OSI SECURITE

lunes, 31 de diciembre de 2012

Túnel Reverso en SSH

¿Cuantas veces se ha tenido la intención de ayudar a un usuario que no puede abrir los puertos de su router para poder ingresar a su equipo remotamente ?

La solución es un tunnel reverso, lo que nos permite una conexión segura y en el mejor de los casos si un usuario estará en esta implementación debemos crear un usuario bin/false para que al momento de hacer el reverso el no tenga acceso a una shell.

Plantearemos el siguiente escenario: Tenemos un OS Debian y crearemos un nuevo usuario que será el que participe en la conexión reversa, en nuestro caso creamos un usuario llamado osisecurite.

Para entender bien el bin/false veremos que pasaría si el usuario final no sabe abrir puertos y le mandamos la instrucciones para crear un tunnel reverso, si lo hacemos sin poner al usuario osisecurite bin/false implica un riesgo de seguridad debido a que se le daría una shell.

ssh -R 9898:localhost:22 -l osisecurite XX.XX.XX.XXX

Este comando lo que hace es que el usuario establezca una conexion a nuestra PC y nos permita acceder por medio de redireccionamiento a su PC por medio del localhost desde nuestra PC.

Como se puede observar se le ha dado al usuario un shell en la cual puede utilizar el sistema operativo.

Se puede evitar modificando el archivo /etc/passwd y poniendo un bin/false al usuario osisecurite para que no se le de el shell pero mantenga la conexión para realizar la inversa.

Veamos de nuevo lo que pasa ingresando el comando anterior.

ssh -R 9898:localhost:22 -l osisecurite XX.XX.XX.XXX

No nos ha permitido crear una sesión establecida debido que tenemos en la configuración bin/false por lo que ahora solamente crearemos el tunnel inverso solo agregando una -N para que no se puedan ejecutar comandos en el host remoto desde el cliente.

ssh -R 9898:localhost:22 -l osisecurite XX.XX.XX.XXX -N

Solamente ahora nos basta con hacer un ssh al localhost en el puerto especificado por el usuario que era 9898 desde nuestro PC y de esa manera tenemos acceso a la PC del usuario final.

ssh -p 9898 osisecurite@localhost

Como pueden ver SSH es un protocolo muy util y de una gran utilidad en administracion de servidores, traspaso de archivos, conexiones reversas, las cuales nos facilitan el trabajo al momento de interactuar con usuarios finales.

Uso seguro de SSH

SSH es un protocolo que nos permite tener conexiones remotas donde las transferencias van por medio de un túnel cifrado, nos permite manejar los recursos del servidor, inclusive correr programas, en pocas palabras manejar nuestro OS por consola y es muy utilizado en los entornos linux.
Algunos administradores han olvidado o no le han puesto atención al hecho de configurarlo de manera correcta para hacer mas seguro este protocolo.

Ventajas

Administrar OS por CLI.
Sesiones interactivas .
Transferir archivos por SCP, SFTP.
Túneles Reversos.

Lo que pudiera llegara pasar por una mala administración:

Acceso no autorizado
Fuerza bruta
MITM

Para corregir y evitar ser tomados por sorpresa en linux en la distribución Debian nos vamos a la siguiente ruta /etc/ssh/sshd_config en la cual configuraremos los siguientes parámetros:

Protocol 2: Es la version de SSH, esta version es una mejora de la primera version que es vulnerable a ataques activos.

UserPriviligeSeparation yes: Esto lo que hace nos separa privilegios del daemon de ssh

LoginGraceTime 20: Es el tiempo que nos permitirá para hacer la sesión de lo contrario la sesión será terminada.

StrictModes yes: Esto no permitira que se accese a la carpeta $HOME a los usuarios que no tengan privilegios de escritura.

PermitRootLogin no: el mas olvidado de todos, esto evita que se haga sesión con el root, es lo primero que un atacante busca al intentar acceder por ssh.

PasswordAuthentication no: Se refiere a la autenticación por medio de contraseñas.

RSAAuthentication yes & PubKeyAuthentication yes :Nos indica que se necesitan de las llaves para ingress al servitor.

AuthorizedKeysFiles: Especifica la ruta donde estan las llaves autorizadas por usuario.

Port 443: En este caso no usaremos el puerto well known debido que un atacante un experimentado es el primero que busca, y si un atacante no es muy sofisticado puede ser despistado inmediatamente.

Con estos parametros podemos incrementar la seguridad por conexiones SSH a nuestro servidor, al igual que también pueden especificar grupos, usuarios e inclusive implementar técnicas como
port tknocking para seguir una secuencia y permite el acceso al servidor.

SSH es un servicio increíble por todas las facilidades que nos brinda pero algunos administradores no le dan la importancia que se debe y olvidan la configuración básica del protocolo corriendo un riesgo innecesario.

sábado, 29 de diciembre de 2012

WI-FI publico

Lo que es preocupante es la cantidad de personas que se conectan a los WI-FI que están abiertos de manera que le dan facilidad a los delincuentes o curiosos para que hagan el robo de datos. Es un tema muy preocupante en cuestión de seguridad por que si una persona desea pasar una tarjeta online, o cualquier credencial ingresada en ese momento, puede ser interceptada en la red local en la que se encuentra, solo basta un malicioso con un ARP poisoning y listo.

Lo mas preocupante es cuando hay personas que ven una WI-FI abierta y no es precisamente una red de un establecimiento comercial, están poniendo en riesgo su información debido a que muchas de las ocasiones hay personas que dejan abierto el WI-FI y no precisamente por descuido, si no con la intención de interceptar la información. Realmente el usuario que se conecta a esa red no sabe quien esta detrás de ella y si dejamos ir un poco la imaginación podemos ver que la persona que esta detras de la red tiene como intención atraer usuarios a los cuales les hará un ARP Poisoning para posteriormente hacerles un sencillo DNS spoofing y con eso tienen en sus manos un pishing seguro para robar cualquier tipo de información.

Es necesario hacer conciencia al conectarnos a una red publica, o que se encuentre abierta, lo mejor es no conectarse a ella, ni siquiera ya con una VPN, lo recomendable siempre seria conectarse en lugares seguros, en lugares donde ustedes estén conscientes de que no corre riesgo su información a ser interceptada, así que al terminar de leer este post les recomiendo no conectarse a redes publicas y cambiar el cifrado de su router por que los ISP que tenemos acá en la ciudad siempre lo dejan WEP y es un algoritmo tan fácil de romper que por mas seguros que se sientan en casa no será así.

viernes, 28 de diciembre de 2012

Implementando IPv6

Cuantas veces en algún libro de TCP/IP o en la materia de redes escuchamos mencionar IPv6 pero sin ninguna profundidad alguna, solo se menciona que es de 128 bits y que va a sustituir a IPv4 por que ya queda menos del 10% de direcciones en el mundo, ninguna novedad.

Lo interesante que se debería revisar a fondo son las características que nos ofrece IPv6 como:

Adios al NAT.
No se implementa el Broadcast, la cual era la dirección mas alta en IPv4 es una dirección normal en IPv6 por lo que manda un paquete por multicast.
IPSec es soporte obligatorio en IPv6.
El protocolo de capa 2 ARP es sustituido por NDP.

Hay mucho mas características de IPv6 interesantes que se pueden encontrar en los RFC para tener mas claro el funcionamiento de este protocolo.

Tocando el tema de IPv6 hace un par de semanas nos encontrábamos mi amigo ARP- y yo usando una VPS en la cual decidimos instalar un cliente el cual nos permitía tener una dirección IPv6 gratuita y así mismo obtener el cliente para poder comunicar una PC a la otra por medio de gogo6, por medio del servicio de freenet6, el cual es un servicio que hace tunnel a IPV6 para cualquier persona que quiera hacer uso de IPv6.

IPv6 es asignado junto con un DNS a cada usuario para que puede ser alcanzado en cualquier lugar por medio de IPV6, es muy sencillo de obtener solo hay que registrarse en la pagina y bajar el cliente que nos ofrece freenet6 en services en este enlace.

Una ves registrados seleccionan la parte de abajo que tiene una liga en la palabra here.

Se debe seleccionar el servidor que nos ofrecen en Montreal o Amsterdam.

Una ves seleccionado llenamos el siguiente formulario sin olvidar el password ni usuario que es lo mas importante para la implementación de este servicio y se nos enviara la información de nuestra dirección que es con la que formaremos parte de IPv6

Instalamos el cliente de la liga de la pagina o simplemente desde la pagina oficial, siguen los pasos del archivo PDF y deben configurar su cliente en mi caso lo configure en el directorio de /etc/gogoc/ el archivo gogoc.conf y agregamos el user y password que fueron enviados al correo por medio de freenet6.

Ahora nos falta solo inciar el servicio se creara la interfaz sit1 y nos arrojara la direccion IPv6, ahora usamos el comando para ICMP6 el ping6 y probamos con google.

Listo ahora ya tenemos configurado nuestro equipo con IPv6 es una buena manera de comenzar a utilizar el protocolo, si utilizan un scanner de puertos con IPv6 se darán cuenta que les arrojara ciertos servicios ya que aun la mayoría de los servicios no soportan IPv6. Aprovechemos este servicio gratuito para empaparnos de IPv6 creo que es un buen comienzo para estar listo cuando de golpe nos venga la implementación, haber cuanto tardan acá en Mexico en implementarla en todos lados.

jueves, 27 de diciembre de 2012

Preguntas Secretas

En la actualidad proteger la privacidad de nuestras información se ha vuelto una tarea cotidiana, para evitar la suplantación de identidad, para evitar que personas ajenas conozcan cierta información a la que solo nosotros tenemos acceso o para evitar una denegacion de servicio de correo.
La mayoría de los usuarios no le da importancia a detalles tan simples que pueden poner en riesgo la integridad de su información, como el correo electronico. Como bien sabemos si por alguna razón olvidamos el password de nuestro correo electrónico lo podemos recuperar contestando una de las preguntas que elegimos al crear la cuenta. Este detalle ha pasado durante muchos años y es dia que sigue habiendo usuarios con este grave descuido.

Muchos usuarios hacen algún comentario en cualquier pagina y dejan su correo electrónico, deben tener en cuenta que hay muchos curiosos dispuesto a tratar de conseguir su password o simplemente alguien que les conozca tiene como finalidad ingresar a sus correos para obtener cierta información o simplemente por denegarles el acceso.

Existen tantos sitios en internet donde las personas al hacer un comentario dejan su correo electrónico ya sea para que se les contacte o se les de seguimiento en cierta nota. El servicio de correo de hotmail nos ofrece distintos métodos para recuperar nuestro password en dado caso que no nos acordemos de el, pero la mayoría de los usuarios eligen la pregunta secreta y al momento de formularla no le toman seriedad y hacen la tarea mas fácil.

Les dejo un ejemplo de uno de los tantos correos ingresados diariamente en una pagina local (Mexicali) con una pregunta secreta tan obvia para un desconocido, mucho mas facil para un conocido.

Al ingresar a hotmail seleccionamos Can't acess to your account?, ingresamos el correo electronic y escribimos el captcha.

Posteriorment encontraremos la forma de recuperar el password donde encontraremos que la mayoría aun tiene pregunta secreta. Prestemos atención en la pregunta, es una pagina local (Pagina de Mexicali) de un usuario local (usuario radica en mexicali) con ese tipo de pregunta, la primera opción de un desconocido será la ciudad natal (Mexicali), inclusive en ocasiones ponen comida favorita y la respuesta es pizza, casi estoy seguro que si existiera la pregunta ¿De que color es el martillo? un 90% tendría de respuesta rojo.

Esta es la forma que cualquier persona si nocion de informatica puede poner en riesgo la informacion, igualmente hay personas que dicen claro que no pondre nada tan obvio como eso, y deciden responser la pregunta: ¿Nombre de tu superheroe favorito?, muchas veces por mas increible que parezca esa consulta la podemos hacer en una red social en el perfil del usuario y automaticamente nos dan la respuesta, otra falla mas comun entre usuarios.

Como se pueden dar cuenta la respuesta es Mexicali.
En tan solo 2 minutos sin habilidades técnicas se esta ingresando al correo electrónico de algún usuario por que a la pregunta no se le dio la debida seriedad, ahora es cuestión de poner un password nuevo y tendremos acceso a cambiar el password y dejar sin acceso al usuario.

Este detalle expuesto no es nada nuevo, ya tiene muchos años entre nosotros pero no se le da el uso adecuado a este proceso tan sencillo en el cual por una mala administracion ponemos en riesgo nuestra seguridad, lo recomendable es cambiar el metodo para recuperar nuestra contraseña como lo muestra microsoft en este enlace, es importante que tomen en cuenta todos estos pequeños detalles para que su información no caiga en manos de personas con un fin malvado o en el mejor de los casos que solamente les quieren dar un susto.

domingo, 23 de diciembre de 2012

Exposición de seguridad informatica

Hace unos dias nos dijeron que tendríamos nuestra primera charla de seguridad informática en la facultad, somos pocos los que estábamos ansiosos por la charla debido que acá en Mexicali nadie le brinda importancia al tema de la seguridad informática, esperamos durante una hora que llegara el auditor y no llegaba el tipo perdido al encontrar la facultad.

El tipo llega y comienza a presentarse, decirnos su trabajo, y como era una platica de seguridad no se pudo evitar la pregunta de ¿Que es Seguridad?, ya algunos tipos respondieron, y yo seguía en la espera del contenido de la seguridad porque el estaba trabajando como encargado de seguridad de una empresa la cual no voy a mencionar por cuestiones de privacidad, el caso es que la platica se torno un poco aburrida por la inseguridad del expositor y el contenido muy pobre en cuanto a seguridad informática.

Recuerdo que nos dijo manejo equipos cisco desde hace años pero no me pregunten por la seguridad de ellos que casi no se. Me quede pasmado y dije bueno si el tipo este es encargado de seguridad como ha podido decir eso, quiere decir que su usuario y contraseña es cisco cisco y aparte tiene habilitado el CDP en los equipos.

Cuando la platica se venia abajo nos dice el tipo, les confesare algo pero requiero de su discreción he realizado un ataque de DoS, ¿saben quien es ANONYMOUS?, al principio pensé que era broma pero el tipo muy enserio nos dijo que bajo el LOIC de la web y que había realizado un ataque a ciertas paginas.

El tema es lo preocupante en mexico el tema de la seguridad informatica, este tipo que se encarga de la seguridad de la empresa, y realmente no tenga la capacitación ni la seriedad para desempeñar el puesto, pero mas culpa tienen las empresas que no quieren invertir en seguridad.

Después de acabar la charla el tipo nos dice el que quiera hacer una auditoria se dará cuenta de que somos impenetrables, en ese momento se me ocurrió correr un nikto para ver si tenia un listing, y efectivamente me tope con este hash

root:e9FWb/4.s87dw

El cifrado era traditional DES [64/64 BS] el cual John the ripper tardo 3 minutos solamente en desencriptarlo

root:creyente

Podemos ver que no hay una política de password en el cual exija una contraseña con minúsculas, mayúsculas, números y caracteres especiales.

Mi sorpresa no acabo ahi porque al ingresar por ssh eran las mismas credenciales, no se debe de usar las mismas credenciales para nada y mucho menos dejar habilitado el root en ssh.

El caso es que en menos de 5 minutos con ningún ingenio ni nada maravilloso se tenia el control de root en todo el sistema una falla tan grave de seguridad.

Es un claro ejemplo que las empresas mexicanas no le dan seriedad a tema de la seguridad.

OSI SECURITE

Tab 1 Top Area

Tech News

Game Reviews

ULTIMAS PUBLICACIONES