sábado, 31 de diciembre de 2011

¡Feliz año 2012!

Ha pasado un año más en el blog y al igual que el año anterior quiero hacer un resumen de los posts y momentos más importantes de este año.








Enero

Inicia la serie de posts "SQL Injection Web Attacks" dedicada a explicar en que consiste una inyección SQL y las diversas técnicas de explotación existentes. Esta es la serie de posts que más acogida a tenido durante el año. Actualmente va por el capítulo IX.

Febrero.

Sin duda lo más relevante de este mes fue el "LimaHack@UNMSM". Gracias a la iniciativa de w1b1 (miembro del blog), fataku, el Sr. W.C., al gran apoyo de la CSL San Marcux y algunos docentes de la FISI fue posible llevar a cabo esta réplica del LimaHack 2010 en nuestra universidad.


Los vídeos de las charlas se colgaron posteriormente aquí.

Marzo

El blog cumple 2 años online. No publiqué nada al respecto pero ahora lo menciono xD

En este mes también salió a la luz un paper que explicaba una novedosa técnica de SQLi para extraer datos rápidamente en MySQL. Estamos hablando del "Bit Shifting".

Abril

Luego del bit shifting, ve la luz otra técnica que aporta una mejora significativa de eficiencia en la extracción de datos. Esta técnica es conocida como "Find In Set".

En abril, también resolvimos el cifrado del SCU reviviendo un viejo fallo que nos permitía obtener y modificar la información de cualquier usuario de la biblioteca.

Por último, al final de este mes, tuve la oportunidad de dar una charla sobre SQLi en el FLISOL 2011 (sede UNAC).

Mayo.

Publiqué las demos en vídeo de la charla en el FLISOL. Estas demos consistían en cómo explotar un sqli para acceder al sistema y cómo elevar privilegios en linux. Ambos se hicieron sobre DVWA.

Junio

Seguro muchos recordarán este vídeo. Este mes "Anonymous" saltó a la escena y anunció la operación "Andes Libre" cuyos objetivos fueron Chile y Perú. En Perú, además, un grupo que se hacía llamar "Piratas de la Red" extrajo información reservada de ocho instituciones del gobierno entre las que destacan: el INPE, el Ministerio de Energía y Minas, las Águilas Negras y la Dirección General de Capitanías y Guardacostas.


Julio

Este mes aparece "Fisimash", un controvertido sitio web que exponía las fotos de las estudiantes de la FISI al mismo estilo del "Facemash" de Mark Zuckerberg. Lo curioso de esto fue que las fotos fueron extraídas de los sistemas de la universidad poniendo en relieve la falta de protección de datos personales en nuestra institución. Luego de algunos días el sitio cerró definitivamente tras las duras críticas que recibió.



Agosto

Un grupo de hackers turcos inicia una campaña de masive defacement que afectó la página web de la FISI haciéndole un radical "cambio de look" en reiteradas oportunidades. Al parecer explotaban un 0day en PureFTP.


También hicimos público un bug en la extinta web de Fisimash que nos permitía "dosearla" en muy poco tiempo y así mantenerla offline.

Septiembre

Kingcope hace pública una vulnerabilidad en el servidor web Apache que permite causarle una denegación de servicios con relativa facilidad. En el blog publicamos un scanner para buscar servidores vulnerables a este fallo y mostramos el resultado que da tras revisar el segmento de red de la universidad.

En este mes también se actualiza la página web de la universidad corrigiendo un gran número de vulnerabilidades que anteriormente habíamos hecho públicas. Sin embargo, no todos los fallos se han corregido y tiempo después mostramos que es posible afectar el proceso de admisión (que también se realiza por esas fechas) provocando denegaciones de servicio en un par de servidores.

Inicia el "Call for Papers" para el LimaHack 2011.

Octubre

San Marcux organiza el evento "Free4All" y a mí me toca representar a la comunidad repitiendo la charla de "SQL Injection on LAMP" que había dado en el FLISOL, pero claro con algunas mejoras.



Luego de hacerse público un RCE en phpLDAPadmin, reportamos un fallo en la versión 0.9.4b del mismo software que permite provocar una denegación de servicio mediante inclusiones recursivas.

Sale el programa del LimaHack 2011 y tendré un espacio como expositor :D

Noviembre

¡LimaHack 2011! El día 5 de este mes, se llevó a cabo el máximo evento de Inseguridad Informática del Perú. Este año el evento creció bastante contando con cientos de inscritos y hasta 4 charlas en paralelo. En esta ocasión tuve la oportunidad de participar como expositor con la charla "SQL Injection para todos" que tubo muy buena acogida.


Diciembre

Bueno, ni qué decir, este mes he estado un poco flojo y no he escrito mucho. Sin embargo hay un par de posts que me gustan:

El de "LFI with PHPInfo()", que explica un método para inyectar código php en el servidor web siempre que exista algún script que llame a la función phpinfo(). El exploit funcional lo publiqué posteriormente como regalo de navidad xD

Y el de "Hacking Web Services [Parte III]", que explica qué es y para que se usa Axis2 y como valernos de las credenciales por defecto de este SOAP Engine para desplegar nuestro propios web services y ejecutar comandos en el servidor, incluso como "root".

Y así llegamos al final de este año...

Estoy seguro que el 2012 traerá nuevas aventuras. Quizá sea el último año del blog, con eso de que ya se acaba el mundo... xD Así que espero poder terminar la serie de SQL Injection antes que nos lluevan meteoritos o se acabe el agua del planeta.

Por mi parte, no me queda más que desearles un ¡Feliz año nuevo!

Saludos.

No hay comentarios:

Publicar un comentario