jueves, 23 de agosto de 2012

Entrevista "técnica" L0ngin0x. Reverse Engineer.

Nunca en mi vida habría imaginado que iba a conocer a tanta buena gente como me está pasando desde que empece mi aventura bloggera. Todos sabeis quienes soys, y os agradezco de corazón el apoyo que tengo de vuestra parte.
El otro día, el amigo Akil3s del conocido blog "1gb de información" me realizó una entrevista cachonda ( no enseño las tetas, lo siento)al cual agradezco mucho.
Me quedé con ganas de hacer lo mismo, y le he pirteado la idea.
Para esta entrevista/charla/explicación he buscado al amigo L0ngin0x, una de esas personas, amante de lo que hace, que dedica su tiempo libre, y su dinero, en asistir a charlas a kilometros de su ciudad, dejando esos momentos de familia que todos necesitamos en nuestro tiempo, por aprender.
Como siempre en este blog, la entrevista va un poco en plan broma, mezclando la parte personal, con la parte técnica en la que este hombre destaca, la Ingienería Inversa.
Muchas gracias por tu ayuda, y espero que os sirva, como a mi, a comprender un poco mas ese mundo "reverso" y tener las nociones básicas, para poder empezar a buscar en google/amazon y demás.
A por ellos. !!!



¿Quién es L0ngin0x? de donde eres, de donde vienes, a donde vas?

L0ngin0s es un apasionado del mundo digital, posiblemente desde el mismo día que mis padres me concibieron.
 Nací en Madrid, soy acuario, tengo 40 años, algunos kilitos de más y estoy felizmente casado con una morena que me quita el sentido y que me ha regalado mis dos mejores tesoros, mi hija de 9 años y mi hijo de 4.
 Deje de estudiar cuando apenas tenía 15 años, sencillamente porque mi mente era totalmente inmadura y no me motivaba nada el bachiller. No obstante, siempre he dedicado infinitas horas a este mundo digital del que hablaba antes. Por eso un día, mi mujer y mi hermana, me animaron a canalizar esas horas de estudio de una manera más organizada.
 Así que hace unos 9 años me matriculé en el CAD para poder hacer la ingeniería en informática de sistemas (hoy llamada grado en ingeniería informática) y aquí sigo, con ¾ del camino recorrido.
 Actualmente prestos mis servicios en materia de seguridad de software, en una empresa que está a la vanguardia mundial de la diagnosis en vehículos industriales.
Es una de esas empresas en donde saben que un activo muy importante es la formación continua de sus empleados y ayudan mucho a ello.
 ¿A dónde voy? Difícil pregunta.
 Está claro que de 0 a 1 trillón estoy en el -1 en la escala del conocimiento informático y para poder subir por esa escala solo queda que seguir formándome día tras días mientras mi mente lo resista.
 Tengo la intención de hacer algunas certificaciones de seguridad informática, de hecho es inminente hacer alguna.
 Pero sin dudarlo, me gustaría terminar mis días siendo un excelente profesional de la seguridad informática.

Creo que eres de los que piensas que si la montaña no va a Mahoma, Mahoma va a la montaña. ¿ Eres muy aficionado al montañismo?

Pues en realdad me gusta la montaña pero no mucho más que otras actividades, simplemente intento hacerle entender a mi cuerpo, que hay más vida que la que existe entre mi torso y mi teclado ;).
 Es evidente que mi mayor afición es todo lo que implique un teclado y un ratón y eso incluye también los juegos online del tipo de los FPS y los de simulación de carreras de coches.
 También he de confesar que últimamente estoy enganchadísimo a la F1 y al irrepetible Fernando Alonso.
 Pero sí, soy de los que creen firmemente que si quieres conseguir algo no hay más remedio que morir por ello.

Unas palabras de ánimo para la gente que quiere "aumentar" sus conocimientos estudiando una carrera tan difícil como la informática, a edades avanzadas adultas.

No hace muchos años, alguien cercano a mí, me dijo que yo terminaría mis días de albañil (por aquel entonces yo trabajaba de peón albañil), sin embargo hoy se tiene que comer sus palabras.
 Gracias al haber empezado la carrea hoy por hoy tengo el trabajo que quiero y deseo.
 Es falso que no se pueda empezar a estudiar porque ya no seas adolescente, es más, a edades adultas uno le saca más partido a lo que estudia, porque lo hace por devoción y no por obligación.
 La fórmula es fácil, si quieres, puedes. No hay más.
 
El señor L0ngin0x se está haciendo hueco en el panorama de la ingeniería inversa, destripando los binarios en busca del hack perfecto xD. Ejemplos de ello son sus recientes publicaciones en su Blog resolviendo retos que muy pocos entiende, y que muchos menos se animan a resolver y así contribuir a que todos aprendamos.

Solución al reto unpackme- FSG 1.31 - dulek

Solución al reto XYZ_KeygenMe20110505_Dev

Solución al reto LaFarge's crackme #2

Resolución del FPR6: Reto Hacking de Julio – ¡Killo! ¡onde ectá mi clave! 

Para empezar la "chicha" de la entrevista, ¿Qué es el Reverse?.

Reverse, reversing, ingeniería inversa o ethical cracking ahora tan de moda.
 Podemos decir que la ingeniería inversa es el proceso al que sometemos un “algo” con el propósito de obtener sus principios tecnológicos. Como cabe esperar, ese algo puede ser software o hardware.
 En el caso del software, partiendo de un binario, mediante técnicas y herramientas de reversión, podemos entender como fue programado. De esta manera, en algunos casos podremos modificarlo y en otros incluso mejorarlo.
 Pero dime kino ¿acaso este proceso no se hace también en el ethical hacking?... hacemos un escaneo, en función de las respuestas obtenidas nos hacemos idea de lo que tememos detrás, permitiéndonos en algunos casos, entender como fue diseñado, incluso modificarlo y porque no, mejorarlo ;) 
El reversing existe desde el inicio de los tiempos y se basa puramente en la necesidad humana de entender como están hechas las cosas que nos rodean.

Típica pregunta: ¿ Qué hay que estudiar, qué habilidades hay que entrenar para conseguir dominar el demonio que el software lleva dentro xD?

Como bien sabes kino, es difícil dar la formula exacta, pero básicamente es recomendable saber fundamentos de:
-          Arquitectura de computadores. Recomiendo los libros de William Stallings y David Patterson.
-          Sistemas operativos. Sin duda el mejor libro es el de profesor Andrew S. Tanenbaum, creador de minix.
-          Programación (Ensamblador, C, ...).

Importante es conocer las herramientas que nos puedan ayudar en nuestra labor.

Y por supuesto horas, horas y horas traceando ejecutables y lo más imprescindible, pasión por todo lo que se hace.

¿Qué recursos (webs,foros,etc) recomiendas seguir para enterarnos de que va este mundo? Mojate xD.

Sin duda alguna, para sumergirnos en este mundo es imprescindible empezar por los cursos de Ricardo Narvaja  “introducción al cracking con ollyDbg desde cero”. Repito, imprescindibles.

Posteriormente a ello podemos seguir tanto a Ricardo como a una legión de crackers latinos en su lista CrackSLatinoS dispuestos a ayudarnos en nuestro camino.
 En esta lista se proponen y resuelven infinidad de retos y teorías.
 Podría dar algunos sitios más, pero definitivamente esta es la mejor opción para empezar.

¿Qué software recomiendas para tales menesteres, y que hace cada software?.

Esta pregunta tiene tela y podríamos perfectamente anestesiar a tus lectores (nota kino: Hola papaaaaa) si damos una relación completa de herramientas, así que con tu permiso, me limitaré a dar las que considero más importantes.
           
-          Decompiladores (Decompilers):
o          Proceso inverso a la compilación, es decir, de un binario, obtenemos su código fuente.
o          Algunos de ellos son Reflector, DeDe, DJ Java Decompiler, ...

-          Desensambladores ( Disassemblers ):
o          En este caso obtenemos del binario su código fuente, pero en ensamblador.
o          Algunos de ellos son IDA Pro, OllyDbg, Immunity Debugger, ...

-          Depuradores (Debugguers)
o          Esta herramienta nos permite ejecutar un binario instrucción por instrucción, viendo en todo momento el estado de la memoria del proceso, registros internos del micro y la pila.
o          Algunos de ellos son IDA Pro, OllyDbg, Immunity Debugger, ...

-          Editores para Portable Executable:
o          Herramientas que nos permiten editar los encabezados de un ejecutable
o          Algunos de ellos son PETools, PEEditor, LordPE Deluxe, ...
-          Editores hexadecimales
o          Con estos editores podemos gestionar ficheros en su estado nativo, esto es, byte a byte.
o          Algunos de ellos son Ultra Edit, HxD, WinHex...

-          Dumpeadores de memoria (Dumpers)
o          Permiten volcar a un fichero el contenido de una parte de la memoria RAM.
o          Algunos de ellos son virtualsectiondumper, OllyDump, PETools.

-          Monitores de procesos
o          Son herramientas de monitorización del sistema operative que muestra en tiempo real la actividad del sistema de ficheros, registro, procesos e hilos.
o          Algunos de ellos son las herramientas contenidas en la suite de SysInternals como el Proccess Monitor.

-          Scanners
o          Estas herramientas nos ayudan en la detección de packers, Cryptors, Compiladores, Packers... con los que está construido un ejecutable.
o          Para mí la mejor de ellas es RDG Packer Detector.

Seguro que me dejo alguna por el camino.

Leyendo tu biografía personal, se me ocurre la eterna pregunta, pero la voy a hacer con mas mala leche xD:
            Spectrum o Amstramd?
Spectrum for ever.
             Nintendo o Xbox o Sony xDDD?
Sony, aunque estoy algo mosqueado con la calidad de sus portátiles Vaio.
             Pc o Mac?
PC
             Windows o *nix?
Ambos
             Android/Rim/Ios/Windows phone?
Android / windows phone

¿En qué proyectos andas metido últimamente?.

Últimamente estoy dedicando muchas horas al estudio de cómo protegen software ciertas aplicaciones (algunas comerciales) denominadas packers como Themida, Execriptor, WMProtect, ASPack, Armadillo, ...
 Esto me va a llevar algunos años de diversión ;)

¿Qué opinas de la "moda" que hay hoy en día con el cloud y la virtualización?

Creo que la virtualización ha sido uno de los mejores inventos del siglo, me parece absolutamente necesario.
 Para mí la principal ventaja que aporta es la optimización de todo (recursos, tiempo, dinero, ...)
 En cuanto al Cloud, pues es un tema que podríamos debatir horas y horas.
 Para empezar el cloud no es nuevo, todos sabemos eso, solo que ahora se le llama cloud y queda más cool.
 Mi opinión es que existe un problema de confianza, es decir, ¿realmente los datos que subimos a la nube están exentos de miradas curiosas?, seguramente, si le preguntamos a Richard Stallman dirá que va totalmente en contra de nuestras libertades, sin embargo creo que si somos capaces de proteger nuestros datos de miradas curiosas, el cloud merece la pena y es un buen servicio.

¿Algo que quieras decir, y que se pueda decir? xD

Quisiera darte las gracias por este hueco que has hecho en tu blog y pedirte que sigas con este afán de compartir tus conocimientos con todos nosotros.
Es muy gratificante ver como hay gente que gasta su tiempo ayudando a otros y sin pedir nada a cambio. Esa es la esencia de la red y por la que gente como tú y como yo, estamos aquí.
Si además con esta publicación, conseguimos que al menos una persona se ponga a estudiar, el objetivo se habrá cumplido.

A estudiar !!!!!!!!!!!!!!!!!!

Muchas gracias por leerme/nos.
 



miércoles, 22 de agosto de 2012

SMS Spoofing- Social Engineer Attack vector !!!

Esta semana está muy en candelero el tema del SMS spoof en dispositivos Iphone, como seguro habéis visto en cientos de blog´s, tweet´s etc.
Vamos a jugar un poco con SET. La idea es sencilla, mandar un SMS a un empleado de la empresa a la que queremos auditar, diciéndole que ingresen en una página ( que previamente habremos preparado para infectar, concienciar, etc) haciéndonos pasar por alguien de la empresa o cercano a ella.
Como hemos hablado muchas veces en este blog, la fase de information gathering es muy importante, y mucha gente obvia muchos detalles, considerándolos superfluos, o poco necesarios. Vamos a imaginar, centrándonos en este vector de ataque. Si hemos hecho nuestros deberes, casi seguro que podamos encontrar teléfonos móviles de empleados ( con suerte sysadmin o gerente). Teniendo una lista de personas, podemos buscar en foros, por ejemplo un gerente que vende una casa y aparece su teléfono móvil, o un proveedor de la empresa, etc.
Nos ponemos manos a la obra, y ejecutando SET, nos aparecen las opciones:



















Elegimos la opción 1.- luego elegimos la opción 7.- SMS Spoofing Attack Vector.
La siguiente opción es Realizar el ataque, o crear una plantilla personalizada. Elegimos la primera, con numerosas plantillas ( errores ortográficos, fechas mal, etc) o creamos una nueva ( ver imagen)




















La creación de plantilla es muy sencilla, y se guarda para posteriores usos. Continuamos diciéndole que queremos usar una plantilla predefinida, y nos aparecerán todas las por defecto, y las que hayamos creado.




















La siguiente opción que tenemos es la elegir el proveedor de SMS´s que queremos usar. Tenemos una opción gratis que no funciona, dos de pago, y la opción de mandar el SMS a un emulador Android, previamente instalado. Para estas pruebas he usado http://www.lleida.net/es/ que tiene un servicio de pruebas, de 20 mensajes, muy simpático y efectivo. Te registras en 5 minutos, te dan un user/pass, y te lo pide SET. Sencillo, gratis y efectivo.


















Hoy en día, cuanta gente tiene teléfonos con internet, que al ver un SMS puedan pinchar, y acceder a una web infectada?
Otro vector social sería el de que no falsear el número de móvil remitente, usar el número que nos proporciona el servicio de Lleida.net, e intentar " soy el informático, por favor dime tu usuario y clave que hay problemas en el centro y no podemos entrar en tu pc" un domingo por la tarde. El SMS recibido estará disponible entrando en la web de LLEIDA.net a nuestro apartado privado.

Espero que os guste, y que no le mandéis muchos mensajes a vuestros amigos con sorteos, policía, etc.

.
Gracias por leerme.


Google +

martes, 21 de agosto de 2012

Preparando un laboratorio para no ir al reformatorio xD

Al lío que me lío... Para poder "estudiar" seguridad, tanto de sistemas operativos,redes y aplicaciones debemos empezar por mirarnos a nosotros mismos, y auto-auditarnos para saber como estamos, aprender a securizar los elementos. En segundo lugar, antes de ir a prisión por probar las vulnerabilidades de las aplicaciones de los vecinos, ex-parejas y demás, lo suyo es preparar un buen laboratorio con las máquinas virtuales corriendo nuestros sistemas operativos y aplicaciones preferidas, y empezar a "juackearlas".
Hay un millon y medio de estas máquinas. Aquí os voy a dejar una seria de links donde podemos encontrar mas información sobre como preparar sistemas vulnerables. Espero que lo disfrutéis, e intentéis evaluar vuestros "skills" en materia de inseguridad/seguridad, sin ir a la cárcel.

Aplicaciones web.

Bateria de pruebas Owasp: https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
BadStore: http://www.badstore.net/
Mcafee Hacme Casino RUBY: http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx
Mcafee Hacme Shipping  COLDFUSION: http://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx
Mcafee Hacme Books. JAVA:  http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx
Mcafee Hacme BANK. WEBSERVICES: http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
Mcafee Hacme Trave. SQLi por un tubo: http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx
DOJO. Apps´vulnerables y aplicaciones para su "entretenimiento". Todo en uno !! http://www.mavensecurity.com/web_security_dojo/
MOTH. PHP: http://www.bonsai-sec.com/en/research/moth.php
BODGEIT: http://code.google.com/p/bodgeit/
Hackxor: http://hackxor.sourceforge.net/cgi-bin/index.pl

Servidores LAMPP.

LamppSecurity: http://sourceforge.net/projects/lampsecurity/

Sistemas operativos.

VirtualHacking.Linux y Windows xp sin parchear: http://sourceforge.net/projects/virtualhacking/files/os/dvl/
Metasploitable.Ubuntu. https://community.rapid7.com/docs/DOC-1875
Kioptrix. Varias máquinas por niveles: http://www.kioptrix.com/blog/?page_id=135

Versiones viejas de aplicaciones populares.

http://www.oldversion.com/

Aplicaciones vulnerables de fabricantes ( no requieren instalación).

Banco HP: http://zero.webappsecurity.com/banklogin.asp?serviceName=FreebankCaastAccess&templateName=prod_sel.forte&source=Freebank&AD_REFERRING_URL=http://www.Freebank.com
IBM: http://demo.testfire.net/
Acunetix asp.net: http://testaspnet.vulnweb.com/
Acunetix php: http://testphp.vulnweb.com/

Probar tus habilidades en general. Wargames.

http://www.thisislegal.com/
http://www.root-me.org/?lang=en
http://www.hackertest.net/
http://www.dareyourmind.net/
http://www.hackthissite.org/


Espero que os guste, gracias por leerme, y a probarse !!!!

PD: No te desanimes o flipes, porque casi siempre, el mundo real es o "mucho mas fácil" o "mucho mas difícil". Esto solo es un camino más de nuestro aprendizaje.






El viejo truco de escalada de privilegios SYSTEM.

Vamos a recordar un truquito sencillo y viejo, tanto como el windows 2000, si no mas !!! de como mediante una consola... voy a decirlo, aunque esté mal, pero tengo ganas, desde una consola MS-DOS ( yujuuuuuu) elevar privilegios de la cuenta a SYSTEM.
La historia es sencilla. Las tareas programadas ejecutadas con el comando at corren con privilegios SYSTEM en la máquina...
Si abrimos una consola y tecleamos... " at ponemosunahora /interactive cmd.exe" abrirá una consola a la hora indicada con los privilegios system. Ya podemos jugar a nivel directorios y permisos NTFS, pero si queremos tener el escritorio completo, hay que ejecutar el proceso explorer.exe con estos permisos. Para ello, otra vez en consola, buscamos el PID del proceso ( ya que estamos con consola, para que irnos al administrador de tareas...) tasklist para ver el identificador, y luego ntsd -p pid -c "q".
En Win 7 no anda, y nos sale un texto simpático diciéndonos que nanai.

Espero que el que no lo supiese le guste, y el que lo supiese pues que lo recuerde xD.

Gracias por leerme.

lunes, 20 de agosto de 2012

Los chicos malos no descansan... modo vacaciones-off.

Era una tarde de domingo en la fria calurosamente mortal, ciudad donde vivo... Mi novia preparando la cena. El móvil de repente se vuelve loco, y mas que avisos de correo, parece el sensor de parking del coche: piiiiiiiiiiiiiiii-piiiiiiiiiiii-piiiiii-pi- pi pi pi pi pi pi pi pi...Empieza así, y cada 5 minutos se repite. Cuando me pongo a ver quien o qué es el que me esta flood-deando el correo veo que es el IDS...Recuerdo que me fui el viernes de "vacaciones" hasta el lunes...  Al parecer, tenía un usuario visitando alguna web, la cual estaba intentado ejecutar un exploit para aprovecharse de una vulnerabilidad conocida , en formato de imágenes.



Como siempre llevo a mano mi bbdd de host en el teléfono, identifico rápidamente el equipo, y todo me cuadraba. Habían empezado los ataques justo a la hora que en ese puesto se realiza un cambio de turno... y como es domingo por la noche, pues la persona había decidido empezar su sesión de trabajo visitando unas cuantas web´s de prensa. La solución, como casi siempre, fué la de "atajar" con la persona. No era plan, un domingo por la noche de conectarme desde un teléfono, y ponerte a trabajar. También me quedé un poco tranquilo porque el IDP estaba funcionando.
No voy a decir el nombre del periódico, al menos hasta que después de la notificación que les acabo de hacer, me digan algo, pero es un periodico FUERTE español, alojado en los servidores suizos de Akamai. Tiene algo que ver con los juegos olímpicos xD.

El motivo de este post es, en primer lugar, de CONCIENCIAR a la gente que Internet es peligroso, y que sin hacer "nada" raro, como este usuario estaba haciendo ( leer prensa de un sitio mas o menos legítimo), podemos sufrir numerosos ataques, y la única manera de protegernos en estos casos, es tener el software correctamente actualizado.

Otro motivo es el de quejarme públicamente de la situación que tenemos muchas personas, que aún siendo vacaciones, fin de semana, altas horas de la noche, etc, siempre estamos alerta, y eso CUESTA DINERO !!!.

Proxy: En la empresa donde desempeño mi labor decidimos montar un proxy, pero la cuestión es: allow all y luego censuramos, o al revés, deny all y habilitamos?
En cuanto a términos de seguridad se refiere, está claro que es mejor cerrarlo todo, e ir abriendo las web´s que nuestros compañeros necesitan, pero como siempre digo "la seguridad muchas veces va en decrimento de la usabilidad" y hay entornos en los que no se puede hacer esto, por qué? porque si trabajas en una empresa pequeña, donde hay que acceder a 5 web´s, pues es fácil. Además, si alguien necesita puntualmente acceder a una web en concreto, se le habilita el acceso y listo. En una gran empresa, suele haber varias personas encargadas de los sistemas, y se puede optar por deny all, si hay un departamento IT detrás para atender las necesidades de algún empleado. Pudiendo analizar el contenido de la web, y tomando las decisiones oportunas.
Qué pasa con una mediana empresa, como es la mía? El departamento IT es mínimo, no se puede dar soporte 24/7 a este tipo de necesidades. Es una empresa en la que el tráfico web va desde un administrativo que accede a un portal B2B, a la que un médico consulta una técnica quirúrgica, un enfermero consulta la posología exacta de un medicamento, etc etc... No se puede deshabilitar todo. Puedes capar archivos exe, puedes usar el idp, pero el proxy, difícil. Lo único que puedo hacer es con mi proxy, y mi SARG ( OJO si usamos este sistemas, ya que se han visto muchos de estos servidores publicados en Internet, y encima sin autenticación. No he encontrado el post que habla sobre esto, pero lo recuerdo) revisar todos los días por donde purula la gente, y actuar en consecuencia. Se que no es muy elegante, y mi lista de DENY´s pesa ya unos cuantos megas, pero si quiero dar servicio y proporcionar algo de seguridad, es lo que toca. Insisto, todo esto está montado en una infraestructura en la que hay un buen firewall y un idp/ids mas o menos bien configurado.



viernes, 17 de agosto de 2012

Looking for Malware en web´s de manera pasiva...

Soy una persona vaga, cansina, y me gusta rendir mucho con poco trabajo. Para ello, me rodeo de gente que me lo permite, como decía Kennedy "Un hombre inteligente es aquel que sabe ser tan inteligente como para contratar gente más inteligente que él."
Para las auditorías de seguridad, y en este caso, mas de lo mismo xD.

Una manera inteligente de buscar información de una web, y descubrir la existencia de algún tipo de Malware, de manera pasiva ( sin que nuestra ip aparezca en los registros del servidor web) por qué no usarla?.
Para ello existen numerosas herramientas web  que con solo introducir una url, busca elementos sospechosos, o catalogados como Malware.
Vamos a probar alguna.
http://sitecheck.sucuri.net/scanner/  ponemos la url aparte de mostrarnos los links disponibles en la web, buscar el dominio en varias blacklists, de manera rápida, nos dice cosas como estas:











Como podéis ver en la imagen, hemos detectado un script bastante conocido y viejo, seguramente introducido por una inyección Sql.

Me detecta más cosas, como son los javascripts, y me dan una pista sobre algún CRM interno que puedan tener...










Me voy a Firefox, y con el complemento firebug compruebo que efectivamente el javascript aparece en la web analizada.

Si pasamos el mismo dominio por otro analizador, como es http://vms.drweb.com/online/?lng=en  me dice que estoy limpio... Por eso siempre se recomienda hacer "lo mismo" de "distintas maneras". Esto va en contraposición a como empezaba el post, pero es viernes y no se me ocurría otra manera xD.
Tampoco me han detectado nada los scanner´s on line de las típicas empresas de antivirus.

Un recurso más de cara a nuestras auditorías propias, externas, o simplemente para informar a nuestros amigos y proveedores.
Gracias por leerme.

jueves, 16 de agosto de 2012

Convierte tu iphone/ipod/ipad en una máquina de matar...

Mamaaaaaaaa, comprame un iphone !!! para qué hijo? para mataL !!!!.

No soy partidario o si... de realizar el jailbreak a los "io´s", y hay mucha literatura en internet al respecto. Si has decidido realizarlo, cambiale la clave del usuario root, por favor !!!

Ahora vamos a lío. Aparte de instalar las típicas aplicaciones chorras que harán que tu ihpone sea el mas guay o gay de las fiestas, y que solo harán que te vaya mas lento que una mula, este post trata sobre las herramientas que debes instalar para convertir tu iphone/ipod/ipad en máquinas de mataL... o en una buena herramienta móvil para realizar pentest.

ADV-CMDS : consola del sistema.
BACKGROUNDER: gestionar que programas funcionan en segundo plano.
NMAP:
NETWORK-cmds: arp, ifconfig, netstat, route, traceroute.
NETCAT: abrir puertos o conectarse a puertos remotos.
PIRNI : arp spoof al estilo Cain & Abel para M. In the Middle.
PCRE: Expresiones regulares para Perl.
NETATALK: Compatibilidad con el protocolo Apple Talk. El netbios de Mac? :-P
OPENSSH: Openssh.
AUTOMATICSSH: reconexiones. En mi caso concreto, le da estabilidad, ya que a veces Openssh dejaba de funcionar a las bravas.
TCPDUMP: Para los estudiosos de las tramas xD.
METASPLOIT: Que decir... Este link me parece bueno, ya qué el viejo de los repositorios por defecto de cydia no funciona bien por el dichoso Ruby...
STEALTHMAC: cambia la mac del adaptador wi-fi.
SPOOFMAC: idem...
STUNNEL: Script para brindar seguridad SSl en todo tipo de comunicaciones.
AIRCRACK: No lo he probado.
GREP: 
BZIP2:
GZIP:
SUDO:
UNZIP:
WHOIS:
VIM:
WGET:
TAR:

Según los gustos, hay mas o menos editores. Para la mayoría de estas aplicaciones necesitarás RUBY, PERL, Python, RUBYGEMS, y un saco de librerías. Como siempre en este mundo "casi bsd" las dependencias de librerías es muy importante. Ahora cada uno que se pelee con la máquina.

Se te ocurren mas aplicaciones "orientadas" al Pentest para los Io´s?

Gracias por leerme !!!








lunes, 13 de agosto de 2012

Varios Cheatsheet

Estimados amigos. Es verano, estamos en la semana del puente, espero que no me leáis hoy, y lo hagáis de vuelta de vacaciones !!!!

Mientras tanto, podéis ir guardando estos dos links que os pongo, porque los usareis si o si.

El primero es el "famoso" Cheatsheet de escalada de privilegios en Windows que ha rulado hace poco por todas las cuentas de los twiteros, y que alguno de los grandes comentó hace poco:

http://it-ovid.blogspot.com.es/2012/02/windows-privilege-escalation.html


En sintonia a este, tenemos la mega chuleta de las Sql Injection. http://websec.ca/kb/sql_injection#MySQL_Testing_Version

En este resumen podréis encontrar el comportamiento ante los " 1=1"  y demás intentos por atacar la BBDD en cada uno de los sistemas gestores de base de datos mas habituales en el mundo web.
Como podéis ver, tenéis acceso a las funciones específicas de los servidores, sus "sql" particulares y demás.
Sin duda, una de las chuletas que más se puede usar a la hora de evaluar ( y no atacar) los componentes de acceso a base de datos.
Darle buen uso !!!

martes, 7 de agosto de 2012

Simple Phising Toolkit.campañas de phishing en tu mano.

Todo sabemos que es el Phishing, o eso creemos :-) : Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria.  Via Wikipedia.
Todos sufrimos estos ataques a diario. Todos sabemos las recientes noticias que hablan de un 60% de tráfico en internet es spam o al menos fraudulento, etc...
Creo que es conveniente, dentro del proceso habitual de auditoría de seguridad tanto interno, como desde la visión del pentest, realizar una prueba de penetración mediante el famoso Phising. Muchas veces, según la índole del estudio, se puede propagar un elemento malware, pero otras veces basta con demostrar el fallo en las reglas del correo, o simplemente en la política de seguridad y buen uso del e-mail.

Para ello contamos con esta fabuloso y sencillísima herramienta llamada SPT.
En definitiva, es una herramienta que consta de un Front End, lo que verá el usuario, es decir, el phishing, un back end, que es la parte que controlamos nosotros, y el database backend, donde se almacena toda la información. La base tecnológica es la habitual para estas tool, apache, php y mysql. Es por ello por lo que lo instalé en WAMP, por la facilidad. Importante leer la compatibilidad de navegadores, porque por ejemplo, en IE 8 no anda, así como el resto de requisitos. Básicamente montamos WAMP, movemos la aplicación SPT a la carpeta raíz del apache, y lanzamos el instalador. Mas info.
















El aspecto inicial, una vez instalado.


Para empezar a jugar, basta con seleccionar unos objetivos, que bien puede ser un correo "suelto", o importar un csv con datos de nombre apellido, dirección, etc.
Una vez hemos configurado "las víctimas" procedemos a crear una campaña. Como podéis ver en la siguiente fotografía, configuramos todas las opciones, que son bastante descriptivas. Tener en cuenta que si no permitimos en el WAMP el acceso desde el exterior de localhost, y no ponemos aquí un path accesible desde internet en los correos cliente, no aparecerá nada... Para esta prueba me basta así. Seleccionamos los Target´s definidos, el modelo de campaña, de las existentes, y el EDUCATION, que viene a ser como la moraleja, es decir, lo que le va a aparecer al usuario víctima del Phising. Identificamos un servidor SMTP con permiso para enviar, y andando...

Para probar lo he enviado a un proveedor pop, y a Hotmail. Como veis, Hotmail detecta que puede ser un correo malicioso, pero permite pinchar en los links, mediante una advertencia al usuario, que como todos sabemos, siempre hace caso...
Al pinchar en cualquiera de los links, nos aparece el mensaje que os comentaba llamado EDUCATION.

Mi proveedor POP no se ha enterado de un posible ataque de Phising, por lo que solo tengo que pinchar el link y listo.
En el Iphone de turno, ni una advertencia.

La visión del Back end es muy gráfica, con unas cuantas estadísticas y estados de la campaña. Ideal para documentar a gerencia, con pelos y señales de quien, como, cuando, etc...


Es muy interesante y versatil la herramienta, ya que nos permite configurar tanto los EDUCATION, por ejemplo añadiendo un texto corporativo concienciando a los empleados del peligro del e-mail, como las TEMPLATES, es decir, el contenido del phising.
Hay dos maneras de crear nuestras plantillas, subiendo un fichero zip con varios ficheros, como nueva plantilla ( o en su defecto navegar por la instalación, descargando una plantilla, y modificando a nuestro gusto para subirla) o configurando una plantilla en el portal vinculando el contenido del mensaje a una página On-Line. Es muy interesante el uso de las variables, como por ejemplo nombre, para personalizar aún mas el mensaje.
Os recomiendo leer la documentación oficial al respecto, ya que lo explica muy sencillo, y así mi conciencia queda tranquila xD.  aquí.  

Como veis, es una hora como mucho, podemos montar el framework, configurarlo y preparar una plantilla al gusto del consumidor, y empezar a analizar qué pasa en nuestras organizacoines con las políticas de correo.

Espero que os guste la herramienta, el post, y que no empecéis a mandar correos a vuestros empleados con oferta de Viagra.
gracias  !!!!

  


Be a criminal my friend...pentest version .

El motivo de esta pequeño post es el de comentar ciertas impresiones que intercambie con un "futuro posible no cliente" de una auditoría de seguridad. 99% de que no acepte el trabajo propuesto, pero de esa reunión salieron cosas muy curiosas que merecen la pena comentar, y sobre todo, yo he aprendido bastante de como enfocar estas reuniones, o como no enfocarlas.
La reunión aparentemente era sencilla. Era un posible trabajo para una empresa con unos 300 trabajadores, una sede principal, y unas 8 delegaciones pequeñas, de unos 3/4 equipos. En ella estaba la persona de RRHH, el jefe de informática y el gerente, principal interesado en el asunto. Ya de primeras, a pesar de mis intentos de ser condescendiente con la misión crítica del responsable TIC, empezó siendo muy negativo. Los primeros instantes de la reunión me dedique a engrandecer el esfuerzo del departamento por la seguridad, y que la auditoría de seguridad no se centraba solo en aspectos técnicos, y que las deficiencias técnicas eran habituales por el "día a día" del departamento y el clásico "apagafuegos" y poco tiempo para el análisis y control.
El informático no paraba de "asegurar" (valiente ignorante... xD) que la empresa tenía un firewall perimetral mega guay ( creo que incluso era rosa !!!) y que su empresa contaba con todas las medidas técnicas oportunas. Otro argumento "de peso" fué el que en xx años de actividad, nunca habían tenido un incidente de seguridad, etc etc.
Una vez que comprendí que el trabajo iba a ser casi imposible de firmar, ya que la organización confiaba 100% en su director TIC decidí cambiar la estrategia, y ya que el gerente era el interesado, y estaba todo perdido, decidí "vacilarles" un poco, enseñando alguna de mis cartas ocultas, y además gratis.
Les comenté las típicas cuestiones que se comentan en estas reuniones. Pero decidí atacar donde mas le puede doler a un informático frente a un gerente moderno ( acostumbrado a políticas de calidad, procesos y esas palabras tan guays) el proceso y la ingeniería social.
En la ciudad en la que vivo hay una empresa que se encarga del despliegue de las ADSL de Telefónica ( este cliente usaba este ISP) y que casualmente tengo a dos personas de plena confianza trabajando allí. Le comenté que qué ocurriría en su empresa, si usando la dulce voz de mi querída mujer llamaba para informar, en nombre de telefónica, que estaban detectando perdidas en la señal de uno de los routers y que a lo largo de la mañana irán a reponerlo... Pero no en la sede central, donde está el informático, sino en una de esas sedes pequeñas, que NO TIENEN UN FIREWALL DE MAS DE 100 euros, es más, que no tienen firewall. Llego a las 13:45 con el uniforme de la empresa mantenedora, y les coloco un router pre-configurado. Además, por si está el informático, le dejo un router Cisco bonito y "caro". Como he hecho mi trabajo previo ya tengo ip´s internas gracias al e-mail, y abrir un puerto hacia ese pc, y habilitar un usuario en el router tal cual...
También les comenté que qué pasaría si compro 20 usb, los preparo para el hackeo, y los disemino por la organización. Está claro que aparte de unas fotos de mujeres ligeras de ropa, preparo algún pdf llamado "plan_regularizacion_personal_despidos_2013".¿Cuanta gente los abriría? En el mejor de los casos que la empresa tenga un antivirus, lo tendrá actualizado? ¿Permitirá la interacción del usuario?.
También les comenté que qué pasaría si envío un correo a todos los buzones, con el mismo pdf suculento, y en la dirección de origen aparece una dirección "legítima" de la empresa rrhh@dominiodelaempresa.com.
Les comenté que si bien la seguridad en la sede central estaba bien enfocada, o no... me iba a las delegaciones pequeñas a ver si por descuido, había algún router de telefónica con vulnerabilidades conocidas, o simplemente con el wi-fi por defecto...
Les comenté la posibilidad de falsear una candidatura perfecta para los puestos que constantemente publicaban en la web, y me presentaba en la entrevista con titulación falsa, o simplemente con la escusa de que los títulos están siendo compulsados... o cualquiera milonga. No sé si me contratarían o no, pero seguro que yo encaminaría la reunión a que me gustaría visitar la empresa un par de días, para ver el trabajo que realizaban en el departamento concreto, y que sin ningún compromiso, me gustaría analizar que puedo aportar como candidato al puesto, blablabalbalba.
Le comenté la posibilidad de usar un perfil falso de facebook/badoo/msn de una chica atractiva, pero normalita, y hasta donde llegaría la insinuación con algún empleado de los que ya tenía información previa gracias al escaneo pasivo...

IMAGINAROS LA CARA DE LA PEÑA !!!! Por cada ejemplo que les comentaba, alucinaban más. No me lo dijeron a la cara, pero seguro que pensaron que yo era un criminal, y que ni de coña iban a acceder a que una persona como yo trasteara en su información corporativa.
Creo que entendieron perfectamente que la visión ofensiva y criminal en un asunto como este es primordial, ya que cuando un juacker sentado en su sofa en China, Rusia, o cualquier otra parte del mundo, carece de ética, y si sus intenciones son oscuras, empleará estos métodos, y muchos mas, para conseguir su objetivo.
Todo este "despliegue social" no me costaría mas de un par de semanas organizarlo y depurarlo, y me aventuro a decir que con mucha probabilidad, alguno de estos vectores de ataque social conseguiría accesos privilegiados o simplemente un "pivot point" para vulnerar su mega-seguridad. En todo momento respeté que tenían un mega firewall bien configurado, para que entendiera que LA SEGURIDAD ES UN PROCESO CONSTANTE que requiere revisión, y no es cuestión de comprar unas licencias o un servicio a una empresa.

Espero que me comentéis que opináis al respecto, que "movidillas" como estas os han pasado en clientes incrédulos, o que otros vectores de ataque "social" se os ocurren. Yo mientras voy a terminar de escribir un par de artículos sobre phising y usb attacks que me llevan loco estas semanas.
gracias por leerme. !!!

miércoles, 1 de agosto de 2012

Cosas gratis de Microsoft? Port Reporter.

Microsoft, el mal !! Bill Gates, el demonio !!! Que tiempos aquellos... Ahora Microsoft MOLA !!!.
Ya hablamos en este humilde blog de un par de productos gratuitos de Microsoft, el antivirus domésticos y para pymes MSEssentials y MBSA para analizar las actualizaciones de seguridad de nuestro dominio.

Hoy toca mencionar una herramienta super interesante, al menos para mi, que es Port Reporter. Una herramienta para registrar el tráfico TCP y UDP, al estilo de los firewall´s.
 Tenéis toda la información en detalle de lo que hace, y como lo hace en el link oficial de Microsoft. Si implantáis esta herramienta, recordar las recomendaciones de securizar la carpeta al máximo mediante permisos NTFS, e incluir el fichero log´s en nuestros proceso de backup.
 Sin duda, una herramienta básica y ligera para el proceso de auditoría y control diario. Recomiendo también que os leáis y uséis Port Reporter Parser para visualizar correctamente el fichero de log´s, a no ser que seáis masocas y tireis de Kettle o Analysis Services para formatear el fichero xD.

Disfrutar de esta herramienta gratuita, y tener en cuenta que si usas el pc-windows para "cositas" de hackers, o seguridad, y tirais cientos, miles, millones de conexiones de red, el log crecerá crecerá crecerá hasta quitaros la vida... del disco duro.. xD


Gracias por leerme.

Seguridad básica Iphone/ipad. No técnico.

Estas pequeñas recomendaciones de seguridad son para todos los usuarios de sistemas IO´s de la famosa Apple, como son iphone e ipad. No es necesario aclarar que dada la cantidad de información que manipulamos en estos dispositivos, se hace necesario el uso de estas sencillas técnicas de protección ante "desastres" tales como perder el dispositivo.

Lo primero es habilitar el bloqueo con código, y deshabilitar el código simple, para que en vez de pedirnos 4 dígitos, nos permita una clave mas larga, al estilo de nuestras "mega-passwords" de root y administrador :-).

Una vez habilitado el código, sería recomendable activar el borrado de datos tras 10 intentos fallidos. OJO con esto, si tienes niños por tu alrededor, que intenta por todos los medios "hacker" el teléfono del padre...

Habilitar Find My iPhone/iPad para poder localizar el móvil por perdidas, habilitar clave en remoto, si no me habéis hecho caso en el primer punto, borrado remoto de datos, etc.

Habilitar el cifrado en el backup de Itunes en el sobremesa que usamos para sincronizar. Esto es muy importante, si no quieres que algún "experto forense" en IOS destripe toda tu información, incluida la geolocalizacion de tu iphone, meses atrás...

No me gusta la playa... xD



















La última recomendación, y quizás la mas evidente, actualiza tu dispositivo !!!. Por todos es sabido lo numerosos fallos de seguridad apple y tener el "cacharro" sin actualizar, y venga instalando aplicaciones es muy peligroso. Por supuesto que también debes actualizar las aplicaciones instaladas.

Una recomendación de seguridad, esta vez física, usa una funda !!!!! esta recomendación, si te sobra el dinero, no la sigas :-).

Saludos.