martes, 22 de enero de 2013

BiLE Information Gathering.


Como todos sabéis, realizar todas las fases descritas en la literatura en el proceso de auditoría de seguridad o test de penetración es la forma correcta de operar.

Uno de los aspectos a tener en cuenta ( nuestro trabajo !!) es delimitar la superficie de ataque de la empresa.
Es evidente que la aplicación web publicada en internet es un objetivo primordial.
Pero... imaginaros una empresa, que comercializa varios productos, varias marcas, y tiene aplicaciones web distintas para cada una de las marcas.
Puede que no sea tan obvia encontrar la relación entre la empresa que auditamos, y todas sus aplicaciones web. Puede que unas estén en un hosting, otras en otro, unas tecnologías, idiomas etc.
Puede ser, que si no guardan relación entre si, no aparezcan enlaces visibles entre ellas pero... y si comparten un fondo documental? y si comparten una ubicación para imágenes?
Sería interesante una herramienta ligera que auditara los links de un sitio web. Hay muchas !!!

Hoy os comento la aplicación BiLE suite de SensePOST.

Para correr estos scripts, necesitaremos instalar HTTrack ( hablamos de el y su  GUI aquí.)
En sistemas Backtrack con un apt-get install httrack es más que suficiente.
Descargamos el script BiLE y lo ubicamos en una carpetica simpática. ( perdonar los linuxeros: recuerda dar permisos de ejecución a los scripts que te bajas).

Vamos a probarlo con el blog de un amigo mio denominado señor "k" xD .(Caceria de spammers)

Ejecutamos el script, con los parámetros URL y nombrefichero.
Empieza Httrack a descargar las páginas en busca de "regalos" tipo href xD.
 Una vez terminado el proceso( recuperar links de páginas linkeadas tarda su tiempo) abrimos el fichero de resultados. Crea dos ficheros y varios directorios de trabajo temporales para el Httrack, vamos a abrir el acabado en *.walrus.
Que buen gusto tiene este hombre con los enlaces !! xD
En el caso contrario, los links que ha encontrado, digamos en los links "destino".
Bueno, ahora tenemos un chorro de páginas web´s. Qué hago yo con eso? Vamos a darle un "peso" o importancia con otro script de la suite BiLE-weight.pl parámetro URL y Fichero.mine
Hay que cambiar un parámetro en el script para usar sort, dejándolo tal que así.

cat temp | sort -r -t ":" -k 2 -n > @ARGV[1].sorted`;

La ordenación la tenemos en un fichero denominado *.sorted con el peso/importancia atribuido por la gente de Sensepost y su algoritmo de ordenación. Ya que estáis revisando el código, podéis ver como se pueden añadir algunas excepciones a tener en cuenta a la hora de darle peso a las relaciones de links, como puedan ser el sr. google, el sr. facebook, etc. **quizás debería haber empezado el post con esto...***


Espero que os gusten estos scripts que seguro muchos ya conocíais, y que le deis el uso correcto o no, que vosotros queráis.

Como siempre, gracias por leerme.



sábado, 19 de enero de 2013

Entrevista al Sr. Adastra !!! THE HACKERWAY

Hoy os traigo una entrevista que llevaba tiempo en mente, y que por fin sale a la luz !!

Tengo que decir que con mis anteriores entrevistas, Longinox y Sr. Nolla eran gente que "conocía", y que sin duda se me hizo mucho mas fácil documentarme para preparar la entrevista.

Bueno, no os dejo mas en ascuas, la entrevista de hoy es para el señor @jdaanial propietario del blog thehackerway.com, y sin duda, uno de los gurús hispanos en el mundo de la seguridad y los sistemas.



Las malas lenguas dicen que eres de Madrid. A los lectores del blog sin duda les gustará saber donde o como desempeñas tu labor profesional...

Si, las malas lenguas están en lo cierto, vivo y trabajo en Madrid (para lo bueno y lo no tan bueno). Trabajo en una empresa de "Consultoría y servicios informáticos", una empresa, cuyo nombre se ha asociado a terribles tormentos, calamidades, comportamientos sectarios y hasta brujería! (y alguno que otro dolor de cabeza) XD por ese motivo, prefiero no mencionar su nombre.
Mi trabajo allí, consiste principalmente en el desarrollo de aplicaciones, así como también algunas actividades de pentesting al final de cada desarrollo (cuando a los de "arriba" les parece bien). Sin embargo, profesionalmente hablando, para mi es mucho más entretenido y gratificante otras actividades que desempeño como profesional independiente, completamente enfocadas al área de "exploit researching".


Deduzco por lo que he podido "oler" en Google, que eres... aparte de un sysadmin del 500, un programador Java? Programación, sistemas, redes... algún palo preferido? alguno odiado?

Me he dedicado a la informática desde que tengo 15 años y siempre he sentido mucha curiosidad por saber como funcionan las cosas, cada vez que avanzaba un poco, me encontraba que para entender como funcionaba "algo", siempre tenia que saber algo de sistemas, redes, lenguajes de programación y tenia que ir "más allá" (por eso mi nick), así ha sido desde entonces y hoy en día, no tengo alguna linea de profundización preferida, me gusta todo lo que puedo aprender! XD

Creo que eres usuario o has usado Nessus. Que opinión te merece esta aplicación? prefieres algún otra "suite" de análisis de vulnerabilidades?
 
Es una herramienta que en mi opinión, es excelente y un buen recurso dentro del "arsenal" de un pentester, aunque hay muchas otras herramientas que sirven, básicamente para lo mismo... Nmap, OpenVas, plugins y módulos en Metasploit, NeXpose, etc, etc... Sin embargo, hay una herramienta que siempre tiene que estar incluida en el trabajo de un pentester: "la creatividad" y es algo que muchos olvidan, el hecho de que Nessus no encuentre vulnerabilidades obvias o que tampoco se encuentren utilizando un "procedimiento estándar", no significa que un sistema sea "inmune"... La capacidad de pensar de formas distintas para atacar un sistema, en definitiva, la creatividad, a mi juicio es la mejor herramienta que tiene un hacker/pentester.


¿Te gustaría vivir en USA, Cuba o algún país nórdico? xD
"We're all living in America, America is wunderbar.We're all living in America, Amerika, Amerika.We're all living in America,Coca-Cola, Wonderbar,We're all living in America,Amerika, Amerika."

Esta pregunta me recordó a "Amerika" de Rammstein XD.Estoy abierto a otras posibilidades, creo que conocer gente de otros lugares ayuda a ver las cosas de un modo distinto y si además, tienes la posibilidad de aprender otro idioma, no me parece nada mal.

Adastra, según Wikipedia, significa en latín hacia las estrellas, aunque creo que tiene varias significados. He visto en alguna demo tuya referencias a objetos "cósmicos", con nombres de servidores xD. Nos cuenta algo más sobre esta afición? estas siempre en la luna? xD
Está relacionado a mi gusto por la filosofía, mi Nick viene de varias frases de Séneca:
 
"ad astra per ardua" (A las estrellas por medio de las dificultades)
"Per ardua, ad astra" (Por el camino difícil, a las estrellas)
"non est ad astra mollis e terris via" (No hay un camino fácil de la tierra a las estrellas)
 
Son frases que definen bastante bien la actitud de un buen informático, no es posible alcanzar un buen nivel de conocimientos sin mucho esfuerzo y constancia, seguramente muchos como yo piensan del mismo modo.

Nunca discutas con un idiota, podría no notarse la diferencia...
Creo que te gusta la filosofía y los ensayos...pero... siendo esta Web la que es, nos recomendarías 2 o 3 libros relacionados con la informática?

lol... Pues si, me gusta la filosofía, pero hablando de informática hay varios libros que recomendaría:
- La serie de libros "Hacking Exposed", las versiones 6 y 7(actual) son de lo más completo que he visto sobre pentesting, desde luego muy recomendados, así como también "Hacking Exposed web applications" y "hacking exposed Linux".
- "Social Engineering - The Art of the Human Hacking" de Christopher Hadnagy
- "Professional Assembly Language" de Richard Blum (muy buen recurso para aprender assembly, prácticamente indispensable para un desarrollador de exploits)
Y en castellano, los libros de Informatica64 son muy buenos, creo que son los mejores libros que hay hasta el momento, en castellano, enfocados a la seguridad informática.

Para cuando un libro tuyo? lo tienes pensado? tienes algo preparado? titulo, temática?...
Me gustaría escribir un libro relacionado con seguridad ofensiva, incluyendo cosas que no he incluido en mi blog y que van muy de la mano con las actividades de un atacante. Sin embargo es algo que aun esta en el aire, ya que aun no he intentado contactar con ninguna editorial para temas como la publicación, distribución, etc. Por otro lado, todo lo tengo ahora mismo en mi cabeza y tengo que sacar tiempo para escribirlo y ordenar cada capitulo... el problema como siempre es el tiempo, pero es algo que tengo pensado hacer.

Esta pregunta comprometedora es de las que mas éxito suelen tener, y la que menos se mojan los entrevistados...pero tengo que hacerla... xD ¿algún blog, Web, twitter que creas indispensable? en castellano? y en otras lenguas?

Puff... hay muchos que considero indispensables y que suelo visitar con frecuencia, solamente por listar unos pocos:
Sitios en castellano:
- elladodelmal.com (De nuestro amigo Chema Alonso. No necesita presentación)
Me dejo muchos más, que están en castellano y que son excelentes...
En ingles:
- securitytube.net: (De Vivek Ramachandran, realiza series de vídeos sobre diversos temas relacionados con el hacking que son realmente buenos)
 
Y muchos más, pero creo que me alargaría demasiado.
 
Otra típica pregunta, para los menos iniciados, ¿Como hackear Hotmail? xD o lo que es lo mismo, que consejos o recomendaciones darías a las personas que queremos introducirnos en el mundo de la seguridad informática?

Principalmente armase de 3 cosas: paciencia, constancia y determinación. La informática es una de las áreas del conocimiento que evoluciona con más rapidez hoy en día y la labor de un hacker/pentester cada día parece volverse más compleja, muchas cosas por aprender, muchas cosas que se suelen olvidar :P
En fin, a veces parece una actividad que te desborda y desalienta, por ese motivo, esas 3 cosas son lo que realmente necesitamos todos, tanto las personas que empiezan como las que ya llevan un tiempo metidos en esta movida.

¿Que opinas de la venta de exploits / 0 Days por parte de la comunidad? Sin duda es una manera de recompensar su labor, pero también pone distancia al conocimiento libre y al espíritu comunitario?.
Personalmente, no me parece mal que una persona que ha dedicado tiempo y energía en encontrar y explotar una vulnerabilidad (que en mi opinión es una de las labores más difíciles que hay en seguridad informática) consideré que merece recibir una compensación económica por ello, después de todo, cada cual es libre de valorar su trabajo y todos lo hacemos. En mi caso, apoyo la filosofía del software libre y del conocimiento libre, ya que gracias a la sinergia que se ha producido en medios como Internet, gente como yo se ha podido "nutrir" de conocimientos y herramientas que de otro modo, hubiera sido más difícil de conseguir, para mi es una especie de "deuda sana" (no como una que se adquiere con un banco) que de alguna forma intento "pagar" compartiendo lo que he ido aprendiendo, es simplemente devolver un poco de lo mucho que he tomado y dejando que la información fluya como el agua...


Háblanos de DENRIT, me parece un proyecto genial que creo que debe tomar mas fuerza, eso me gustaría a mi xD.

DENRIT es un proyecto que he iniciado a principios del 2012, donde tenia la idea de desarrollar una herramienta que pueda integrar algunas de las herramientas de uso común para un pentester/hacker tales como NMap, Metasploit Framework, Nessus, W3AF, entre otras, pero con un enfoque distinto, permitiendole al usuario utilizar conexiones TCP "planas" o redes anónimas tales como TOR. Sin embargo, a mediados del año pasado comencé mi andadura con los chicos de OffSec (Offensive Security) haciendo la OSCP, lo que me consumió todo el tiempo libre que tenia disponible, por ese motivo el desarrollo se ha detenido por estos meses (algo que también se ha notado en el blog). Sin embargo, ahora he comenzado nuevamente, incluyendo nuevas características y una librería independiente llamada W3AFRemote, que estoy escribiendo en Python, la cual será de utilidad para cualquier desarrollador que quiera aprovechar las ventajas de W3AF desde su propio programa y de forma remota utilizando XML-RPC. Ese será mi aporte a esa estupenda herramienta. Hace unos meses, antes de comenzar con la OSCP, he intercambiado algunos correos con Andres Riancho (creador de W3AF) para definir algunos detalles técnicos, quedando todo bastante claro, desde entonces no he vuelto a comunicarme con él, pero la idea es liberar DENRIT R02 y W3AFRemote a finales del mes de febrero (si el tiempo me lo permite), donde podre incluir manuales y vídeos sobre como usarlo.

Parece que tienes un montón de cosas pendientes por hacer, como están tus prioridades al respecto?

Ahora mismo me gustaría intentar dedicar más tiempo a los proyectos que comencé el año pasado (DENRIT y W3AFRemote) para liberar una nueva versión estable lo antes posible, luego centraré mis prioridades en redactar con más frecuencia entradas para el blog y estructurar un libro sobre seguridad ofensiva. Ademas, si todo sale bien, para este verano tengo pensado tomar el siguiente nivel de certificaciones de Offensive Security, intentaré sacar la OSCE, algo que me hace mucha ilusión, ya que disfrute muchísimo la OSCP y por lo que he hablado con algunos colegas de offsec, se trata de una certificación que se centra principalmente en el desarrollo de exploits, el nivel de dificultad es muy alto y será un reto muy interesante que seguro disfrutaré.
Alguna recomendación general sobre la seguridad?

Si, unas cuantas, en función a correos y comentarios que me han enviado en el blog.
Para usuarios novatos:
- No, no voy a arreglar tu ordenador.
- tu password es personal, por favor no lo compartas con nadie.
- No uses un password fácil de descifrar como 1234, qwerty o qwerty1234
- Cambia tu contraseña frecuentemente
- En internet las cosas no siempre son lo que parecen
- Es posible que la "tía" que te ha enviado una foto "suya", en realidad sea un tío intentando engañarte.
- Ninguna chica rusa que se quiera casar contigo te va a pedir tu número de cuenta.
- Ninguna chica rusa que se quiera casar contigo te va a pedir que le envíes dinero para que pueda venir a España.
- No uses Internet Explorer, como mucho... úsalo para descargar otro navegador (Firefox suele ser una buena opción).
- No ingreses tu número de móvil en ninguna página para ver porno.
- No eres el usuario 1000000000 y no te van a dar un duro por ello.
- Si usas foros en internet, no escribas cosas como el nombre de tu empresa con el login y contraseña para acceder por telnet, rlogin o ssh.
- No eres un hacker solamente por haber instalado backtrack en tu ordenador.

Para hackers:
- Tu ordenador no es un arma de destrucción masiva.
- Es posible que seas más listo que el sysadmin de turno, pero recuerda que los IPS, IDS y otros sistemas de registro existen, cuidado con lo que haces.

GRACIAS SEÑOR !!!!!!!

Un placer compartir con todos vosotros este ratico simpático con el compañero ADASTRA.
Animo y a por ese libro !!!!

jueves, 17 de enero de 2013

Cosas gratis de Microsoft. Parte III. Security Compliance Manager

Después de un artículo sobre cosas gratis de Microsoft, y su segunda parte, llega la tercera entrega, esta vez hablando de Security Compliance Manager.

SCM es un gestor de seguridad basado en las famosas GPO (Group Policy Object) o directivas de grupo. Como todos sabemos, las políticas de grupo son objetos configurables, tanto en entornos "locales" como en entornos de dominio, los cuales nos permiten configurar aspectos operacionales de los sistemas operativos y aplicaciones de nuestro entorno ( no solo productos Microsoft).
El propósito de este post no es hablar de las GPO´s, pero cuestiones que configuramos con esta "herramienta" son : cambio de contraseñas, vigencia, horarios, complejidad de contraseñas, directivas para BitLocker, configúraciones de Iexplorer y un laaaaargo etcétera.

Con SCM podemos auditar las directivas vigentes, y trabajar sobre las "guidelines" que Microsoft publica como recomendaciones en sus productos. También podemos realizar plantillas maestras para "replicar" la configuración de GPO´s en entornos "locales" o sin dominio.

La instalación es muy sencilla, y automáticamente nos instalara los productos relacionados, como pueden ser el motor express de Sql Server 2008 y las librerías de desarrollo necesarias.

Una herramienta muy útil para los administradores de pequeñas y medianas empresas ( las que no pagan el System Center).

Espero que disfrutéis con esta herramienta.

Como siempre, gracias por leerme.

Por otro lado aprovecho la ocasión para comentar que he habilitado una nueva página dentro del blog, denominada Community Protección Project para recopilar artículos en castellano sobre medidas de seguridad para nuestros sistemas. Tenemos pues un recopilatorio para realizar nuestros test de intrusión, y por otro lado para "evitar" estos test de intrusión. Quien ganará? espero que todos xD y no solo los fabricantes de soluciones :-).

jueves, 10 de enero de 2013

Security Onion Parte 1

Imagino que todos habéis leído la noticia de la aparición de la nueva versión de Security Onion Distro 12.04 y voy a intentar explicar un poco de donde viene todo esto, como funciona, y a donde va.
Básicamente es una distro. Ubuntu con ciertos paquetes "in box" es decir, configurados entre sí para ofrecer al usuario una experiencia de monitorización nunca vista hasta la fecha ( lo siento, quería ponerme en la piel de un vende-humo !!).

Para configurar esta distro no es necesario mucho más de 5 minutos. Para configurar la integración de herramientas que nos ofrece, a pelo, sería cuestión de mucho más, muuuuucho mas. Pero como todo, es básico entender el funcionamiento de los componentes, su interrelación, mantenimiento, etc.
Entonces, entendemos que Security Onion es un Network Security Monitor, gracias a los componentes: Bro Ids,Motor de detección Snort o Suricata, Sguil, Squert, ELSA, Snorby, CapMe y toda una lista de herramientas que lo hacen perfecto para monitorizar en tiempo real nuestra actividad de red, multihilo, multiprotocolo (tcp,udp...) a nivel de aplicación (ftp,http...) y con capacidad para análisis forense, gracias a la posibilidad de almacenar/insertar ficheros de captura pcap.

Una de las cosas que tenemos que tener en cuenta antes de configurar el aplicativo, es el tamaño. El tamaño si que importa, y tener un sensor instalado entre una vlan de servidores y un entorno de clientes, en una red de 100mbps puede ser una tarea que requiera muuuuchos megas. Por ejemplo en ese caso:


100 Mb/s = 12,5 MB/s ** si no encuentras "al algoritmo de conversion" sal de esta web !!!!

1 hora= 45.000 MB
1 dia= 1080 GIGAS....1 TB al día.

No creo que haya actividad entre dos elementos al 100% en todo momento, es más, si tienes este "issue" es que no estas administrando algo bien xD, pero para hacerse una idea de la dimensión del proyecto nos sirve.

Otra cuestión es la ubicación del sniffer. Como hacemos para escuchar el tráfico de las dos redes que queremos monitorizar? Los que habéis jugado con herramientas de arp spoofing sabeis el problema de rendimiento que supone poner una máquina en modo promiscuo realizando el envenenamiento. Si usas un portátil, con su tarjetica de red cutre, y te pones a esnifar una red de ...10 ordenadores... verás como en 5 minutos te empiezan a llamar con caídas de servicio de todo tipo, lógico. Los que no, ya lo sabéis.
Para jugar en casa, en un laboratorio podemos usar un HUB conectado entre los segmentos de red, y en una de sus bocas nuestro Security Onion en modo promiscuo. El HUB me hará de port mirroring por sus características de funcionamiento,pero las mismas características nos limitarán el FULL DUPLEX, es decir, que dividirá la velocidad entre los puertos usados... En entornos de producción sería como cortar el canuto por la mitad.
Para ubicar nuestro Security Onion en un entorno de producción sería recomendable usar un switch gestionable con capacidad de realizar SPAN (swith port analysis), es decir, lo mismo que hacíamos con el HUB de replicar el contenido de una "boca" a otra, pero sin perder rendimiento y fiabilidad.
Por lo que se de otros compañeros, en entornos productivos "serios" se usan unos aparatejos llamados TAP que simplemente hacen un "hombre en el medio" físico sin perdida de rendimiento y fiabilidad (paquetes perdidos...).
El señor Alfon tiene un buen artículo sobre como realizar la tarea de adquisición.

Con esto acabo la introducción a este NSM y unos pocos conceptos a tener en cuenta.
En próximas entregas hablaremos de su instalación, puesta en marcha y uso.

Gracias por leerme.

Por otro lado aprovecho la ocasión para comentar que he habilitado una nueva página dentro del blog, denominada Community Protección Project para recopilar artículos en castellano sobre medidas de seguridad para nuestros sistemas. Tenemos pues un recopilatorio para realizar nuestros test de intrusión, y por otro lado para "evitar" estos test de intrusión. Quien ganará? espero que todos xD y no solo los fabricantes de soluciones :-).



DailyMotion control parental en teléfonos.

Con el paso de los años, no solo me hago mas gordo, mas calvo, mas maduro interesante xD o simplemente mas maduro, pero cada vez pienso más las cosas como un padre. Me preocupa mucho mi futuro, pero realmente me preocupa el futuro de los que vienen por detrás.
El tema de los menores en la red me preocupa especialmente, ya que conociendo las artes oscuras que conocemos, y si a eso le sumamos el ansia por aprender y descubrir de los babys, es un tema muy muy peliagudo que merece toda nuestra atención, de padres y educadores. Gracias a gente como Angelucho y 1gb de informacion se pueden encontrar en la red artículos buenísimos sobre estos asuntos, en algunos casos vistos desde el puno de vista técnico, y en otros, y no menos importantes, el punto de vista de un usuario, de un padre preocupado.
Dicho esto, ayer me encontré con un pequeño fallo, o falta de acierto mejor dicho por parte de un proveedor conocido de vídeos on line. En concreto Daily Motion.

Tienen un sistema llamado "control parental" que informa a los usuarios de contenido no apto para menores. El sistema en cuestión se activa/desactiva en el mismo sitio del vídeo. No hace falta login ni nada parecido.
En teléfonos Iphone, cuando se accede a un contenido no apto para menores, lo muestra en pantalla.


El formateo de la web es pésimo, pero en esta ocasión está bien ya que muestra el texto de contenido explícito, pero no aparece el botón de "desactivar filtro".
El asunto está en que solo con entrar en el menú de arriba-derecha, sin estar logueado ni nada, y darle a "atrás" en el navegador, ya se puede ver el vídeo perfectamente.


No es un bug, ni un fallo, a priori... ya que aunque a efectos prácticos, si en el mejor de los casos, con darle a "desactivar filtro" tenemos el mismo resultado, me parece curioso qué, una empresa como esta, tenga un mecanismo tan frágil de control parental, y que encima no funcione muy bien en dispositivos móviles. Si las cosas están, deben funcionar, sino, pues quítalo y punto.
Aparte, esto me da pie a investigar otra seria de acciones en sus url´s con tan solo auditar con un proxy inverso,porque imagino que tendrán otra seria de fallos, y mucho más gordos que este.
Vamos a ver que opinan ellos del asunto, y así actuaremos xD.

Por otro lado aprovecho la ocasión para comentar que he habilitado una nueva página dentro del blog, denominada Community Protección Project para recopilar artículos en castellano sobre medidas de seguridad para nuestros sistemas. Tenemos pues un recopilatorio para realizar nuestros test de intrusión, y por otro lado para "evitar" estos test de intrusión. Quien ganará? espero que todos xD y no solo los fabricantes de soluciones :-).

Como siempre, gracias por leerme, espero que os gusten los recopilatorios, y que entre todos trabajemos por una red segura.

PD: Las imágenes mostradas son solo un ejemplo ilustrativo. El contenido sobre el que estaba trabajando me lo reservo para mi xD, pero ser conscientes que no solo el "porn" es materia no apta para menores. Conferencias de hacking también son marcadas como no aptas... y violencia extrema... etc etc etc.

Google +