OSI SECURITE

martes, 8 de enero de 2013

Honeypots

Hace dias se habían publicado acerca del footprinting para obtener información de ciertos objetivos en particular, pero también existe la posibilidad de obtener información acerca de los atacantes, aprendemos de ellos para hacer mas seguro nuestro entorno. Lo realizamos por medio de Honeypots por que de esta manera atraemos atacantes haciéndoles creer que nuestro sistema es totalmente vulnerable, en pocas palabras nos mostramos totalmente atractivos para que nos compartan sus secretos.

De esta manera se convierte en una herramienta muy poderosa para las organizaciones por que de esta manera lo que se hace es recabar información acerca de los tipos de ataques lanzados en contra, pero lo mejor de todo es que los podemos hacer pasar tiempo en romper ese honeypot, los mantenemos ocupados para no atacar los objetivos primarios y nos esta avisando que hay un ataque en curso, lo que nos pone en alerta y evitar que el Hax0r llegue a nuestro sistema.

Por ejemplo en backtrack el cual esta muy bien explicado, nos permite la opción de configurar un honeypot que realmente no existe el sistema operativo por lo tanto es una buena medida de seguridad y sobre todo una distracción al atacante, tambien hay Honeypots los cuales si existe el sistema operativo y de esta manera se puede recopilar información muy importante para mejorar nuestra seguridad y aprender nuevas técnicas.

Hace tiempo leia un articulo no recuerdo la pagina si no les daba la liga, pero la policía en USA utilizo un honeypot de chat para atraer personas dedicadas a la pornografía infantil, así de esta manera los criminales fueron rastreados por sus malas mañas y se les encarcela gracias al honeypot.

Tambien tenemos a las honeynet un gran red recopiladora de nuevos ataques, debido a que son muchos equipos los que son atacados y de esta manera permite recopilacion de mucha informacion, esta es una honeynet dedicada a obtener los ultimos ataques por la cantidad de equipos que son atacados.

Los honyepot son una buena medida de seguridad que se puede implementar fácilmente, si deseas instalar un honeypot y empezarlo a conocer. Tambien tenemos HoneyDrive Desktop que nos permite correr nuestro propio honeypot.

lunes, 7 de enero de 2013

Hacking con Google

Anteriormente se comentaba sobre la obtención de información y como se podían encontrar fallas de seguridad con nikto, el día de hoy le toca ser mencionado a una gran herramienta que para muchos es solamente un buscador cualquiera, pero para otros es una herramienta con la cual pueden encontrar alguna vulnerabilidad e información importante que no debiera ser vista por cualquiera.

Hay muchos buscadores en la web pero el día de hoy nos enfocaremos en google, muchos se preguntaran como puedo obtener información con google hay muchas maneras de hacerlo, inclusive ya hay libros como el de informatica64, que me encantaría tener pero por cuestiones de shipping no me sale conveniente pedirlo, espero y un día haya un distribuidor acá en Mexico.

Sabemos que google es el mas grande motor de búsqueda en el mundo, si lo conoces bien sabes que nos permite encontrar información detallada, no es sensitivo a las mayúsculas o minúsculas, es amigo, profesor y como le quieran poner. Google nos permite usar operadores booleanos, operadores aritméticos, el caso es que si no esta bien configurado el servidor, el motor de búsqueda se convierte en una herramienta para un atacante permitiéndole:

información confidencial.
Directorios que no deben de estar indexados.
logs.
Mensajes de error.
Extensiones de archivo.
Vulnerabilidades en el servidor, etc..

Un ejemplo de encontrar información que revele información que no debiera ser revelada:

De esta manera un atacante esta obteniendo información que pudiera darle un acceso a nuestro sitio, o que pueda obtener información por medio del buscador, es un error en la configuración la cual nos deja vulnerables ante unos simples queries, y por medio de google. Como les mencionaba anteriormente es un riesgo ya que cualquiera en cualquier parte del mundo puede tener acceso las 24/7 a este tipo de informaron, al menos que pase un milagro y se caiga google (lo dudo), el atacante no tendrá acceso hasta que google restaure el sistema.

La manera en la que podemos evitar que la información se quede indexada es:

Primero que nada nos podemos hacer de un scanner para ver muestras vulnerabilidades y arreglarlas ASAP.
Remover enlaces viejos.
Bloquear el googlebot mediante robots.txt, un dolor de cabeza al comienzo, aun no lo termino de entender pero es muy recomendable.
No indexar.
Eliminar la cache

El tema es claro, si alguien les quiere encontrar vulnerabilidades o malas configuraciones lo puede obtener sencillamente, lo bueno que ya sabemos que podemos hacer uso de un scanner, y tenemos definiciones en internet para hacer la configuración adecuada y no permitir que por medio de google nos puedan atacar.

domingo, 6 de enero de 2013

Olvidando la seguridad en equipos de video vigilancia

Hace tiempo cuando instalábamos cámaras de video vigilancia a ciertos clientes o hacíamos que tuviera salida a internet, por que aunque no lo crean en la localidad para muchos proveedores era un reto lograrlo ya que el ISP de nuestra localidad tocaba los firmware de los routers.

El caso es que hace dos o tres días vagando por la web me encontre un tema de chema alonso que mencionaba un website del voyeur lo que me hizo recordar el 2010 cuando todo negocio quería cámaras de seguridad en sus establecimientos comerciales y algunos en residencia.

El caso es que siempre que dábamos mantenimientos a equipos que no instalábamos nosotros nos y muchas veces nos encontrábamos con unas fallas terribles de seguridad en estos equipos, para empezar los sistemas de video vigilancia tenían la configuración de login por default:

user: admin password:admin
user: admin password: password

Había algunos que no tenían salida a internet pero eran usados en una red local de todo el corporativo, ni siquiera aislada en una VLAN (solamente con acceso a seguridad) para evitar que usuarios no autorizados pudieran hacer uso de este sistema de video vigilancia. El caso es que lo tenían en la VLAN nativa donde cualquier individuo con un poco de curiosidad podía ingresar a estos sistemas, obviamente como las credenciales eran default, se tenían privilegios para borrar logs, bajarse vídeos o inclusive borrar vídeos, de esta manera tenían facilidad de cometer una falta y borrar las evidencias.

Otro caso que nos encontramos era un establecimiento comercial con un sistema de video vigilancia de 16 cámaras y micrófonos, tenia salida a internet, credenciales por default y todavía estaba en la misma red que solían compartir a sus clientes cuando estuvieran en su establecimiento, cualquier individuo que hiciera un footprinting sencillo se iba a dar cuenta que en la misma red estaban las cámaras y por naturaleza del ser humano (morbo) tratarían el admin, admin sin saber que tendrían éxito. También como el caso anterior se tenían permisos de administrador así se podía obtener el Dominio del equipo y de esta manera tendrían acceso desde fuera Y por si fuera poco un cifrado WEP en el AP para los que quisieran romperla.

Esta mala configuración permitirá a un delincuente obtener información de entradas y salidas, a que hora se hace el corte de caja, quien sale, quien entra. Esto es una tema muy delicado que las empresas que proveen esos servicios no se preocupen por la seguridad del cliente, pero en una parte no es culpa del proveedor por que hay veces que el cliente dice "A mi ni me digas nada que no se, con que nada mas jale", "No me pongas ese password por que se me olvida".

El caso es que realize una búsqueda por medio del navegador shodan y sigue habiendo un gran números de equipos de video vigilancia con las credenciales por default:

De esta manera se encuentran sitios aun con las credenciales por defualt permitiendo que casi cualquiera pueda ingresar al sistema de video vigilancia.

Tenemos que hacer consciencia tanto los proveedores como los clientes, cuidar los pequeños detalles que puedan comprometer la seguridad e integridad de personas, establecimientos, estamos en tiempos donde la privacidad casi casi se ha ido y mas rápido se ira de nosotros si permitimos que por errores de terceros, o descuidos de nosotros mismos nos hagan vulnerables ante cualquiera.

sábado, 5 de enero de 2013

Nikto, scanner de servidores web

El dia de ayer publique sobre recopilar información con theHarvester, el día de hoy mientras me encontraba en el laburo me pregunto el ary por que no mencionas algún scanner, y es eso es lo que haré el día de hoy. Hablaremos de un scanner para servidores web llamado nikto, es de libre distribución y es conocido por muchos usuarios, esta hecha en Perl, fue creada por Chris Sullo y David Lodge.

Esta herramienta se encarga de hacer footprinting, recopilar información de los servidores web, como por ejemplo si el servidor web no esta actualizado, la configuración, directorios indexados, entre otros.
Solamente necesitamos una dirección ip o nombre de dominio para poder realizar un scan de el servidor web, como muestra el siguiente ejemplo:

sudo nikto -h <webserver>

La opción -h especifica el host que se ha querido hacer scan.

Por defecto nikto trabaja en el puerto 80 pero también podemos especificar el puerto por medio de -p, también nos permite configurar un proxy mediante -useproxy muy útil para los que quieran hacer pruebas con un intermediario, y se tienen mas opciones las cuales puedes ver en la pagina oficial de nikto.

En la configuración de nikto podemos cambiar la manera en la que nuestro navegador será guardado en los logs donde esta alojado el web server, deben tener en cuenta que al momento de que realicen un scann se van a guardad logs, los cuales contienen información acerca de ustedes, aquí lo pueden ver en la pagina oficial.

Para todos aquellos que tengan un servidor pueden hacer uso de nikto para mejor los aspectos de seguridad, como tener actualizado el servidor, evitar indexar archivos, estar al tanto de cualquier vulnerabilidad que pueda comprometer el sistema, cabe destacar que no todos los resultados que pudiera arrojar nikto tiene que ser necesariamente una vulnerabilidad.

jueves, 3 de enero de 2013

theHarvester, recopilando información

La recopilación de información "Information Gathering" es el comienzo desde 0 y uno de los pasos mas importantes para los pentesters, inclusive puede ser la diferencia entre el éxito y lo fallido.
La información es de lo mas importante, es por eso que para realizar un buen pentesting necesitamos del footprinting, y es el primer paso al momento de llevar a cabo un pentesting.

Hay infinidad de medios para obtener la información como es:

Un simple whois.
Netcraft.
Hacking con buscadores.
nslookup
search_email_collector

Y hay muchos mas para obtener información, inclusive el pararte fuera de el objetivo para ver quien sale y quien entra, o revisar los botes de basura para obtener información como hizo Mitnick en operation take down.

El tema es que entre mas información recopilemos es mejor, dominios, subdominos, emails, usuarios, hostname, etc... Para esto me tope con una herramienta que nos puede ayudar al momento de hacer information gathering que se llama theHarvester y nos facilita mucha información que debe de ser recopilada, esta herramienta fue hecha en python por Christian Martorella y solo es necesario proporcionar la URL de la cual queremos obtener información y nos proporcionara lo siguiente:

Por medio de google, bing, exalead obtener correos, perfiles de empleados, subdominos, hostnames.
PGP Servers.
Por medio de LinkedIn nos permite obtener información de los perfiles de empleados.
Hay una opción que me gusto por que nos permite utilizar la base de datos de shodan.

La sintaxis es muy sencilla, supongamos que vamos a obtener información de x domino, basta con ejecutar el siguiente comando:

sudo ./theHarverster -d <nombre_dominio> -l 300 -b google

-l nos permite limitar la búsqueda por una cantidad especificada.

-b especificamos el motor de búsqueda, si ponemos all lo hará con todos los mencionados anteriormente.

-f esta función no la especifique en el comando pero nos permite que podamos guardar la información en un archivo html o xml.

Es una herramienta que en manos de algún ingeniero social puede ser de mucha utilidad, esto quiere decir que nuestra información esta para quien la quiera y sepa como obtenerla, una manera en la que podemos hacer para dificultarles la recopilación de información podría ser creando distintas cuentas de correo, diferentes usuarios para dificultar al ingeniero social.

En niveles empresariales es un poco mas complicado debido a que siguen políticas de correo, por ejemplo nombre.apellido@dominio, o ya tienen un patrón definido para crear los usernames del sistema.

Pero si eres tu quien tiene el control del sistema y tiene libre albedrío puede comenzar a dificultar el trabajo de los ingenieros sociales.

miércoles, 2 de enero de 2013

Privacidad, tema del pasado

Años atrás quien pensaba que era solo ciencia ficción que alguien ubicado distante geográficamente podría llevar un control de nuestras vidas, nuestra ubicación en tiempo real, déjenme decirles que eso es posible el día de ahora y no por un gobierno autoritario que nos ha implantado chips en el cuerpo para ubicarnos por medio de GPS.

Nosotros mismos somos los que nos encargamos de darles información inconsciente o conscientemente a las demás personas y de hacerles saber nuestra ubicación geográfica. ¿como es posible eso?, uno de los principales es Facebook, cada cuanto no se da un check in para informar en donde estan, o se hace tag a un conocido o algún lugar al que has visitado.

Otro factor que se encarga de hacerles saber a las personas nuestra ubicación geográfica son los metadatos, es un tema que ya tiene bastante tiempo y que también ha sido mucha veces explicado por chema alonso, acerca de toda la información que puede ser recopilada por los metadatos. De hecho esta un caso interesante de Tony Blair en el que juraba por la reina Isabel que no se había editado un documento, el cual mas tarde descubrieron por los metadatos que su afirmación era falsa.

Retomando el tema inicial de nuestra privacidad y de los metadatos tenemos a Exif es un formato de archivo utilizado por las cámaras digitales, estos datos están incrustado en la imagen, mientras los nuevos programas de manipulación de imágenes pueden detectar el formato Exif, este formato nos da la fecha y hora en que la fotografía fue creada, modelo de la cámara, fabricante, inclusive algunas nos dan localización geográfica, este ultimo siempre y cuando el usuario haya permitido la relación con el GPS, apple es lo primero que pregunta al abrir la cámara

Cuando se toma una foto mediante un smartphone que tiene activado el GPS nos revelan datos como coordenadas geográficas donde la fotografía ha sido tomada, basta ir a google maps para identificar la localización exacta de donde fue tomada esa fotografía.

Para obtener información relacionada a la geolocalizacion esta Exif Viewer y para los linuxeros esta creepy, desarrollado en python, solo basta con ir a la consola e instalarlo, en distribuciones como backtrack ya viene incluido.

Un ejemplo de como se obtiene la geolocalizacion ya sea subiendo un archivo con el puro URL en el mismo web:

Si vemos GPS position nos indica las coordenadas de donde fue tomada la fotografía, inclusive se tiene la opción location para ser mas detallado con la API de google maps.

Si alguien desea la visión street view basta con ir a google maps y poner las coordenadas, tendría la vista asi.

Tal vez se preguntan bueno y como puedo solucionar esto, deshabilitar el servicio de geolocalizacion en sus smartphones, sobre todos a aquellos que manejan apple por que la primera vez que abren la Camara les pregunta si quiere informar sobre la ubicación, o en dado caso que no tengan duda en si esta o no esta, vayan a ajustes generales y restaurar localización.

Sin duda alguna tenemos que estar mas al pendiente de nuestros dispositivos para evitar revelar información que pueda invadir nuestra privacidad.

martes, 1 de enero de 2013

Un forense llevado a juicio

Es una lectura de Juan Luis Garcia Rambla de origen español en la cual nos comparte su experiencia en análisis forense, este informático ha sido reconocido como MVP durante siete años consecutivos por Microsoft y es escritor del blog de legalidad informática.

En cuanto a su lectura es muy interesante debido que a su experiencia deja este escrito relacionado a los juicios en los que intervienen informáticos que obtienen los resultados de los análisis forenses, y va dirigido para cualquiera que tenga interés en como se llevan a cabo este tipo de juicios y el peritaje. Cabe destacar que esta lectura esta basada en las leyes españolas.

Dentro de la lectura es interesante como menciona el proceso de obtención de información el cual no es uno en especial pero nos ha dejado una de las mejores formas.

Menciona el copiado del disco duro obteniendo un hash de preferencia SHA1 y creando un archivo de custodia el cual a futuro servira en el juicio.

Hace mención que durante la documentación de dicho informe nos encontramos con un publico con distinto perfil al de nosotros por lo cual se deben emplear glosarios para complementar con un poco de pedagogía el lenguaje técnico para que pueda ser entendido por el publico en ese momento.

Realmente es una lectura muy interesante, en esta liga la pueden encontrar.

OSI SECURITE

Tab 1 Top Area

Tech News

Game Reviews

ULTIMAS PUBLICACIONES