martes, 31 de octubre de 2017

Crawling DIrectorios web. Un buen diccionario.

Estimados amigos de Inseguros!!!

Una de las principales acciones que llevamos a cabo en los procesos de auditoría y test de seguridad es la de enumerar los activos que tenemos para atacar.

Lo más "guay" es encontrar un servicio y empezar a buscar la manera de reventarlo, pero hay que se metódico y realizar todas las fases del test de manera ordenada para no dejar nada en el tintero.

Es habitual enumerar los servidores web en busca de aplicaciones, pero no siempre accedemos a http://ip y aparece la aplicación. Según esté configurado el servidor web, los vhosts...


El crawling web consiste en recorrer una web, en hacer n peticiones a la web hasta encontrar el recurso. Las peticiones las hacemos en base a una lista. A diferencia del spider, en el crawling dependemos de la calidad de la lista. Con spidering simplemente recorremos las etiquetas del html buscando enlaces. Bueno, el fichero sitemap.xml si existe, robots.txt... depende de la herramienta.

El fichero que os traigo es una base del fichero de Dirbuster Medium un poco tuneado con el paso del tiempo y de varias auditorías. Hay muchas palabras en español de las que nos encontramos en la auditorías, típicos nombres de departamentos, proyectos, cms y demás.

El fichero lo puedes manipular haciendo pequeños cambios. Por ejemplo, imagina una situación en la que el proyecto web contiene elementos de objetos espaciales, o que el director de proyecto suele usar nomenclaturas de este tipo. Podemos juntar el fichero base de directorios con una lista descargada de Internet.

cat origen.txt origen2.txt > destino.txt

Podemos ponerlo todo en minúsculas.


cat origen.txt | tr [:upper:] [:lower:] > destino.txt

Podemos eliminar duplicados.

cat pass.txt | sort | uniq > pass-no-dulplicados.txt

Y con esto, si eres necio en bash como yo, tendrás una chuleta perfecta para poder manipular tus ficheros de crawling.

Que fichero usas tu? tienes alguno interesante?

Gracias por leerme !!!

martes, 17 de octubre de 2017

Señor panadero, gracias por contarme lo del Wpa2 !!!

Estimados amigos de Inseguros !!!

Voy a comentar algunos pensamientos que se me pasan por la cabeza durante estos días.

Realmente llevo tiempo con ellos, pero en estas ocasiones tan especiales de famoseo e intrusismo de los medios me salen a flor.


Hablo del populismo de los medios que se ha generalizado con la seguridad informática.

Creo que el famoso Wannacry ha hecho mella de una manera en las empresas como no se esperaba, o eso percibo...

El mismo día del incidente el "negocio" creció como la espuma. Muchos, muchos, muchos clientes, contactos, amigos y familiares se pusieron en contacto conmigo para asesorarlos sobre el incidente.

La semana siguiente pintaba bien, seguía el tema "de moda", algunos presupuestos, algún cliente concienciado en un poco de gasto de seguridad, eso, pintaba bien.

Nadas más lejos de la realidad, al menos de mi realidad cercana, las empresas SIGUEN sin invertir en seguridad. Puede que puntualmente hagan alguna inversión, dejándose aconsejar por algún vendedor de tres al cuarto, gastando 1.000 € en licencias de antivirus, 2.000€ en algún firewall físico, pero ahí queda la cosa. Eso en el mejor de los casos !!! la inmensa mayoría de las empresas siguen con el suspenso total, y en esto les va la continuidad... pero no lo ven así... Ni con el famoso Wannacry y el negro en antena3...



Esta semana comenzaba con WPA2. No voy a entrar para nada en detalles del ataque, ni en ninguno de los CVE, papers y demás informaciones que han salido, me voy a centrar en lo que estoy, en los medios.

Como dice el título, hasta el panadero que no sabe a qué me dedico, o igual sí, me habla del WP2. La culpa de esto la tienen medios televisivos nacionales, locales, periódicos y periodicuchos y ya las redes sociales. 

Vamos a ver amigos. El último CVE del WPA2 es CVE-2017-13088. Esto significa a que en 2017 llevamos 13.088 fallos de seguridad en distintos productos, de más o menos uso, clasificados por este sistema. MUCHOS otros productos o componentes no registran los fallos en el CVE y simplemente parchean. Recuerda las actualizaciones de Windows de todos los meses, las mayoría son de seguridad. Así con las del tu teléfono de manzana, de Android o cualquier dispositivo que usamos.

La manera de medir la "importancia" de la seguridad o del fallo no es solo la popularidad del sistema vulnerado, sino la facilidad por perpretar el ataque, el vector de compromiso del ataque, el tiempo que va a pasar desde que el fabricante haga el parche, la facilidad para que ese parche sea aplicado, etc.

Para el caso de WPA2, la mayoría de los fabricantes ha parcheado ANTES de que aparezca la herramienta que usa el fallo, el famoso exploit. Si sigues las recomendaciones  de seguridad de HACE 20 AÑOS, actualizas tus sistemas regularmente, y no pasara NADA con WPA2.

Volvemos a lo que hablaba, a los medios. Cómo ha repercutido esto en mi negocio? En la ciberseguridad? Aparte de clientes preguntando y preocupados, no se si has vendido más Access Point de "los buenos" en vez de los de oferta. O no sé si has recibido más trabajo de auditoría Wifi para que el cliente se quede tranquilo. De cara a la seguridad, creo que el "caso WPA2" solo ha dado más follón que beneficios, tanto al mercado de la seguridad como a la ciberseguridad en sí, ya que el investigador ha hecho un muy buen trabajo de investigación y sobre todo de revelación responsable. BIEN HECHO !!!

Creo que el caso wpa2 ha sido como Poodle. Después de Heartbleed y lo bien que lo pasamos, llegado Poodle, que parecía pero no era...

Al final veo que hay más gente queriendo sacar pasta por la seguridad.

Hay más gente trabajando en seguridad, pero con cifras de junior de sistemas.

Las grandes empresas quizás si estén aprovechando el tirón, porque le das argumentos a sus cazadores de clientes, a los comerciales.

Para autónomos como yo o pequeñas empresas que concentran sus activos en profesionales, en técnica, en su buen hacer, en sus ganas y pasión, a estos casos no les favorece en nada estos casos mediáticos infundados, indocumentados, y que al final solo hacen que esto llegue al caso del lobo, que tanto llamar al lobo, cuando venga no le vas a hacer caso.


No me mal interpretes, pero no me importa si el fallo es mayor o menor, si tal o si cual, si esto o lo otro, no estoy hablando de eso, estoy hablando de la moda de la seguridad y de lo que eso repercute en mi día a día.

Quizás el caso Wpa2 sí de problemas, o nuevos ataques circundantes, yo que se !!! pero lo que si se es que hay mucho medio desinformado que se apunta a la moda y solo crean falsos "lobos". 

Gracias por leerme !!!
Related Posts Plugin for WordPress, Blogger...