jueves, 29 de diciembre de 2016

README.TXT---Feliz navidad-año amigos !!!

Estimados amigos de Inseguros !!!

Cuando llegan esta épocas es lógico que hagamos reflexiones sobre como nos ha ido este año, estos últimos 365 días que nos marca el calendario gregoriano este que tenemos ( es así).

Yo tengo la costumbre de contar el dinero que tengo ahorrado por casa, por lo que he acabado en 20 segundos y he decidido escribir este post para acordarme un rato de vosotros y echar el ratico.  :-)

Este año ha sido bueniiiiisimo !!! casi tan bueno como el anterior, o el otro, o aquel que besé a la primera chica. También me gustó mucho el primer año que trabajé de informático. El año que conocí a mi mujer... Al final, siempre tengo bueno recuerdos y los malos los oculto o aparco, no se, cosas del cerebro, yo de INTELIGENCIA NO ENTIENDO :-)

Si quiero destacar que un año más sigo en la gran empresa de antivirus Eset, la mejor de del mundo mundial, a pesar de las fiestas que se pegan los colegas y porque no, las risas que se meten a costa de unos pobres...




Gracias amigos por reíros de mi, eso es que me queréis !! xD.

En lo personal mi vida va por los caminos que voy marcando. No me puedo quejar de mi perdida de peso, esto correspondía al cambio de milenio. Mi aumento de peso tampoco es problema de ninguna conspiración y gracias a dios a ninguna hormona, por lo que tampoco me quejo. Mi familia bien, gracias.

Otro año más que he podido asistir a conferencias y reuniones de amigos y desconocidos-ahora-conocidos en las que siempre me han tratado bien. A las que no he ido ha sido porque ellos no han querido (TOC TOC). La mejor sin duda de este año para mi , Qurtuba. Buen ambiente, buenas charlas y una comida... UNA COMIDA !!! xD Como últimamente pasa, el clan cordobés se lleva la medalla de ORO.



Otra medalla distinta fue Navaja Negra. Un sitio en el que me siento como en casa. En Albacete pronuncian la ESE, pero nunca te señalan (MIRA ESE...) y siempre siempre encuentro a mis admirados amigos allí. Faltó mi lider espiritual, pero bueno, se lo perdono si me invita a su barco este verano.

La medalla de honor en las conferencias se la lleva Paella, PaellaCON. Esto si que fue una reunión de amigos haciendo lo que nos gusta...comer xD... y un poco de hacking. Gracias Yolanda y equipo por tu enorme esfuerzo tanto con este proyecto como con Palabra de Hacker, el cual tambien tuve el honor de "molestar" con mis cosas. GRACIAS DE CORAZÓN.



Otro más...



El espacio de Mundo Hacker en Kinepolis también me gustó, lo que no me gustó es que en las salas menos importantes no nos presentaran, ni se emitieran los vídeos, ni que hayas prácticamente referencias a esas dos salas. Así no !!!

La charla en OverDrive Conference en la maravillosa ciudad de Girona me gustó mucho y sobre todo aprendí de los grandes profesionales que en ella convivimos. Gracias a todos !!!.

Quiero también apuntar que intenté participar en SecAdmin, CyberCamp y CCN-Cert y no tuve el placer de ser aceptado. Quizás el año que viene lo intente con mejor material, o quizás no, pero creo que es bueno aprender de los pequeños "fracasos" y siempre intentar mejorar.

 He podido participar como ponente en otras reuniones, mas de empresas, o colectivos no técnicos, haciendo trabajo de divulgación. En estas charlas me lo he pasado también muy buen. Siempre intento disfrutar.












He conocido en persona a las personas con las que "convivo" en la redes sociales y me congratula pensar que son mejores aún en real que en digital xD. Envidio a los Franes de León y Granada por sus tierras frías y a Jesús por sus tierras calientes. Pedro y Rafa irán aún con camiseta por Huesca, pero su calor humano lo compensa. 

La mayoría de mis amigos siguen creciendo, evolucionando, aprendiendo, muchos me sorprenden como me "vapulean" en conocimientos. Hay por ahí alguno que me tiene disgustao y preocupao porque no sigue, VAMOS !!! estudiar estudiar estudiar.

En el blog he tenido un incremento de visitas considerable, fruto de mis paseos por toda España y mis técnicas de Jedi de persuasión. Visítame...

Me han gustado mucho estos artículos:


Cuando les hablo a mis hijos de las visitas, de que pronto el blog va a tener 1.000.000 de visitas, pues como que no les sorprenden. Me remiten al Rubius y sus tropecientos de millones de visitas, pero seamos sinceros, ni yo soy el Rubius, ni vosotros leéis este blog por placer... xD. Gracias a todos por cada una de las visitas y comentarios que me hacéis. 

Para este año 2017 sigo en el mismo camino. Intentaré compartir mi escaso conocimiento con vosotros en charlas, eventos y en el blog. Espero crecer profesionalmente con un contrato de 5 o 6 cifras, o al menos, que me quede como estoy. Prometo perder peso (juassssssssssssssssssss) vale prometo apuntarme al gym xD y ya veré si voy.

Lo más importante de este post, aparte de que repases los artículos por si alguno no lo conocías, es mandaros una gran muestra de cariño a todos los que estáis ahí. 

A pesar de ser un tío "echao pa alante" y aparentemente fuerte, a lo largo de los días hay momentos en los que una de vuestras palabras o gestos levantan el ánimo y se agradece, se agradece de corazón.

Muchas gracias amigos por estar ahí !!!








viernes, 16 de diciembre de 2016

Boletines de seguridad de Microsoft cambia a mejor. API Rest

Estimados amigos de Inseguros !!!

Actualizaciones !!! el caballo de batalla de todos los administradores. Cientos de historias de actualizaciones de Windows que rompen el sistema. Cientos de historias de vulnerabilidades explotadas por no actualizar un sistema. Cientos de manuales de como centralizar las actualizaciones con WSUS o similares. Que más hay que decir...

Segundo martes de cada mes salen las actualizaciones importantes de Microsoft, esto lo sabemos todos ya desde hace tiempo no?. Antes de aprobar las actualizaciones en servidores en producción se recomienda realizar un test en algún entorno de pre-producción, o al menos, leer los boletines de seguridad que Microsoft publica con la descripción de la actualización, el fallo que soluciona, los componentes que "toca" etc. Hasta aquí bien, todos lo hacemos... xD.



La gente de Microsoft va a cambiar un poco el concepto de boletines de seguridad pasándolos a integrar en un nuevo portal con mas posibilidades para el usuario.

El portal es accesible desde esta url https://portal.msrc.microsoft.com/en-us/. En esta práctica vamos a usar la api rest para pedir el conjunto de actualizaciones del mes y obtener un fichero XML.

Para entornos medianos/grandes en los que se practica un ITSM basado en algún estándar como Cobit o Itil, el control de cambios es indispensable. Mediante esta api podemos programar nuestras herramientas de KB para modificar los CI de todos los elementos que actualizamos con la información concreta del cambio, algo muy interesante para completar toda la documentación del departamento. * Si no entiendes alguna sigla, olvídala, jerga de corbata *


El proceso es sencillo, generamos una api key vinculada con un usuario y ejecutamos el webservices consumiendo los datos, de la manera que más nos interese, Powershell, Php, Curl, Java, C#...

curl -v -X GET "https://api.msrc.microsoft.com/cvrf/{2016-Nov}?api-version=2016-08-01" -H "api-key:2d455***********041fa64c913e"

Con esta información obtenemos un xml manejable a nuestro gusto.

NOTA DE AYUDA PARA USUARIOS NOTEPAD ++

Si como yo usas Notepad++ para leer/Escribir ficheros grandes, veras que al cargar el fichero XML este aparece desconfigurado. No tiene el formateo que esperas de etiquetas abiertas/Cerradas  y demás.

Para ello, mediante el asistente de plugins podemos cargar un plugin para manejar el XML que nos formateo el texto de un modo más gráfico para el ser humano, como tu y yo :-).




FIN DE NOTA DE AYUDA PARA USUARIOS NOTEPAD ++

Espero que os sirva de ayuda esta pequeño cambio en la información de actualizaciones de Microsoft y el consejo para Notepad.

Gracias por leerme !!!

sábado, 3 de diciembre de 2016

Honeypots XVI. Los honeypots no sirven para nada, larga vida a los honeypots...

Estimados amigos de Inseguros !!!

En este episodio de hoy vamos a hablar de Honeypots !!! Siii ,no es el primero que publico, creo que llevo ya 15. Puedes leerlos desde esta búsqueda. Todos los artículos de Honeypots en Inseguros.

Cuando uno quiere aprender sobre una materia, yo siempre aconsejo que lea. No que lea esta u otra página. Esto puede servir para ahorrarte un tiempo, para entender un proceso, o para seguir un procedimiento concreto, pero los libros son los libros. Si quieres introducirte DE VERDAD en el mundo de los honeypots, tendrás que leer los clásicos. Para mi, estos son:
Honeypots: Tracking Hackers
Honeypots for Windows.
Know Your Enemy
Virtual Honeypots

Como es normal, todo el material vale. Recuerdo la primera Navaja Negra con Pedro Candel y su magistral introducción a los Honeypots.

Otra persona que le ha dado mucha cera a esto es mi lider Fran. Un tipo humilde que tiene un gran recorrido en esta materia. Quizás sea de los pocos que conozco que realmente le saca provecho a todo esto. GRANDE  FRAN !!!

Siempre que leo post sobre honeypots, aparece el típico manual de Kippo, un honeypot para SSH y una breve aproximación del autor.

La finalidad de los honeypots siempre se menciona, pero luego en las implementaciones o usos que se le dan detecto que se usan como meros recopiladores de direcciones ip de "atacantes", un IoC con muy poco valor. Siempre lo digo en mis charlas sobre Threat Intelligence, una IP no es un dato muy relevante, y mucho menos si es un "ataque" de hace 1 mes... También podríamos discutir un poco de si un portscan es un ataque. Yo prefiero cortarlo y banear un rato por si acaso, al igual que si detecto un user-agent peligroso, pero realmente la información que se obtiene con este tipo de implementaciones es poca.

Que hay bots recorriendo el espacio ipv4 en busca de vulnerabilidades, es muy conocido, basta con tener los sistemas actualizados y listo. Me dirás que te pueden servir para detectar nuevos ataques y zero days, un clásico en la berborrea de las funcionalidades de los honeypots, pero si tienes un honeypots con un ids (basado en firmas CONOCIDAS) y miles de ataques, algunos los detectará el IDS, otros no, ahí van los zero days, y yo me pregunto, vas a revisar todos los logs y capturas de red para detectar ese ataque? Como discriminas los ataques conocidos al Tinymce de Wordpress con nuevos ataque? DIFICIL.

Otra de las "bondades" que leo para usar los honeypots es la distracción. Yo me pregunto, si tienes un servidor por el mundo con un puerto 22 abierto o un web server, que NO tienen vinculación con tu organización o empresa, no estás distrayendo a nadie. Estás recopilando ataques NO DIRIGIDOS con poco o ningún valor. Algo de valor tienen, pero cualquier blacklist que manejes medio decente tendrá estas direcciones, y lo dicho, son ataques muy conocidos y detectados por las soluciones de seguridad.


Para detectar ataques dirigidos debes usar herramientas de seguridad "de verdad" como un SIEM que detecte que tienes un ataque de fuerza bruta, desde la red tor, a varios sistemas ssh de una organización con varias ip públicas, y que está usando un diccionario fragmentado en el que la ip1 se prueba con claves de la A  la F, la ip2 se prueba con claves G a M y así sucesivamente, por decir algo....

Después de esta aproximación, llanto, queja o como quieras llamarlo, vamos a hacer algo interesante para mi con un honeypots. En un entorno de pruebas, voy a instalar un servidor web con Modsecurity y voy a redirigir el tráfico malicioso hacia un honeypot. De esta manera SI que estaré distrayendo la atención del atacante ya que el tiempo que invierte en atacar al honeypot lo puedo usar para investigar COMPLETAMENTE sus movimientos.

Lo importante de esta aproximación es que el honeypot debe estar completamente capado a nivel de red del resto del entorno de producción. Yo voy a usar un mismo sistema por comodidad, pero debería ser equipos distintos.

Lo único que voy a hacer es meter una regla básica que detecte un user-agent concreto, en este caso Nikto, y que me haga un redirect a Google:

SecRule REQUEST_HEADERS:User-Agent "Nikto" "phase:1,id:1,log,redirect:http://www.google.es"

--9935a602-A--
[03/Dec/2016:19:51:41 +0100] WEMUPX8AAQEAABu53GIAAABE 192.168.1.242 54461 192.168.1.206 80
--9935a602-B--
GET /administrator/ HTTP/1.1
Host: 192.168.1.206
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36 nikto
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: es-ES,es;q=0.8
If-None-Match: "61-542c580c7d636-gzip"
If-Modified-Since: Sat, 03 Dec 2016 18:48:40 GMT


--9935a602-H--
Message: Access denied with redirection to http://www.google.es using status 302 (phase 1). Pattern match "nikto" at REQUEST_HEADERS:User-Agent. [file "/etc/modsecurity/modsecurity.conf"] [line "226"] [id "130"]


Entonces, tenemos un webserver en producción, con mod_security y este tipo de reglas. Tenemos otra máquina honeypot con tcpdump o similar corriendo. Si quieres meter ahí un IDS me parece bien, pero lo interesante es el contenido completo del tráfico.

Una de las cosas que tenemos que hacer es jugar con la opción EXEC de las reglas para ejecutar comandos. Sería una buena idea redirigir TODO el tráfico de la ip de origen hacia el honeypot, no solo mediante el redirect a nivel http, comprendes? Me explico:

Si el mod_security detecta un "ataque" en base a una regla, por ejemplo, que has buscado el directorio /administrator/ de un Joomla, podemos hacer el redirect comentado. Imagina que el atacante sigue buscando información pero usa un "zero day" o algo que el Waf no detecta, como no se ejecuta ninguna regla, se procesaría contra el servidor en producción. Si previamente hemos hecho un redirect a nivel TCP/IP en el firewall, TODO el tráfico del atacante pasará hacia el honeypot. Una manera de redirigir el tráfico una vez hemos obtenido la dirección ip del atacante es mediante este sencillo procedimiento. para el caso de iptables. Esta acción debería hacerse en el firewall que hay delante del webserver, por lo que si es un vps o servidor publicado no hay problema. Si es una DMZ de una empresa, deberíamos hacerlo a nivel del firewall perimetral, no del instalado en el webserver...

**********PEGAS: Cuando usamos la opción EXEC de mod_security podemos usar cualquier lenguaje instalado en el servidor, pero si queremos recoger una variable del log, como en el caso mencionado, la dirección ip de origen del ataque, debemos usar el lenguaje LUA. Esto complica un poco el asunto.
Yo en mis despliegues suelo tener un script.sh "baneador" que pasandole un parámetro IP, se conecta por ssh al firewall y mete la ip en una blacklist. Esto lo puedes hacer en cualquier tipo de firewall. Sin embargo, programar eso en LUA me cuesta. Qué hago? Escribo en lua un log en un fichero, y con eso, ejecuto el script con la ip. Poco elegante pero funcional. Sería algo así...

function main()
 local remote_addr = m.getvar("REMOTE_ADDR");
        if remote_addr == nil then
                return nil
        end
     local log_file = "/var/log/ñampazampa/modsec_full.log"
        file = io.open(log_file,"a")
        file:write("IP: "..remote_addr.."\n"..")
        file:close()
os.execute("/var/scripts/router_ban.sh "..remote_addr.."'")
end

*******

Podemos "jugar" con la opción de redirect con distintas aproximaciones. Por ejemplo, vamos a hacer una redirect para un recurso concreto si no es de la ip designada:

SecFilterSelective REMOTE_ADDR “!192.168.1.2” chain
SecFilterSelective REQUEST_URI “/wp-login.php” log,deny,redirect:http://www.google.es

Un detalle importante, si controlas el acceso desde httaccess con user-agents, direcciones ip, extesiones o directorios, no se procesa la regla en modsecurity y no se ejecuta el redirect.

Si queremos hacer el redirect con algún tipo extensión podemos hacer algo así:

SecRule REQUEST_LINE "@rx .php" "log,deny,redirect:http://www.google.es'"

No controlo mucho más ModSecurity ni esto es un tutorial al respecto, pero el concepto de introducir el Redirect tanto a nivel conexiones como a nivel http me parece muy interesante para usar con honeypots para realmente distraer y aprender, cualificar un poco más los ataques, y sobre todos, aquellos dirigidos hacia nuestras infraestructuras.

Ahora nos vamos a poner un poco en plan golfo. En España es ILEGAL atacar a nadie, aunque este te esté atacando a ti, pero qué pasaría si ponemos de señuelo un fichero exe con un malware, meterpreter o similar? Que pasaría si hacemos lo mismo con una macro y un password.doc? Sería la risa detectarle el tipo de router y meter un CSRF pero todo esto es Ilegal. Aprovecho tambien para decir que si tu pones un honeypot para que te ataquen, y te consiguen vulnerar el sistema, la ley no te ampara. La ley nunca nos ampara !!! pero al haber incitado al "delito" lo mismo el que te metes en un lio eres tu.

Lo más sencillo y solo para esta prueba, es hacer una redirección al atacante hacia BEEF, un framework de explotación web que mediante un script "secuestra" el navegador para realizar distintas bondades.


Esto sería un claro ejemplo de atacando al atacante :-)

Gracias a todos por leerme !!!


PD: Este artículo se lo voy a dedicar a Sauron, el señor que todo lo ve. Para mi es una persona de las mas valiosas que hay en este mundillo. Siempre me ha tratado como si fuera importante, me hace sentir importante. Esta cualidad solo la tiene la gente IMPORTANTE de verdad. Gracias por todo. Espero que te guste !!!