¿Existe algún tipo de requisito/perfil para los usuarios del foro?
- No. Cualquier usuario del foro y de cualquier país puede participar.

4) ¿Puedo modificar el post elaborado al presentar mi aplicación dentro del plazo de validez del concurso?
- Sí, tantas veces como quieras.

5) ¿Puedo modificar el post elaborado al presentar mi aplicación una vez terminado el concurso?
- Sí. Debes de ponerte en contacto con un moderador global o encargado del subforo.

6) ¿Puedo modificar mi aplicación una vez presentada?
- Depende. Si el concurso no ha finalizado entonces se permite la modificación, en caso de haber finalizado el concurso, no está permitida la modificación. Para ello debes de ponerte en contacto directamente con los organizadores del concurso.

7) ¿Puedo presentar una aplicación y después cambiarla?
- Al momento de presentar una aplicación está quedará ligada al concurso por lo que queda prohibida la sustitución de una aplicación por otra.

8) La aplicación de otra persona no funciona como es debido
- La causa más probable es que el desarrolador de dicha aplicación no haya incluido las librerías o paquetes necesarios para su correcto funcionamiento. En tal caso notíficalo cuanto antes.

9) ¿Se puede hacer publicidad de nuestro proyecto cuando esté acabado para así tener más posibilidades de tener más votos?
- Aquí en el foro puedes presentar tu aplicación en el subforo Software o en el subforo del lenguaje en el que este desarrollada (siempre aportando el source). Puedes ponerlo sin ningún problema en otros sitios pero no les fuerces a votar tu app.

10) ¿Es necesario registrar mi aplicación bajo una licencia?
- Lo recomendamos pero no es obligatorio. De esta forma los programadores más noveles no tendrán que preocuparse por las licencias y se centrarán en participar y presentar sus creaciones. Aun así recomendamos registrarlo bajo una licencia GPL.

11) ¿Mi programa tiene que correr bajo linux tambien por que solo corre en windows nomas?
- No es obligatorio que sea multiplatforma pero ayuda a ganar votos. Puede correr solo en Windows como puede correr solo en Linux.

12) ¿Se pueden poner enlaces tipo ultrashare o mediafire?
- Si, se pueden poner de esa forma.

13) ¿Exactamente cuándo termina el plazo de entrega?
- La presentación de aplicaciones termina exactamente el día 30 de Octubre de 2014 a las 23:59 tiempo España (península). Cualquier aplicación presentada después de esa hora limite sera descartada.

14) ¿Cuando conoceremos al ganador?
- Una vez finalizado el concurso se concederá un periodo de dos semanas (14 días) en los que los usuarios del foro podrán revisar y votar las aplicaciones presentadas.

15) ¿Cuanta información debo aportar sobre mi aplicación?
- La máxima que puedas, desde aquí os recomendamos crear un archivo README con la máxima información de uso posible, cabe destacar que esto nos ayudará en la etapa de revisión facilitándonos nuestro trabajo así que lo tendremos en cuenta.

---

Ediciones anteriores del concurso:

[Ehn-Dev 2013] - Concurso de desarrollo de aplicaciones - Hilo oficial

Al ejecutar el comando qwinsta en el CMD podemos ver las sesiones activas en nuestra máquina, para mi sorpresa hay una sesión que no me suena de nada, el único post que sale en google es este http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Q_28484208.html

Es la sesión "7a78855482a04..." fijaos en el ID (2 ^ 16) - 16bit wtf



Dicen que ocurre al tener Visual Studio instalado y con UAC activado en Windows 8.1, ¿alguien más lo podría confirmar?

Saludos!

Muy buenas,

llevo un tiempo investigando sobre la suplantación de tokens, elevación de privilegios y la injección en procesos de sesiones y usuarios distintos.

El tema es que tengo que ejecutar mi aplicación en modo administrador para obtener el handle a un proceso ejecutado por un usuario ajeno (SYSTEM - winlogon.exe), ya que los privilegios del usuario normal no permiten la depuración de elementos del sistema.

Al ejecutarse, mi aplicación es capaz de obtener el handle, pero el privilegio SeDebugPrivilege está desactivado, cosa que podemos comprobar al iniciar cmd en modo admin si escribimos el comando "whoami /all".

He leído en muchos foros de programación que SeDebugPrivilege debe de estar activo para poder interactuar con los elementos descritos al principio del post, pero no entiendo porque me deja acceder a un handle de un proceso de otro usuario cuando en el cmd me dice que el privilegio esta desactivado.

La pregunta es:

¿Si corres una aplicación en modo administrador es necesario activar el privilegio SeDebugPrivilege para obtener un handle de un proceso lanzado por otro usuario?

Gracias y saludos!

Muy buenas,

llevo mucho tiempo sumergiendome en el mundo de la escalación de privilegios. He publicado hace tiempo por el foro varias formas caseras de escalación de privilegios sin embargo hoy vengo a preguntar una cuestión en concreto.

Muchos habreis llegado a la conclusion de que para esquivar (bypass) UAC es necesario tocar el registro (HKLM), crear tareas que ejecuten nuestro software bajo SYSTEM o admin o bien tirar de ingeniería social (para que el user ejecute el software en modo admin.. propiedad asInvoker en los manifest).

Todos sabemos que el Administrador de tareas permite mostrar todos los procesos del sistema, por lo que necesita de los máximos privilegios del usuario en cuestión.

La pregunta es la siguiente: ¿Qué ocurre cuando pulsamos dicho botón?

Este proceso no alerta al usuario de que la aplicación necesita de privilegios. ¿Cómo lo hace?

Un saludo!