lunes, 20 de julio de 2015

OSSIM 24. AlienVault OTX 2 beta. La red social de moda entre los analistas

Estimados amigos de Inseguros !!!

Hoy os voy a contar una iniciativa muy interesante organizada por Alien Vault denominada OTX 2. En este mismo artículo o en este hemos hablado del uso de la base de datos de reputación que nos proporciona Alien Vault con el servicio OTX.


Hace unos meses me inscribí en un programa para participar en la beta de la versión 2 y hoy mismo he recibido el login y me gustaría contar que he visto :-)

La idea es una "red social" porque hay usuarios y se puede tener un avatar :-) en la que la gente comparte su información de amenazas detectadas en formato abierto, en concreto para mi uso OpenIOC 1.1.

Podemos apuntarnos en la beta aquí. Una vez proporcionados los datos de acceso, la pantalla inicial muestra este aspecto:



Como podéis ver, hay un "muro" con toda la actividad publicada, y podemos visualizar solo la de nuestros sindicados, nuestros "gurus" en los que confiamos. Este punto es muy importante, ya que no hay un sistema que impida que yo publique una ip como maliciosa y todo el mundo incorpore a sus sistemas un bloqueo o alerta. Debemos ser nosotros los que seleccionamos aquellos analistas o fuentes de información en las que confiamos.


Crear un nuevo Pulse como ellos lo denominan es muy sencillo. Podéis observar los datos necesarios.


La opción más interesante sin duda para mi es la de poder descargar los registros en distintos formatos, como OpenIoc.


<?xml version="1.0" encoding="UTF-8"?>
-<ioc last-modified="2015-07-20T10:58:50" id="5f564dc6-a897-4f38-8fdf-1fb60e8a97a9" xmlns="http://schemas.mandiant.com/2010/ioc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<short_description>Malvertising from Google advertisements</short_description>
<description>Malvertising from Google advertisements</description>
<keywords/>
<authored_by>AlienVault - Alienvault OTX</authored_by>
<authored_date>2015-07-20T10:58:50</authored_date>
-<links>
<link rel="http://blog.fox-it.com/2015/04/07/liveblog-malvertising-from-google-advertisements-via-possibly-compromised-reseller/">http://blog.fox-it.com/2015/04/07/liveblog-malvertising-from-google-advertisements-via-possibly-compromised-reseller/</link>
<link rel="https://otx.alienvault.com/pulse/5524271d13432a714ff499f1">https://otx.alienvault.com/pulse/5524271d13432a714ff499f1</link>
</links>
-<definition>
-<Indicator id="994b2564-8878-409a-a2b8-0025de11a6ae" operator="OR">
-<IndicatorItem id="922c96b2-9972-4781-a65c-8f8057cbfed3" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">banking.techpool.org</Content>
</IndicatorItem>
-<IndicatorItem id="5f6225fe-2a43-42df-9ecd-0329cc1345e7" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">alfiantoys.com/wp-news.php</Content>
</IndicatorItem>
-<IndicatorItem id="2922dcb2-cce3-4b94-b291-5bf1be60acfa" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">foley.go2lightuniversity.com</Content>
</IndicatorItem>
-<IndicatorItem id="ef66f1ae-d3e1-4643-8784-366034a8f61f" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">soaring.betsystemreviews.com</Content>
</IndicatorItem>
-<IndicatorItem id="edebd2da-961a-445e-8b2c-e077373f744a" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">supervision.sactown.us</Content>
</IndicatorItem>
-<IndicatorItem id="c0127d50-6e90-4a19-b633-fb22144c2164" condition="contains">
<Context type="mir" search="DnsEntryItem/Host" document="DnsEntryItem"/>
<Content type="string">banking.techpool.org</Content>
</IndicatorItem>
-<IndicatorItem id="0589cac4-5299-4a72-9bf2-4c1a2c4c1921" condition="is">
<Context type="mir" search="PortItem/remoteIP" document="PortItem"/>
<Content type="IP">85.143.217.196</Content>
</IndicatorItem>
-<IndicatorItem id="ac339f97-82ef-49a7-a6f9-217aa285b5fd" condition="is">
<Context type="mir" search="PortItem/remoteIP" document="PortItem"/>
<Content type="IP">174.36.217.82</Content>
</IndicatorItem>
</Indicator>
</definition>
</ioc>

Disponemos de una API en Java y en Python para automatizar la lectura-descarga-publicación de contenidos.

Poco más que decir de otra buena iniciativa de la gente de Alien Vault que pone a disposición gratuitamente para la comunidad.

Espero que os guste, gracias por leerme.





viernes, 17 de julio de 2015

Crea tu propio SOC.MISP Malware Information Sharing Platform

Estimados amigos de Inseguros !!!


En el capítulo de hoy vamos a jugar un poco con MISP Malware Information Sharing Platform. Una herramienta que nos puede servir para controlar los análisis de amenazas que efectuamos en nuestros centros de operaciones de seguridad o SOC.


El concepto es un repositorio central de eventos de seguridad codificados en formato OpenIoc "friendly" en el que podemos crear información de valor sobre nuestras informaciones en materia de ciberseguridad.


El objetivo del proyecto principal es el de compartir la información, pero una de las cosas que más me ha gustado es su capacidad para crear reglas para Snort/Suricata rapidamente.

Para realizar la práctica de hoy vamos a partir de una instalación de centos 7 minimal. En mi caso sobre un humilde virtualbox. En la documentación está todo explicado a la perfección.

Una vez instalado el framework vamos a realizar una gestión básica con una amenaza.


Supón que estás trabajando en la monitorización de eventos, con un siem, un log o cualquier herramienta de eventos. Imagina que detectas una botnet escaneando un fallo en varios equipos.

Tus sistemas de seguridad han funcionado en la detección, pero quieres registrar el evento para comprobarlo o compartirlo con otras empresas o analistas.

Vamos a crear un evento sencillo:


Puedes indicar la visibilidad del evento, para tu organización, para tus organizaciones "amigas" o para todo el mundo. De momento no importa este detalle.
Calificamos el nivel y estado del evento y escribimos una pequeña descripción. En el caso de muestras de malware podríamos adjuntar en este punto el fichero zip en formato GFI.


Añadimos un atributo como la ip de origen del evento e indicamos que queremos tener el dato disponible para IDS.

Bajo este punto podríamos incluir más información como adjunto, o incluso un fichero OpenIOC que podamos haber obtenido de una fuente externa, como pueda ser OTX2 de Alienvault o cualquier otro repositorio.

Vamos a publicar el evento.

Podemos indicar que queremos descargarlo en cualquier de los innumerables formatos que ofrece.


Elegimos una regla Snort y vemos el resultado:

alert ip 2.56.45.45 any -> $HOME_NET any (msg: "MISP e6 Incoming From IP: 2.56.45.45";   classtype:trojan-activity; sid:2841; rev:1; priority:3; reference:url,misp/events/view/6;) 

No muy descriptivo, ya veremos como solucionarlo...

Ahora vamos a crear un evento en el que el origen o destino sea un dominio malicioso, para comprobar la exportación de la regla.

alert udp any any -> any 53 (msg: "MISP e7 Domain: www.cacadelavaca.com"; content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; content:"|03|www|0c|cacadelavaca|03|com|00|"; fast_pattern; nocase;  classtype:trojan-activity; sid:2851; rev:1; priority:1; reference:url,misp/events/view/7;) 
alert tcp any any -> any 53 (msg: "MISP e7 Domain: www.cacadelavaca.com"; content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; content:"|03|www|0c|cacadelavaca|03|com|00|"; fast_pattern; nocase; flow:established;  classtype:trojan-activity; sid:2852; rev:1; priority:1; reference:url,misp/events/view/7;) 
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "MISP e7 Outgoing HTTP Domain: www.cacadelavaca.com"; flow:to_server,established; content: "Host|3a|"; nocase; http_header; content:"www.cacadelavaca.com"; nocase; http_header; pcre: "/(^|[^A-Za-z0-9-])www\.cacadelavaca\.com[^A-Za-z0-9-\.]/H"; tag:session,600,seconds; classtype:trojan-activity; sid:2853; rev:1; priority:1; reference:url,misp/events/view/7;) 

Otra de las cosas que podemos hacer es exportar la información en un simple fichero de texto delimitado, para importarlo en algún firewall o sistema de prevención.


Le damos a generar la información y pinchamos el campo que queremos y lo tenemos.

En otro episodio probaremos con otro servidor e intentaremos compartir los datos entre distintas instalaciones filtrando los eventos que nos interesan.

Espero que os sirva de ayuda, gracias por leerme !!!

Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking 

martes, 7 de julio de 2015

Quien vigila a quien te vigila...

Estimados amigos de Inseguros !!!

No puedo dejar pasar la ocasión para manifestar mi asombro ante la noticia del momento de ayer del hackeo de la empresa Hacking Team, una de las mejor posicionadas en el mercado Italiano, y sospecho que a nivel internacional.


"Un amigo" que conoce a otro amigo que sabe BUSCAR EN GOOGLE ha encontrado los 400gb de información PRIVADA y SENSIBLE de esta empresa.

Es increíble la información que aparece, me dice mi amigo. Desde mapas de red pre-post firewall, radius account, docs privados, pasaportes, conversaciones de correo con organismos públicos, licencias de software, exploits, zero-days,  backups de sharepoint, etc etc etc.

Esta empresa es de las que vende software para el espionaje a gobiernos y cuerpos de seguridad del estado, de varios estados...



Como os podes imaginar, esta información no solo TUMBA la reputación y posiblemente el negocio de esta empresa, sino que TUMBA la seguridad de todos sus clientes, ya que en los documentos, ME CUENTAN que hay claves de root, claves de todo tipo de webservices, etc etc.

Imaginaros que aparecen los pentesting de empresas LIDERES en el mercado, de las bebidas, banca, automoción, seguros, etc.

En España se está regulando una ley de seguridad privada, que está dando mucho de que hablar, ya que no está muy claro como nos va a afectar a los auditores o apasionados de la seguridad que tenemos armas de destrucción masiva como NMAP en nuestros equipos, pero si que tiene algo bueno.


El marco regulador pretende establecer unas medidas de seguridad mínimas para las empresas que prestan servicios de seguridad. Esto ni mas allá soluciona el tema del hackeo de esta empresa, ya que por muchas medidas de seguridad que nos impongan, siempre habrá peligro, pero hay que reducir el impacto.

Imaginas una armería, vendiendo pistolas sin tener un armero con llave? te imaginas un banco que no tiene caja fuerte?

La industria de la banca, adelantada siempre en esto de las tecnologías, hace tiempo que se rige por standares de seguridad. Por ejemplo, PCI-DSS para el comercio electrónico con tarjetas bancarias.

No es la panacea, pero desde luego no tiene nada que ver con LOPD, ISO, FISMA o cualquiera de las docenas de siglas que hay en el mercado. PCI-DSS me parece un marco realmente bueno para garantizar seguridad a las empresas en todos los niveles.

A los alumnos de un curso que estoy impartiendo les explico que aunque ellos naveguen a la página de Telepizza legítimamente, y no se dediquen a bajar "gatitas" de Internet, NADIE te da garantía de que Telepizza no ha sufrido un ataque y está infectando con Malware.

Espero que os sirvan estas pequeñas reflexiones sobre la importancia de regular la seguridad informática y sobre todo las empresas que prestan servicios. El daño está siendo muy grande.

Espero que os guste, gracias por leerme.

lunes, 6 de julio de 2015

Como conseguir el CEH v8 y no morir en el intento.

Estimados amigos de Inseguros.

Después de varias semanas estudiando y trabajando duro, vuelvo al blog.

En esta ocasión os voy a comentar varios temas sobre la certificación CEHv8 que gracias a no se qué, el sábado aprobé :-)


Antes de hablar de esta certificación en concreto, voy a comentar algunas cosas que me rondan la cabeza sobre el mundo de las certificaciones.

Una certificación sobre un producto o materia no te certifica como EXPERTO o GURU de la materia, TODO LO CONTRARIO, certifica que conoces los MINIMOS para manejar el producto o tecnología.

Muchos compañeros de trabajo o colegas de profesión me preguntan cosas al estilo: kino, tu que eres el certificados-men. La gente se cree que esas siglas representan el nivel dios del juego.conocimientos.
Respeto a la gente que no apoya la idea de "respaldar" tus conocimientos con certificaciones, pero también respeto a la gente que ESTUDIA y TRABAJA y se esfuerza en conseguirlas, y bajo mi criterio "selectivo" contrataría antes a alguien que cuenta con la certificación, antes que uno que no, estableciendo que ambos poseen mas o menos los mismos conocimientos. La certificación de cara a un reclutador que no puede medir tu nivel de conocimiento es la puerta de entrada.


La ENVIDIA y MALA LECHE española podría dar lugar a pensamientos negativos como los que leo en muchos post. Que lo importante es saber, aprender, conocer los productos, que el examen es solo un conjunto de siglas de cara al CV. Yo pienso que SI, que lo importante es dominar la materia, PERO SI TE LO PUEDES PERMITIR, por qué no hacer el examen?.

Conozco a MUCHAS personas que tienen la certificación "carnet de conducir" y no saben. Se saltan semáforos, van lentos/rápidos, aparcan mal, eligen la ruta más larga a un destino... Pero TODOS tenemos que tener esta certificación, que garantiza los MINIMOS para poder conducir, aunque no seas un gran piloto. Conozco casos ( de la televisión) de gente que corre en MOTOGP o F1 y no tienen carnet de conducir, correcto, pero no pueden conducir en la calle...

Dicho esto, si estás estudiando mejorando tu CV, sin duda, APARTE DE ESTUDIAR de verdad, te aconsejo las certificaciones.


Vamos con el CEH. Hay dos maneras de hacerlo, con curso (2000€) y por libre (600€). Yo me he decidido presentar por libre, por lo evidente... Eso si, piden de requisito más de 2 años de experiencia COMPROBABLE en el mundo de la seguridad. Cuando digo comprobable quiero decir que tienes que poner a alguien de contacto, y lo llaman para comprobarlo.

El proceso comienza pagando 100$ para el derecho a que revisen tu experiencia. Contactan con tu referencia y lo validan. Una vez validado, debes pagar los 500$ del examen, lo cual te da un Voucher para el centro examinador. Con ese código, entras a la web del examinador y agendas el examen en el centro que más te interese, a la hora de realizar el pago, introduces el Voucher y listo, examen programado.

El examen en si en CORREOSO, pesado. Son unas 130 preguntas las cuales debes conocer al 75%. Los errores no restan.

Las preguntas son tipo test con 4 o más respuestas, y en muchas ocasiones, respuesta múltiples.

El material para estudiarlo por libre debes conseguirlo con alguno de los muchos libros que existen. Yo he comprado varios y me parecen todos buenos.

Los dominios o áreas del examen son los siguientes:

Background
A networking technologies (e.g., hardware, infrastructure)
B webtechnologies (e.g., web 2.0, skype)
C systems technologies
D communication protocols
E malware operations
F mobile technologies (e.g., smart phones)
G telecommunication technologies
H backups and archiving (e.g., local, network)
4% 5
Analysis/Assessment
A data analysis
B systems analysis
C risk assessments
D technical assessment methods
13% 16
Security
A systems security controls
B application/fileserver
C firewalls
D cryptography
E network security
F physical security
G threat modeling
H verification procedures (e.g.,false positive/negative validation)
I social engineering (human factors manipulation)
J vulnerability scanners
K security policy implications
L privacy/confidentiality (with regard to engagement)
M biometrics
N wireless access technology (e.g., networking, RFID, Blue tooth)
O trusted networks
P vulnerabilities
25% 31
Tools/Systems/Programs
A network/host based intrusion
B network/wireless sniffers (e.g., WireShark, Airsnort)
C access control mechanisms (e.g., smart cards)
D cryptography techniques (e.g., IPsec, SSL, PGP)
E programming languages (e.g. C++, Java, C#, C)
F scripting languages (e.g., PHP, Java script)
G boundary protection appliances (e.g., DMZ)
H network topologies
I subnetting
J port scanning (e.g., NMAP)
K domain name system (DNS)
L routers/modems/switches
M vulnerability scanner (e.g., Nessus, Retina)
N vulnerability management and protection systems (e.g., Foundstone, Ecora)
O operating environments (e.g., Linux, Windows, Mac)
P antivirus systems and programs
Q log analysis tools
R security models
S exploitation tools
T database structures
32% 40
Procedures/Methodology
A cryptography
B public key infrastructure (PKI)
C Security Architecture (SA)
D Service Oriented Architecture (SOA)
E information security incident management
F N-tier application design
G TCP/IP networking (e.g., network routing)
H security testing methodology
20% 25
Regulation/Policy
A security policies
B compliance regulations (e.g., PCI)
4% 5
Ethics
A professional code of conduct
B appropriateness of hacking activities
2% 3

Como puedes comprobar, el temario es bastante completo. Aquí os dejo algunos consejos para que repases todo lo que puedas. Por motivos contractuales no puedo revelar preguntas concretas, pero si una guía:


Handshake TCP: Debes conocerlo a la perfección. A nivel Wireshark debes ser capaz de identificar todos los pasos, flags, seq. order, ttl etc.


PORTSCAN NMAP: Lo mismo, debes conocer TODOS los TIPOS de escaneos de puertos que ofrece NMAP y hping2, a nivel detallado, no el comando, sino lo que ocurre a nivel paquetes.

LEYES: Debes conocer todas las agencias y organismos reguladores, certificadores, etc que intervienen en el juego.
CIFRADO: Muchas preguntas sobre cifrado simétrico/asimétrico, hashes etc.


BUFFER OVERFLOW: Debes de ser capaz de interpretar cualquier payload en wireshark o similar para detectat qué tipos de ataques o actividades se preguntan.

SQL&XSS&CSRF: No son preguntas muy avanzadas, algo de format string, de parameter pollution, de cross site scripting, desde el punto de vista del ataque y la defensa.


PUERTOS-Virus: Muchas preguntas de well know ports y virus conocidos, con sus correspondientes payloads

Lo dicho, es un examen aburrido de preparar, porque si incluso estás trabajando como pentester y manejas mucha información de la qué preguntan, es tedioso "destripar" los payloads, y sobre todo, recordar TODO lo de redes TCP/IP que estudiaste hace años, trazar rutas, identificar TTL, secuencias erróneas. Es más, creo que la base del examen es la parte de networking, y no la de aplicaciones web, por lo que si tu trabajo esta orientado a esta última parte, deberás repasarte alguno RFC básico de redes.

Espero que os sirva de ayuda para presentaros, o simplemente animaros a que lo hagáis.

Yo espero prepararme otra para antes de otoño, espero certificarme para AlienVault ( AlienVault Certified Security Engineer).

Gracias por leerme, disfruta del verano !!!!!!!!!!!!