OSI SECURITE

martes, 31 de diciembre de 2013

Ultimo dia del año

El 2013 esta por terminar y en unas cuantas horas estaremos en un nuevo año, en el cual muchos de nosotros nos ponemos metas de cualquier tipo, muchos se ponen como meta para bajar de peso (si no es que el 90%) después de toda la comedera, muchos se ponen de meta de alcanzar su proyectos a corto, mediano y largo plazo, en mi caso tengo como meta mantener este blog con un post al día en temas de seguridad, redes, programación, tecnologias de la información, entre otros temas. La finalidad es simplemente compartir el conocimiento. Este blog lo comenze hace un año con la misma intención, hubo meses en los cuales no puede realizar ningún post debido al tiempo exigido en mi trabajo (sin llorar), pero ahora me estoy hachando el compromiso con ustedes y conmigo mismo de mantenerlo actualizado con información que les será para muchos de intereses, para otros informativos, etc… el objetivo de este blog es el poder compartir información con todos ustedes, les agradezco por este año a las personas que siguieron mi blog, a los que me preguntaron que por que había estado ausente durante un tiempo, a las personas que nos han visitado, muchas gracias, y sigan visitándonos que este año tengo el compromiso de estar casi de diario publicando, los mejores deseos para todos ustedes que pasen felices fiestas en compañía de su familia.

lunes, 30 de diciembre de 2013

De regreso

hace un año que surgió este blog, con la finalidad de mostrar a nuestros visitantes temas relacionados con la seguridad informática, redes, programación, y temas de seguridad fisica (hablando de tecnologias) no esperen que se les enseñe jiu-jitsu :P, el caso es que de nueva cuenta estaremos publicando seguido temas de interes para aquellos que les gusten los temas mencionados, no se fue tan constante con el blog, debido a la falta de tiempo, el laburo, etc... pero de nueva cuenta estaremos aqui publicando y comenzando el 2014 con más información y temas de interes para ustedes, de nueva cuenta gracias por seguir nuestro blog.

saludos

viernes, 30 de agosto de 2013

superman en un backdoor de Technicolor TG852N

El dia de hoy se me ocurrio publicar este backdoor, para reforzar que mas gente este enterada de esta vulnerabilidad, me ha tocado verlo en casas, instituciones, escuelas, y realmente muchas personas no tienen ni puta idea que esta vulnerabilidad esta.

Es todo va dirigido para todas las personas que tengan como ISP a telnor, telmex y tenga este equipo, les recomiendo mitigarlo no les quita ni cinco minutos. Tambien lo he visto en los que ofrecen el servicio de infinitum movil, asi que ha mitigarlo.

Realmente este backdoor viene de fabrica, asi como el manejo remoto, asi que les dejo este video para que lo revisen y lo solucionen.

viernes, 23 de agosto de 2013

Explicacion Basica de STP

Recién hablaba con un amigo y me pregunta por STP como funciona, que hace, como se configura, por lo que me alentó a crear una explicacion basica de como funciona, es un tema completamente de networking a nivel de capa 2 que es considerado muy importante en las redes empresariales.

Les dejo el video donde explico con packet tracer su funcionalidad, definiciones y configuración.

miércoles, 10 de julio de 2013

Un tema Viejo: Pishing

El dia de hoy me encontre con un amigo que me dijo que alguien había accesado a su cuenta de facebook, pero que no creía por que no le habían cambiado el password y el no se lo había pasado a nadie, el caso es que le pregunte que había hecho en la pc, revise su LAN tenia buen cifrado por lo que no vi logs de otras maquinas en su area local que no fueran las del donde pudieran hacer un man in the middle con SSLstrip para sacarle el pasword, el caso que el tipo no tenia ni malware en la maquina pero se había acordado que le llego un mail de "lulu" una nena que le ofrecia fotos, entonces me decidí a revisar el link que le habían enviado.

Ese link no era mas que un pishing que al pobre shore no le daba Ni puta idea que asi le pudiera robar información, el dominio era el siguiente: lulusexosa.zapto.org, con solo verlo me recuerda al cliente de dominios noip.com, y efectivamente era de ahí.

Le habían mandado en esa dirección un índex.php el cual era idéntico al de facebook solamente que le habian cambiado el nombre a las variables de email y pass, el caso que al analizarlo el server que lo alojaba permitia accesar a los archivos en esa carpeta, era un server corriendo en debian con apache y php, ahi me encontre con este código.

<?PHP
$USER = $_POST['email'];
$PASSWORD = $_POST['pass'];
$IP = $_SERVER['REMOTE_ADDR'];
$Correo = 'Correo ="'.$USER.'" ,';
$pwd = 'Password ="'.$PASSWORD.'" ,';
$file = fopen("/var/www/test.txt", "w") or die("can't open file");
fwrite($file,$Correo);
fwrite($file,$pwd);
fclose($file);
header("Location: https://www.facebook.com/");
?>

Un php simple que guardaba el usuario y el password de quien caia en la pagina, y donde alojaba los passwords, oh mi sorpresa estaba el usuario y password de mi gran amigo el cual efectivamente le había dejado a quien sabe quien su información del facebook, para su desgracia el mismo password que utilizo era el que también usa en password.

Le di varias recomendaciones de como manejar sus password, diferentes para otra cuentas que no se repita y sobre todo que no acepte ligas o archivos de fuentes desconocidas por mas te alborote la hormona alguna mujer con que te enviara fotos o x cosa.

Aprovecho el espacio para que en general tengamos cuidado con estos pequenos detalles, el buen shore se había preocupado por la su cifrado en su WLAN, empleo seguridad en ella, pero olvido el tema de la ingeniería social lo que le comprometió sus cuentas, debemos hacer conciencia y no aceptar cualquier cosa que nos envíen, debemos tomar precaución por que esta en juego nuestra información y lo mas importante nuestra privacidad.

miércoles, 3 de julio de 2013

Me bajo rapido, no le pasa nada a la lap

Muchas veces nos enfocamos en la seguridad, en el hacer un código que nos ayude a obtener ventaja, busca de vulnerabilidad, seguir el PTES de pentesting, incluso en el troubleshooting, pero siempre olvidamos la mas importante lo físico.

Un dia recuerdo que se nos había caído en el enlace en una empresa y nadie tenia ni puta idea de que había pasado, había muchos administradores de red haciendo troubleshooting, no podían entrar al router, marcaron a donde comparten en el enlace, al ISP, a todo mundo pero olvidaron lo físico, y el problema cual era, que cuando realizaron el re organizamiento de los cables desconectaron el serial del router y bueno ese era el "main Issue", lo que les pudo haber tomado 2 minutos les tomo 4 horas con el sistema caído.

En fin eso mismo pasa en la seguridad, conozco tipo que tienen desde la red hogareña su cifrado decente del router, filtrado de mac, hidden SSID, se conectan a VPN en redes inseguras, hacen todo lo posible para que no les rompan la seguridad de su PC, ah pero que pasa con lo físico, ya hemos escuchado hablar del ataque de David hasselhoff que por cierto me toco realizarle ahora aun tipo del trabajo que no bloqueo el pc.

Como les decía los tipos se protegen del todo, aunque sabemos que nadie puede proteger su seguridad en una red, pc, etc... del 100 por ciento pero si mitigar muchas malas configuración que pueden explotar cualquiera, script kiddies, etc... Entonces ya con todo esto, alguien decide ir a la tienda, o decide ir x lugar y dejar la pc en el carro, al cabo me tardo 4 minutos, es tiempo suficiente para exponer la computadora y que se las roben, así que quien se preocupo por proteger su red, actualizaciones, configuraciones, en cuatro minutos fue despejado de su pc, les dirán que importa he cifrado el disco y no pueden robarme la información, pero de igual manera descuidaron lo físico y tendrá que reponer el equipo ahora imaginemos a los que no tienen password en la pc, es un tema de cuidado es por eso que les comparto lo siguiente para que tengan una idea de como operan los delincuentes sin nociones informáticas en el robo de pc.s portátiles, tables, iphone, ipad, etc....

Así que si se bajan por mas rápido al OXXO siempre bajen con ustedes la pc, no le despeguen la vista ni siquiera en x lado por que en cualquier momento puede ser burlada la seguridad física.

lunes, 24 de junio de 2013

Perdiendo el correo electrónico en iphone 4s o 5 con terminal bloqueado

Este tipo de ataque de ingeniería social, le permite a los delincuentes, personas que quieren jugar una mala broma o metiches que quieren obtener información de su correo electrónico, que lo puedan realizar por medio de siri con el terminal bloqueado, a grosso modo lo que hace es que le pregunta a siri ¿Quien Soy?, posteriormente siri arroja el nombre, con el numero móvil y correo electrónico. Ya con saber el correo basta con irnos a hacer login y poner olvide el password. Una vez que ponemos olvide el password si la cuenta tiene la opción de mandar un código SMS para recuperar el password prácticamente tenemos el correo perdido. Las notificaciones en iphone si se lo permiten pueden salir con la terminal bloqueada de esa manera la persona que trata de hurtar la cuenta va a poder ver ese código y de esa manera accesar a su correo, les dejo un video para que se den una idea.

De esta manera hay que deshabilitar las notificaciones, no dejar el móvil al alcance de cualquiera, y sobre todo cuidar nuestros equipos para no dejar información disponible para que una persona de mala leche invada nuestra privacidad.

lunes, 1 de abril de 2013

Backdoor por medio de EverNote

Cada vez nos encontramos con aplicaciones que se usan como intermediario para dejar algun backdoor o que explota alguna vulnerabilidad de la misma, esta vez es el caso de EverNote que es la herramienta en el cual organiza la informacion mediante notas para usuarios y tambien para empresas en el cual tiene distintas funcionalidades.

Como les comentaba los cibercriminales hacen el uso de esta herramienta de tipo command-and-control para enviar instrucciones al malware instalado en la PC infectado haciendo uso de botnets. Esta vulnerabilidad es BKDR_VERNOT.A descubierto por TrendMicro.

El comportamiento del malware es el envio de un archivo ejecutable como una biblioteca de DLL, la DLL se asocia a un proceso legitimo en marcha para esta manera pasar a desapercibido y evitar ser detectado, una vez que se ha instalado BKDR_VERNOT.A puede realizar varios comando de backdoor como descargar , ejecutar y renombrar archivos, de esta manera tambien recopila la informacion sobre el OS, hostname, usuarios, etc...

La recomendacion para evitar este tipo de amenzas es no visitar webs desconocidos y abrir los correos electronicos de dudosa procedencia, esto no nos dice que siguiendo esta recomendacion quedaremos excento de tal cosa pero si es una buena disciplina al momento que estemos navegando, quedaremos en espera del parche que acabe con esta vulnerabilidad.

sábado, 23 de marzo de 2013

Crisis en IT

Cada vez mas muchos informáticos estamos siendo afectados por la globalizacion, el tema del outsourcing en el cual las empresas no nos consideran del todo importantes (en realidad nadie es indispensable en una empresa), pero la mayor parte del tiempo estamos interactuando en ella para solucionar los problemas diarios, se ha caido la red, no sirve mi teléfono IP, se ha dañado mi PST, y siempre recurren a nosotros (los apaga fuegos). Realmente si nos basamos en la pirámide de Maslow hablando de informática nos estan dejando mucho que desear.

Claro que el capital que se recibe es un factor importante, pero lo que me preocupa del todo es el desarrollo como informático que una persona puede tener, es lamentable (me refiero principalmente a mi ciudad), no existe el desarrollo, no existe la superacion ni los cambios de niveles.

Posiblemente es una época en el que nuestro trabajo ha sido sobre evaluado, pero que pasa con las personas (me incluyo) que le gusta la seguridad, la programación, el manejo de OS, y que realmente en el ambiente en el que te encuentres te digan NO ES NECESARIO LO QUE SABES, tu te dedicas a cambiar dispositivos de entrada, cartuchos para las impresoras, computadoras y arreglar una que otra BD de access, por que el acceso a SQL solo lo tienen empleados nacidos en USA (lo menciono por que gran parte de la invesion en mi ciudad es de USA)

Lo mas triste de este asunto es que no es una empresa en especifico, si no todas, puedes cambiar de trabajo pero te encontraras haciendo lo mismo, solo cambia el nombre y una que otra prestacion. Entiendo que hay personas conformistas que dicen "He encontrado mi zona de confort, al salir del trabajo ya no necesito estudiar mas informática", conozco varios asi que se han quedado agusto en ese puesto por años (es cosa de cada quien), pero para los que nos queremos superar y realmente realizar algo profesional nos encontramos con un panorama totalmente gris.

Hace meses hablaba con mi amigo arp, y me decia: che el nivel 1 de help desk es un precio que todo informático paga (totalmente de acuerdo), pero el detalle es que en cualquier lugar aquí en Mexicali (ciudad fronteriza) es lo mismo, estamos rezagados ante la tecnología. Y si tienes la oportunidad de subir o te vas a hacer tareas administrativas y tu nivel de IT se hace obsoleto en poco tiempo, por que tomas cursos de conceptos IT y te encargas de manejar inventarios.

Actualmente muchos de nosotros nos actualizamos por fuera, tenemos esa pasion por lo que nos gusta hacer, aprendemos, hacemos pero pasar 9 horas en un trabajo en el cual tienes una barrera que te dice "!hey parate que no ves que eso es OUT OF SCOPE", pero yo se la solucion, tu contacta al proveedor por que la politica de la empresa asi lo marca(respuesta al problema).

En pocas palabras amigos, la salida es la independencia y comenzar a innovar, crear esa necesidad para las empresas, mostrarles realmente las areas de oportunidad, mostrarte competitivo, seguir con pasión, firmeza las metas que uno tiene, espero poder aportar algo por mi ciudad y poder impulsar las tecnologías para cualquier persona que se quiera superar, y desarollarse en la informática.

Cuantos de ustedes presentan esa misma situación en su pais y/o ciudad?

lunes, 4 de marzo de 2013

Detectando ARP Spoofing en la red local

Cuantas personas siguen conectándose a redes inseguras, como la WI-FI de la facultad, starbucks, redes open, podría decir miles, realmente no le han dado la seriedad a este tipo de temas, en mi caso me da pavor conectarme a redes que no conozco por que no se quien esta en esa red.

Ninguno de nosotros estamos exentos de ser sniffeados, sobre todo en una red insegura de la cual no tenemos el control de los usuarios que accesan, hay herramientas la cuales nos permiten detectar actividad en el protocolo arp cuando algún curioso modifique el trafico, mandando los mensajes falsos asociadas a la dirección IP del router, etc...

Si te gusta conectarte a redes inseguras pero quieres monitorear si hay algun cambios en las direcciones fisicas, capa 2 del modelo OSI, protocolo ARP, una buena opcion es Arpwatch una herramienta que le da seguimiento a los emparejamientos de las direcciones IP.

Arpawatch guarda logs, actividad e incluso puede reportar por correo electrónico, lo veo mas útil esta opción si lo implementas dentro de tu red.

En debian lo instalamos:

sudo apt-get install arpwatch

Para revisar seleccionan la interfaz deseada, eth0, eth1, dependiendo de la que tengan

sudo arpwatch -i eth0

Para ver los los logos bastan con revisar la siguiente ruta

tail -f /var/log/syslog

De esta manera podriamos verificar si alguien esta Spoofeando el ARP y pueden evitar ser pillados por un sslstrip, etc...

domingo, 3 de marzo de 2013

Quitando el molesto Ransomware

En los ultimos meses he tenidos varias visitas de personas las cuales han sido infectadas con el malware "Ransomware", el cual restringue el acceso a la PC, mediante una pantalla como la siguiente:

Hay varias presentaciones de este malware, aca en México te dice que el trafico de toda tu PC desde tu ubicación ha sido analizada y se han encontrado con que visitas sitios de pornografía infantil, por lo cual debes de realizar un deposito de cierta cantidad de efectivo en distintos establecimientos, una vez realizado el pago ingresas el código y podrías ingresar de nuevo a tu PC.

Esto no es mas que una mentira y un aviso de que tu PC ha sido comprometida, por un Ransomware, el cual trabaja de la siguiente manera:

Para comenzar en el troyano es distribuido como DLL, ya sea por medio de regsvr32.exe o rundll32.exe, a este ultimo se le envia el parámetro DLL y una funcion que este dentro. Ya una vez que la PC ha sido infectada, se copia al startup de la PC con una extensión .exe cuando en realidad sigue siendo una .DLL donde introduce un .Ink que hace enlace con la .DLL, eso lo hace el malware para engañarnos del contenido del archivo y aparte que quede funcionado cuando accese cualquier usuario y en safe mode.

La final de infectar la maquina con DLL, la respuestas mas sencilla es para engañar al antivirus por que al venir de rundll32.exe y esto pone a salvo al troyano.

El comportamiento del malware que normalmente sucede es que internet explorer lo trabajan en modo kiosko tratando de restringuir lo mas posible de tu PC, pero no lo consigue del todo, una forma sencilla de eludir ransomware para accesar a la maquina es corriendo un explorer.exe o en algunas ocasiones presionando la tecla de windows.

Si tienes duda en como trabaja el modo kiosko de internet explorer andate a la siguiente ruta
C:\Program Files\Internet Explorer>

Y corre iexplore.exe -k

Asi que ya saben si alguien los intenta pillar con este tipo de malware realmente es sencillo salir de el y lo mejor de todo ya saben que no deben de realizar ningún pago, por que no es mas que una mentira.

lunes, 4 de febrero de 2013

Profesores revisan metadatos en escuelas

Ya tenia tiempo que no andábamos por aquí debido a mucho trabajo durante el mes de enero que parece que no termina, la escuela, y bueno el caso que les vengo a contar el dia de hoy alumnos de Universidad han sido víctima de los meta datos un tema explicado en un post anterior.

En el caso de esta historia fue un mal entendido, pero si nos ponemos a pensar realmente ¿cuantas personas le dan bola a este tema?, funcionarios, maestros, información confidencial, realmente ahi podemos comprobar la legitimidad de la información, pero en fin siguiendo con nuestra historia escolar hay muchas personas por motivos de tiempo o trabajo se les complico realizar dicha investigación o algunos simplemente no la realizaron y se les pues hacer fácil editar el mismo documento y enviarlo al profesor sin tomar en cuenta que el profesor tenia en mente revisar los meta datos, algo parecido a lo que le paso a aquel ministro ingles Tony Blair, que dijo que nunca se habia modificado el archivo y cuando se buscaron meta datos nos encontramos con que si se habia modificado.

Pero la finalidad de este archivo es que tomemos en cuenta como podemos revisar meta datos cuando nos quieran hacer una mala jugada modificando ciertos archivos, para aquellos que no quieran bajar una herramienta tenemos a foca online que busca esta información y nos muestra algo parecido a esto:

El caso aquí es no hacer trampa en ciertas cosas y mantener un juego limpio, pero OJO a veces tal vez debemos enviar un documento a alguien y no nos da confianza la fuente, también podemos borrar ciertos meta datos esto con la finalidad de no decir que versión de Office utilizamos inclusive se podría revelar el tiempo de sistema operativo, la ruta donde estaba almacenado el archivo, debido a que podemos ser parte de un ataque de malware dirigido, para eso tenemos herramientas que borran como meta data analyzer.

Recuerden utilizar estas herramientas con la finalidad de proteger su privacidad y no hacer trampa en la escuela o salvarse de una situación enredosa.

martes, 8 de enero de 2013

Honeypots

Hace dias se habían publicado acerca del footprinting para obtener información de ciertos objetivos en particular, pero también existe la posibilidad de obtener información acerca de los atacantes, aprendemos de ellos para hacer mas seguro nuestro entorno. Lo realizamos por medio de Honeypots por que de esta manera atraemos atacantes haciéndoles creer que nuestro sistema es totalmente vulnerable, en pocas palabras nos mostramos totalmente atractivos para que nos compartan sus secretos.

De esta manera se convierte en una herramienta muy poderosa para las organizaciones por que de esta manera lo que se hace es recabar información acerca de los tipos de ataques lanzados en contra, pero lo mejor de todo es que los podemos hacer pasar tiempo en romper ese honeypot, los mantenemos ocupados para no atacar los objetivos primarios y nos esta avisando que hay un ataque en curso, lo que nos pone en alerta y evitar que el Hax0r llegue a nuestro sistema.

Por ejemplo en backtrack el cual esta muy bien explicado, nos permite la opción de configurar un honeypot que realmente no existe el sistema operativo por lo tanto es una buena medida de seguridad y sobre todo una distracción al atacante, tambien hay Honeypots los cuales si existe el sistema operativo y de esta manera se puede recopilar información muy importante para mejorar nuestra seguridad y aprender nuevas técnicas.

Hace tiempo leia un articulo no recuerdo la pagina si no les daba la liga, pero la policía en USA utilizo un honeypot de chat para atraer personas dedicadas a la pornografía infantil, así de esta manera los criminales fueron rastreados por sus malas mañas y se les encarcela gracias al honeypot.

Tambien tenemos a las honeynet un gran red recopiladora de nuevos ataques, debido a que son muchos equipos los que son atacados y de esta manera permite recopilacion de mucha informacion, esta es una honeynet dedicada a obtener los ultimos ataques por la cantidad de equipos que son atacados.

Los honyepot son una buena medida de seguridad que se puede implementar fácilmente, si deseas instalar un honeypot y empezarlo a conocer. Tambien tenemos HoneyDrive Desktop que nos permite correr nuestro propio honeypot.

lunes, 7 de enero de 2013

Hacking con Google

Anteriormente se comentaba sobre la obtención de información y como se podían encontrar fallas de seguridad con nikto, el día de hoy le toca ser mencionado a una gran herramienta que para muchos es solamente un buscador cualquiera, pero para otros es una herramienta con la cual pueden encontrar alguna vulnerabilidad e información importante que no debiera ser vista por cualquiera.

Hay muchos buscadores en la web pero el día de hoy nos enfocaremos en google, muchos se preguntaran como puedo obtener información con google hay muchas maneras de hacerlo, inclusive ya hay libros como el de informatica64, que me encantaría tener pero por cuestiones de shipping no me sale conveniente pedirlo, espero y un día haya un distribuidor acá en Mexico.

Sabemos que google es el mas grande motor de búsqueda en el mundo, si lo conoces bien sabes que nos permite encontrar información detallada, no es sensitivo a las mayúsculas o minúsculas, es amigo, profesor y como le quieran poner. Google nos permite usar operadores booleanos, operadores aritméticos, el caso es que si no esta bien configurado el servidor, el motor de búsqueda se convierte en una herramienta para un atacante permitiéndole:

información confidencial.
Directorios que no deben de estar indexados.
logs.
Mensajes de error.
Extensiones de archivo.
Vulnerabilidades en el servidor, etc..

Un ejemplo de encontrar información que revele información que no debiera ser revelada:

De esta manera un atacante esta obteniendo información que pudiera darle un acceso a nuestro sitio, o que pueda obtener información por medio del buscador, es un error en la configuración la cual nos deja vulnerables ante unos simples queries, y por medio de google. Como les mencionaba anteriormente es un riesgo ya que cualquiera en cualquier parte del mundo puede tener acceso las 24/7 a este tipo de informaron, al menos que pase un milagro y se caiga google (lo dudo), el atacante no tendrá acceso hasta que google restaure el sistema.

La manera en la que podemos evitar que la información se quede indexada es:

Primero que nada nos podemos hacer de un scanner para ver muestras vulnerabilidades y arreglarlas ASAP.
Remover enlaces viejos.
Bloquear el googlebot mediante robots.txt, un dolor de cabeza al comienzo, aun no lo termino de entender pero es muy recomendable.
No indexar.
Eliminar la cache

El tema es claro, si alguien les quiere encontrar vulnerabilidades o malas configuraciones lo puede obtener sencillamente, lo bueno que ya sabemos que podemos hacer uso de un scanner, y tenemos definiciones en internet para hacer la configuración adecuada y no permitir que por medio de google nos puedan atacar.

domingo, 6 de enero de 2013

Olvidando la seguridad en equipos de video vigilancia

Hace tiempo cuando instalábamos cámaras de video vigilancia a ciertos clientes o hacíamos que tuviera salida a internet, por que aunque no lo crean en la localidad para muchos proveedores era un reto lograrlo ya que el ISP de nuestra localidad tocaba los firmware de los routers.

El caso es que hace dos o tres días vagando por la web me encontre un tema de chema alonso que mencionaba un website del voyeur lo que me hizo recordar el 2010 cuando todo negocio quería cámaras de seguridad en sus establecimientos comerciales y algunos en residencia.

El caso es que siempre que dábamos mantenimientos a equipos que no instalábamos nosotros nos y muchas veces nos encontrábamos con unas fallas terribles de seguridad en estos equipos, para empezar los sistemas de video vigilancia tenían la configuración de login por default:

user: admin password:admin
user: admin password: password

Había algunos que no tenían salida a internet pero eran usados en una red local de todo el corporativo, ni siquiera aislada en una VLAN (solamente con acceso a seguridad) para evitar que usuarios no autorizados pudieran hacer uso de este sistema de video vigilancia. El caso es que lo tenían en la VLAN nativa donde cualquier individuo con un poco de curiosidad podía ingresar a estos sistemas, obviamente como las credenciales eran default, se tenían privilegios para borrar logs, bajarse vídeos o inclusive borrar vídeos, de esta manera tenían facilidad de cometer una falta y borrar las evidencias.

Otro caso que nos encontramos era un establecimiento comercial con un sistema de video vigilancia de 16 cámaras y micrófonos, tenia salida a internet, credenciales por default y todavía estaba en la misma red que solían compartir a sus clientes cuando estuvieran en su establecimiento, cualquier individuo que hiciera un footprinting sencillo se iba a dar cuenta que en la misma red estaban las cámaras y por naturaleza del ser humano (morbo) tratarían el admin, admin sin saber que tendrían éxito. También como el caso anterior se tenían permisos de administrador así se podía obtener el Dominio del equipo y de esta manera tendrían acceso desde fuera Y por si fuera poco un cifrado WEP en el AP para los que quisieran romperla.

Esta mala configuración permitirá a un delincuente obtener información de entradas y salidas, a que hora se hace el corte de caja, quien sale, quien entra. Esto es una tema muy delicado que las empresas que proveen esos servicios no se preocupen por la seguridad del cliente, pero en una parte no es culpa del proveedor por que hay veces que el cliente dice "A mi ni me digas nada que no se, con que nada mas jale", "No me pongas ese password por que se me olvida".

El caso es que realize una búsqueda por medio del navegador shodan y sigue habiendo un gran números de equipos de video vigilancia con las credenciales por default:

De esta manera se encuentran sitios aun con las credenciales por defualt permitiendo que casi cualquiera pueda ingresar al sistema de video vigilancia.

Tenemos que hacer consciencia tanto los proveedores como los clientes, cuidar los pequeños detalles que puedan comprometer la seguridad e integridad de personas, establecimientos, estamos en tiempos donde la privacidad casi casi se ha ido y mas rápido se ira de nosotros si permitimos que por errores de terceros, o descuidos de nosotros mismos nos hagan vulnerables ante cualquiera.

sábado, 5 de enero de 2013

Nikto, scanner de servidores web

El dia de ayer publique sobre recopilar información con theHarvester, el día de hoy mientras me encontraba en el laburo me pregunto el ary por que no mencionas algún scanner, y es eso es lo que haré el día de hoy. Hablaremos de un scanner para servidores web llamado nikto, es de libre distribución y es conocido por muchos usuarios, esta hecha en Perl, fue creada por Chris Sullo y David Lodge.

Esta herramienta se encarga de hacer footprinting, recopilar información de los servidores web, como por ejemplo si el servidor web no esta actualizado, la configuración, directorios indexados, entre otros.
Solamente necesitamos una dirección ip o nombre de dominio para poder realizar un scan de el servidor web, como muestra el siguiente ejemplo:

sudo nikto -h <webserver>

La opción -h especifica el host que se ha querido hacer scan.

Por defecto nikto trabaja en el puerto 80 pero también podemos especificar el puerto por medio de -p, también nos permite configurar un proxy mediante -useproxy muy útil para los que quieran hacer pruebas con un intermediario, y se tienen mas opciones las cuales puedes ver en la pagina oficial de nikto.

En la configuración de nikto podemos cambiar la manera en la que nuestro navegador será guardado en los logs donde esta alojado el web server, deben tener en cuenta que al momento de que realicen un scann se van a guardad logs, los cuales contienen información acerca de ustedes, aquí lo pueden ver en la pagina oficial.

Para todos aquellos que tengan un servidor pueden hacer uso de nikto para mejor los aspectos de seguridad, como tener actualizado el servidor, evitar indexar archivos, estar al tanto de cualquier vulnerabilidad que pueda comprometer el sistema, cabe destacar que no todos los resultados que pudiera arrojar nikto tiene que ser necesariamente una vulnerabilidad.

jueves, 3 de enero de 2013

theHarvester, recopilando información

La recopilación de información "Information Gathering" es el comienzo desde 0 y uno de los pasos mas importantes para los pentesters, inclusive puede ser la diferencia entre el éxito y lo fallido.
La información es de lo mas importante, es por eso que para realizar un buen pentesting necesitamos del footprinting, y es el primer paso al momento de llevar a cabo un pentesting.

Hay infinidad de medios para obtener la información como es:

Un simple whois.
Netcraft.
Hacking con buscadores.
nslookup
search_email_collector

Y hay muchos mas para obtener información, inclusive el pararte fuera de el objetivo para ver quien sale y quien entra, o revisar los botes de basura para obtener información como hizo Mitnick en operation take down.

El tema es que entre mas información recopilemos es mejor, dominios, subdominos, emails, usuarios, hostname, etc... Para esto me tope con una herramienta que nos puede ayudar al momento de hacer information gathering que se llama theHarvester y nos facilita mucha información que debe de ser recopilada, esta herramienta fue hecha en python por Christian Martorella y solo es necesario proporcionar la URL de la cual queremos obtener información y nos proporcionara lo siguiente:

Por medio de google, bing, exalead obtener correos, perfiles de empleados, subdominos, hostnames.
PGP Servers.
Por medio de LinkedIn nos permite obtener información de los perfiles de empleados.
Hay una opción que me gusto por que nos permite utilizar la base de datos de shodan.

La sintaxis es muy sencilla, supongamos que vamos a obtener información de x domino, basta con ejecutar el siguiente comando:

sudo ./theHarverster -d <nombre_dominio> -l 300 -b google

-l nos permite limitar la búsqueda por una cantidad especificada.

-b especificamos el motor de búsqueda, si ponemos all lo hará con todos los mencionados anteriormente.

-f esta función no la especifique en el comando pero nos permite que podamos guardar la información en un archivo html o xml.

Es una herramienta que en manos de algún ingeniero social puede ser de mucha utilidad, esto quiere decir que nuestra información esta para quien la quiera y sepa como obtenerla, una manera en la que podemos hacer para dificultarles la recopilación de información podría ser creando distintas cuentas de correo, diferentes usuarios para dificultar al ingeniero social.

En niveles empresariales es un poco mas complicado debido a que siguen políticas de correo, por ejemplo nombre.apellido@dominio, o ya tienen un patrón definido para crear los usernames del sistema.

Pero si eres tu quien tiene el control del sistema y tiene libre albedrío puede comenzar a dificultar el trabajo de los ingenieros sociales.

miércoles, 2 de enero de 2013

Privacidad, tema del pasado

Años atrás quien pensaba que era solo ciencia ficción que alguien ubicado distante geográficamente podría llevar un control de nuestras vidas, nuestra ubicación en tiempo real, déjenme decirles que eso es posible el día de ahora y no por un gobierno autoritario que nos ha implantado chips en el cuerpo para ubicarnos por medio de GPS.

Nosotros mismos somos los que nos encargamos de darles información inconsciente o conscientemente a las demás personas y de hacerles saber nuestra ubicación geográfica. ¿como es posible eso?, uno de los principales es Facebook, cada cuanto no se da un check in para informar en donde estan, o se hace tag a un conocido o algún lugar al que has visitado.

Otro factor que se encarga de hacerles saber a las personas nuestra ubicación geográfica son los metadatos, es un tema que ya tiene bastante tiempo y que también ha sido mucha veces explicado por chema alonso, acerca de toda la información que puede ser recopilada por los metadatos. De hecho esta un caso interesante de Tony Blair en el que juraba por la reina Isabel que no se había editado un documento, el cual mas tarde descubrieron por los metadatos que su afirmación era falsa.

Retomando el tema inicial de nuestra privacidad y de los metadatos tenemos a Exif es un formato de archivo utilizado por las cámaras digitales, estos datos están incrustado en la imagen, mientras los nuevos programas de manipulación de imágenes pueden detectar el formato Exif, este formato nos da la fecha y hora en que la fotografía fue creada, modelo de la cámara, fabricante, inclusive algunas nos dan localización geográfica, este ultimo siempre y cuando el usuario haya permitido la relación con el GPS, apple es lo primero que pregunta al abrir la cámara

Cuando se toma una foto mediante un smartphone que tiene activado el GPS nos revelan datos como coordenadas geográficas donde la fotografía ha sido tomada, basta ir a google maps para identificar la localización exacta de donde fue tomada esa fotografía.

Para obtener información relacionada a la geolocalizacion esta Exif Viewer y para los linuxeros esta creepy, desarrollado en python, solo basta con ir a la consola e instalarlo, en distribuciones como backtrack ya viene incluido.

Un ejemplo de como se obtiene la geolocalizacion ya sea subiendo un archivo con el puro URL en el mismo web:

Si vemos GPS position nos indica las coordenadas de donde fue tomada la fotografía, inclusive se tiene la opción location para ser mas detallado con la API de google maps.

Si alguien desea la visión street view basta con ir a google maps y poner las coordenadas, tendría la vista asi.

Tal vez se preguntan bueno y como puedo solucionar esto, deshabilitar el servicio de geolocalizacion en sus smartphones, sobre todos a aquellos que manejan apple por que la primera vez que abren la Camara les pregunta si quiere informar sobre la ubicación, o en dado caso que no tengan duda en si esta o no esta, vayan a ajustes generales y restaurar localización.

Sin duda alguna tenemos que estar mas al pendiente de nuestros dispositivos para evitar revelar información que pueda invadir nuestra privacidad.

martes, 1 de enero de 2013

Un forense llevado a juicio

Es una lectura de Juan Luis Garcia Rambla de origen español en la cual nos comparte su experiencia en análisis forense, este informático ha sido reconocido como MVP durante siete años consecutivos por Microsoft y es escritor del blog de legalidad informática.

En cuanto a su lectura es muy interesante debido que a su experiencia deja este escrito relacionado a los juicios en los que intervienen informáticos que obtienen los resultados de los análisis forenses, y va dirigido para cualquiera que tenga interés en como se llevan a cabo este tipo de juicios y el peritaje. Cabe destacar que esta lectura esta basada en las leyes españolas.

Dentro de la lectura es interesante como menciona el proceso de obtención de información el cual no es uno en especial pero nos ha dejado una de las mejores formas.

Menciona el copiado del disco duro obteniendo un hash de preferencia SHA1 y creando un archivo de custodia el cual a futuro servira en el juicio.

Hace mención que durante la documentación de dicho informe nos encontramos con un publico con distinto perfil al de nosotros por lo cual se deben emplear glosarios para complementar con un poco de pedagogía el lenguaje técnico para que pueda ser entendido por el publico en ese momento.

Realmente es una lectura muy interesante, en esta liga la pueden encontrar.