A proposito del gusano Stuxnet el cual tenia como blancos a equipos PLC, se ha despertado especial interes en investigadores de seguridad y hackers sobre conocer a fondo las posibilidades de tomar el control de estos equipos, en Reverse Mode se ha publicado un enlace sobre el proyecto personal del autor de esta pagina, el cual consiste en una guia muy explicita para lograr tomar posesion de este tipo de equipos, recomiendo leer a fondo y aprovechar al maximo esta guia: Ebook http://www.reversemode.com/downloads/logix_report_basecamp.pdf

Noticia http://www.reversemode.com/index.php?option=com_content&task=view&id=81&Itemid=1

El protocolo de configuración de proteccion para conexiones (WiFi Protected Setup WPS) es vulnerable a ataques de fuerza bruta que permiten a un atacante obtener el pin o codigo WPS del punto de acceso y por consiguiente las frases WPA/WPA2, es solo cuestion de horas para conseguirlo usando una herramienta de codigo abierto llamado Reaver. Piensas que tu clave alfanumerica de 32 caracteres no se puede crackear?? Si tu router inalambrico esta usando WPS entonces es propenso a sacarle tu clave de texto plano en menos de 10 horas. WPS permite al usuario ingresar un PIN de 8 digitos para conectar de manera seguro a la red sin ingresar la frase entera. Cuando el usuario ingresa el PIN correcto el access point le da al usuario la posibilidad con WPA/WPA2 PSK para conectarse a la red. Reaver determina el PIN del punto de acceso y extrae el PSK mostrandolo al atacante. Cuando se probo se logro recuperar la clave WPA en 1.5 horas, el tiempo mas largo fue de 7.5 horas

Puedes descargarlo de aqui: http://code.google.com/p/reaver-wps/

Fuente: http://www.whatsmypass.com/cracking-wpawpa2-with-reaver

Un nuevo ejemplar de malware conocido como Sykipot esta infectando las tarjetas de acceso de los organismos de gobierno de Estados Unidos, Alien Vault ha rastreado el virus hasta China. Las tarjetas de acceso son utilizados frecuentemente en los departamentos gubernamentales tanto para acceso fisico a areas restringidas como para disponer de información protegida. Como AlienVault explica en un blog, los ciber criminales siempre tratan de estar en sintonía con nuestras medidas de seguridad, incluso si son los físicos como una tarjeta. Algo así como, si lo construimos, ellos hackean. En este caso, los chinos los ciberdelincuentes han encontrado una manera de evitar una tarjeta física, al atacar el sistema operativo Windows en el lector de tarjetas.

Sykipot (que se pronuncia saik-i-pot) fue descubierto en 2006 como forma simple de malware, se distribuia en correos phishing. Ahora, Sykipot esta un poco mas desarrollado, pero se continua distribuyendo por la misma via. Jaime Blasco, un investigador de AlienVault, explica que los ciber criminales distribuyen e-mais sobre armas y material de guerra para el Departamento de Defensa y otros contratistas del gobierno en un intento de atraerlos para abrir archivos PDF infectados. Una vez que el malware se desató dentro del sistema, que encuentra el lector de tarjetas y los extractos de las credenciales de autenticación de la tarjeta, siempre y cuando la tarjeta se encuentra físicamente en el lector.

La información se envía a los servidores de comando y control. Rastreo de las comunicaciones del malware, Blasco fue capaz de determinar que los servidores de EE.UU., que parecía recibir mensajes del malware fueron realmente un proxy para los servidores en China. Partiendo de uno de estos centros de mando y control fue un mensaje de error procedente de una de las herramientas utilizadas para crear el malware. Este mensaje ha sido creado en China, que también avisaron a los orígenes asiáticos.

En concreto, Sykipot está atacando al Departamento de Defensa de los Estados Unidos, junto con otros contratistas de defensa. A pesar de estos criminales cibernéticos son capaces de interceptar las credenciales de autenticación, físicamente no pueden entrar en cualquiera de los edificios en peligro, ya que no esta (todavía) facultado para replicar la tarjeta física. Lo que se ha comprometido, en todo caso, aún no se ha puesto en evidencia.

Fuente: http://venturebeat.com/2012/01/13/sykipot-department-of-defense/

La especialista en seguridad informatica Joanna Rutkowska y su laboratoria han descubierto un fallo que se basa en el modulo SINIT del INTEL TXT el cual permite la ejecucion de codigo arbitrario el cual definen “modo SINIT” dentro de los procesadores intel el cual incluye el anillo 3 (Modo Usuario), el anillo 0 (Modo Kernel), el anillo -1 (VT-x root), y el anllo “-2″ (SMM), ahora se esta descubriendo un nuevo anillo o modo de permiso denominado SINIT, el cual hasta ahora solo era usado por los codigos de operacion internos de INTEL.

Segun el articulo de Rutkowska lo que resulta interesante sobre el ataque son las consecuencias de tomar posesion en modo SINIT, lo cual permite eludir la tecnologia Intel TXT, PCL y tambien el sistema de concesiones  SMRAM. Tambien es interesante lo dificil que se volvio realizar un parche por parte de intel ya que tenian que liberar no solo la actualizacion de los modulos SINIT, tambien se libero actualizaciones para los microcodigos de todos los procesadores afectados, igualmente debieron trabajar en actualizar los BIOS con las empresas fabricantes, que se requerian para la carga de los microcodigos actualizados (ademas de proporcionar mecanismos anti-retrocesos, tanto para la bios como para el microcodigo)

SINIT es un importante modulo binario que es usado por el INTEL TXT (Intel Trusted Execution Technology), estos binarios tienen la tarea de preparar la plataforma para entrar en el TXT de modo seguro al ser cargado y ejecutado por la instruccion SENTER. El SINIT debe ser firmado digitalmente por intel para para realizar estas tareas.

Puedes leer el detalle del ataque junto a los codigos en:

http://www.invisiblethingslab.com/resources/2011/Attacking_Intel_TXT_via_SINIT_hijacking.pdf

Ademas de leer el articulo de Rutkowska:

http://theinvisiblethings.blogspot.com/2011/12/exploring-new-lands-on-intel-cpus-sinit.html

Como hacerlo:
1) Pulsar botón de encendido del iPad desde la pantalla de desbloqueo del dispositivo.
2) Justo después de colocar el iPad en la pantalla de apagado cerramos y abrimos la funda ‘smart cover’.
3) Ya podemos cancelar la pantalla de desbloqueo.
¡Sorpresa! la pantalla de bloqueo ya no está.

Si has olvidado la clave de tu Windows ahora tu mismo puedes resetearla, sin necesidad de formatear nuevamente el computador, esta herramienta esta ya en su version 2.0 y de verdad funciona; ademas realiza tareas como cambio de nivel de cuentas, deshabilitar y habilitar cuentas, y cambiar las propiedades de las mimas. Descargalo gratuitamente y conoce mas de ella en su pagina: http://www.pcloginnow.com/

Desde el Blog de Hector L. alias HLIXAYA me entero que ya esta disponible la cuarta entrega de un video tutorial que ha preparado sobre Backtrack 5, esta excelente herramienta de seguridad posee nuevas y mejoradas caracteristicas. Si estas empezando o quieres aprender mas sobre esta version no puedes dejar de ver estos excelentes videos: Enlaces Video Tutoriales:

http://www.backtrack5.omhe.org/

Blog Hlixaya: http://hlixaya.diosdelared.com/?coment=10998

El equipo de desarrollo de BackTrack ha estado trabajando en los ultimos meses en la version de BackTrack 5, nombre codigo: “revolution”. Ya por fin ha sido liberado desde el 10 de Mayo. Esta nueva revision ha sido creado desde cero, y contiene un gran cantidad de mejoras y caracteristicas. Esta basedo en el Kernel 2.6.38 de Ubuntu Lucid LTS. , esta parcheado con todas las mejoras de inyeccion wireless, ademas de ser totalmente codigo abierto y compilado GPL. Si no sabes para que sirve esta herramienta te estas perdiendo de mucho, conoce un poco más http://es.wikipedia.org/wiki/BackTrack y descargalo gratis en el siguiente enlace:

http://www.backtrack-linux.org/downloads/

Este tema ya se ha tratado en este blog, pero es hora de presentar una alternativa, aunque se usa la utilidad llamada Offline NT Password & Registry Editor que es la misma incluida en el CD de Hirens, aqui la podemos utilizar sola con un CD booteable sin complicaciones. Utilizar esta herramienta implica editar o blanquear la contraseña de inicio en Windows versiones NT 3.51, NT 4 (todas las versiones y todos los SPs), Windows 2000, Windows XP, Windows Server 2003 (todos los SPs), Vindows Vista 32 y 64 bit (SP1), Windows 7 (todas las versiones), Algunos dicen que tambien trabaja enWindows Server 2008. El fin de utilizar esta herramienta debe estar basada en fines didacticos o tecnicos, no debemos hacer o permitir un mal uso de la misma. Como lo utilizamos:

Descargar:

- cd100627.zip (~4MB) – Imagen de CD booteable. (md5sum: 6d80cdfbba97457e413f95a3554d9524 cd100627.zip)

Se puede crear una version para USB leyendo el archivo reame.txt incluido en el ISO.

- Una vez descargado, se debe crear el CD booteable con la imagen descargada. Existen muchas utilidades gratuitas para grabar un disco a partir de un ISO, tales como CDBurnerXP o Nero Burn Lite.

- Con el disco creado arrancamos desde el en la maquina donde queremos borrar la contraseña, debes tener presente que el computador debe tener la capacidad de bootear desde la unidad de CD/DVD.

- Una vez cargado el CD creado, en el computador nos mostrara una pantalla de introducción y unas opciones que en su mayoria solo debemos presionar enter ya que el programa eligira la mas recomenda para el equipo. Veras algo como esto:

Select which part of registry to load, use predefined choices
or list the files with space as delimiter
1 – Password reset [sam system security]
2 – RecoveryConsole parameters [software]
q – quit – return to previous
[1] :

- Aqui te recomiendo la opcion 1, es decir resetear la contraseña, si deseas editar deberas seleccionar el paso 2 pero ten en cuenta que es algo mas complicado y hay que tener mucho cuidado de no provocar un daño en el registro, si decides aventurarte por la edicion, puedes leer la ayuda: http://www.pogostick.net/~pnh/ntpasswd/walkthrough.html

Espero que te sirva de mucha ayuda!!

Fuentes:

http://www.deciacco.com/blog/windows/forgotten-windows-password

http://www.pogostick.net/~pnh/ntpasswd/

La empresa especialista en software de protección antivirus F-Prot ah reunida una serie de preguntas hechas en su pagina por los usuarios, respondiendo dichas inquietudes y publicandolas para despejar dudas acerca de este famoso gusano llamado Stuxnet, el cual se ha propagado de manera veloz en miles de computadora ademas causar estragos en grandes y medianas organizaciones. A continuación la traducción de dichas respuestas:

P: Que es Stuxnet?

R: Es un gusano para Windows, que se prograga a través de memorias USB. Una vez infectada el computador busca copiarse asi mismo en recursos compartidos de la red donde la clave sea debil.

P: Puede transmitirse a través de otro tipo de dispositivos USB?

R: Claro, el puede progagarse a través de cualquier cosa montada como unidad tales como discos portatiles, mobiles, cuadros digitales, etc.

P: Que hace el gusano?

R: Si infecta el sistema, el se esconde como un rootkit y se cerciora si existe conexion con un sistema de fabricación Siemens Simatic (Step7).

P: Que hace con el Simatic?

R: Modifica comandos enviados desde Windows al PLC. Una vez ejecutado en el PLC, el busca un tipo de fabrica en espicifico. si no lo encuentra no hace nada.

P: Que tipo de fabrica busca?

R: No lo sabemos aún.

P: Ha encontrado el tipo de fabrica buscado?

R: No lo sabemos.

P: Que pasa si consigue el tipo de fabrica esperado?

R: Realiza complejas modificaciones a el sistema, los resultados de esas modificaciones no pueden ser detectados sin ver el ambiente actual de la fabrica, asi que no lo sabemos.

P: Ok, en teoria que podria hacer?

R: Podria ajustar motores, cintas transportadoras, bombas, podria detener la fabrica. Con las modificaciones precisas podria causar riesgos de explosion en los equipos.

P: Por que se considera Stuxnet tan complejo?

R: Usa distintas vulnerabilidades y crea su propio controlador en el sistema.

P: Como puede instalarse con su propio controlador? Este no debería tener una firma de compatibilidad para trabajar con Windows?

R: El controlador de Stuxnet fue firmado con un certificado robado de Realtek Semiconductor Corp.

P: Se ha revocado este cerficado robado?

R: Si. Verisign lo revoco el 16 de julio. Una variante con la firma modificada perteneciente a un certificado robado de JMicron Technology Corporation fue detectado el 17th de Julio.

P: Que relación hay entre Realtek y Jmicron?

R: Nada. Pero ambas compañias tienen su base de operaciones en el mismo edificio de Taiwan, lo cual es extraño.

P: Que vulnerabilidades explota Stuxnet?

R: En general, Stuxnet explota cinco distintas vulnerabilidades, de las cuale 4 fueron 0-days:

LNK (MS10-046)

Print Spooler (MS10-061)

Server Service (MS08-067)

Privilege escalation via Keyboard layout file

Privilege escalation via Task Scheduler

P: Ya han sido parcheados por Microsoft?

R: Las dos escalaciones de privilegios no han sido parcheados aún.

P: Por que se demoro tanto el analisis en detalle de Stuxnet?

R: Por lo inusualmente complejo y grande de su tamaño, el cual esta sobre los 1.5MB.

P: Cuando empezo a propagarse Stuxnet?

R: En Junio de 2009, o puede ser antes. Uno de sus componentes se compilo con fecha de Enero 2009.

P: Cuando fue descubierto?

R: Una año despues, en Junio de 2010.

P: Como es eso posible?

R: Buena pregunta.

P: Stuxnet fue creado por algun gobierno?

R: Eso es lo que parece.

P: Como podria un gobierno obtener algo tan complejo?

R: Pregunta ambigua, bien proxima pregunta.

P: Podria ser Israel?

R: No lo sabemos.

P: Sería Egipto? Arabia Saudita? USA?

R: No lo sabemos.

P: Seria el objetivo Iran?

R: No lo sabemos.

P: Es verdad que hay referencias biblicas dentro de Stuxnet?

R: Hay una referencia a “Myrtus” (la cual es una planta de mirtus). Sin embargo, no esta escondido en el codigo, si no mas bien dentro de la referencia de compilación del programa. Basicamente nos dice donde el autor guardo el codigo fuente en su sistema, La ruta especifica del Stuxnet es: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. El autor probablemente no que supieramos sobre su proyecto llamado “Myrtus”, pero gracias a lo encontrado lo sabemos. Hemos visto estas caracteristicas en otros. La Operación Aurora que ataco a Google fue nombrada Aurora despues que su ruta fue encontrada dentro de los binarios: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

P: Es entonces “Myrtus” una referencia biblica?

R: Uhh… No lo sabemos realmente.

P: Podria significar algo más?

R: Si: podria ser “My RTUs”, no “Myrtus”. RTU es una abreviación de Remote Terminal Units, usado en sistemas de Fabricas.

P: Como sabe Stuxnet que ya ha infectado una maquina?

R: El crea una clave en el registro con el valor de “19790509″ lo cual seria como una marca de infección.

P: Que significa “19790509″?

R: Es una fecha 9 de Mayo de 1979.

P: Que paso el 9 de Mayo de 1979?

R: Puede ser la fecha de nacimiento del autor? Tambien en esa fecha fue ejecutado un Judia-Irani llamado Habib Elghanian. Se le acuso de espiar para Israel.

P: Verdad.

R: Si.

P: Hay releación entre Stuxnet y Conficker?

R: Es posible. Las variantes de Conficker se encontraron entre Noviembre de 2008 y Abril 2009. La primera variante de Stuxnet se encontro inmediatamente despues de esas fechas. Ambos explotan la vulnerabilidad MS08-067. Ambos usan las memorias USB para progagarse. Ambos buscan claves debiles de red para propagarse. Y por supuesto ambos son inusualmente complejas.

P: Hay relación con otros malware?

R: Algunas variantes de Zlob fueron las primeras en usar la vulnerabilidad LNK.

P: Deshabilitar la auto ejecucion de dispositivos USB en Windows detendra al gusano?

R: Falso. Hay muchos otros mecanismo que utiliza el gusano para propagarse. La vulnerabilidad LNK usada por Stuxnet infecta aún cuando Autoejecución y AutoReproducción hayan sido deshabilitados.

P: Stuxnet se propagara por siempre?

R: La version actual tiene una “kill date” (Fecha de autodestrucción) de Junio 24, 2012 en la cual dejara de propagarse.

P: Cuantas computadoras ha infectad?

R: Cientos de miles.

P: Siemens anuncio que solo 15 fabricas han sido infectedas.

R: Ellos hablan de fabricas. Mas nó de computadoras infectadas, como las del hogar u oficina que no estan conectadas a sistemas SCADA.

P: Como los atacantes ingresan al trojano en lugares con seguridad alta?

R: Por ejemplo, se infectan en la casa de un empleado, a través de su memoria USB. Al llevarala al trabajo infecta la computadora de su puesto. El gusano se propagara por toda la organización utilizando el ambiente de seguridad y permisos de los usuarios que tengan sus USB infectados, eventualmente conseguira su objetivo y continuara su propagasion hacia otros sitios.

P: Que mas podria hacer, en teoria?

R: Siemens anuncion el año pasado que Simatic puede tambien controlar sistemas de alarma, control de accesos, puertas, en fin podria penetrar ambito de seguridad y proteccion de acceso. Piensa en Tom Cruise y Mission Impossible.

P: Podria llegar Stuxnet hacia aguas profundas y causar un derrame en el golfo de Mexican?

R: No, no creemos que sea posible; A pesar que hay en aguas profundas algunos sistemas Siemens PLC.

P: F-Secure detecta Stuxnet?

R: Si.

Nota: Hemos aprendido muchos de los detalles mencionados en este cuestionario gracias a las consultas respondidas por los investigadores de Microsoft, Kaspersky, Symantec y otros fabricantes.

Video del Virus Bulletin 2010 donde el investigador de Symantec Liam O’Murchu demuestra como actua el gusano Stuxnet en un sistema SCADA haciendo cambios en losparametros de operación de una bomba de aire.