miércoles, 22 de octubre de 2014

8dot8: Cyberwar, looking for… citizen!

Compartir este artículo:
Esta semana comienza una nueva edición de la 8dot8 en Chile. El evento contará con 14 ponentes que vienen de 8 países distintos, gran diversidad de conocimiento y de temática, lo cual hará que seguro los asistentes queden muy satisfechos sobre lo que allí suceda y se presente.


Tengo la oportunidad de hablar sobre un trabajo realizado, y lo haré en Chile, y viendo la dimensión del evento los nervios siempre aparecen. Creo que la experiencia será muy positiva, y espero que el trabajo guste a la gente que allí se concentre. 

En este trabajo, se ha realizado un piloto con dispositivos móviles de tipo Android (por su gran cuota de mercado) aunque este modelo es extensible a otros sistemas y componentes. Se ha analizado cómo Internet y las nuevas tecnologías han situado a usuarios con y sin recursos en un plano equivalente, en el que los usuarios con menos recursos puedan alcanzar objetivos en los que en otras circunstancias no serían posibles, gracias al abaratamiento de la tecnología y su, por así decirlo, democratización.

A lo largo de los últimos años, gracias al abaratamiento de los costes de la tecnología y a la reducción de las tarifas de las conexiones a Internet, el uso de tecnología por parte de cualquier organización y Estado se encuentra más extendida. Hoy en día, casi cualquier persona puede disponer de tecnología a un coste relativamente bajo, por lo que si se sumase toda esta tecnología ciudadana de bajo coste, podría alcanzarse una potencia a la que por sí solo una entidad no podría llegar.


Algunas de las funcionalidades importantes serían, por ejemplo, la posibilidad de poder utilizar en remoto la cámara y el micrófono de los dispositivos que se distribuyen geográficamente y que se puede controlar desde la infraestructura. La posibilidad de disponer en cualquier instante de una cámara o micrófono en un sitio de conflicto es una funcionalidad realmente interesante en un conflicto de ciberguerra. Otro escenario que hace interesante esta funcionalidad, es la utilización de dispositivos en manifestaciones u otros acontecimientos donde se concentran gran cantidad de personas y existe riesgo de acciones violentas. O quizá, solamente obtener una shell con la intención de realizar acciones desde el dispositivo. Al final disponemos en el bolsillo de dispositivos altamente potentes, más de lo que a día de hoy podemos imaginar. 

También podremos ver cómo los canales de distribución de apps, App Store, Google Play, etcétera, podrían resultar vías muy potentes para conseguir alistar usuarios a una tecnología de ataque centralizada. A partir de ello, se podrá tratar el tema de qué cosas se pueden hacer desde el terminal en función de los permisos. ¿Suficiente para ceder la tecnología que llevas en el bolsillo ante un posible conflicto?

martes, 21 de octubre de 2014

Auditoría de sistemas Citrix. Parte 1

Compartir este artículo:
Buenas a todos, en el post hoy vamos a comenzar una mini-cadena de artículos en la que hablaremos de algunos trucos y consejos a la hora de auditar nuestros sistemas Citrix, muchos de ellos portables a Remote Desktop Services y a los que también dedicaremos algunas líneas.

ICA, siglas de Independent Computing Architecture, es el protocolo creado por Citrix para comunicar servidores y clientes. Es utilizado por miles de empresas para administrar y operar de manera remota servidores y aplicaciones

Mediante el cliente Citrix Receiver se pueden acceder a aplicaciones, escritorios y datos desde una gran mayoría de dispositivos, incluyendo smartphones y PCs.

La extensión de los archivos de Citrix es ".ica" al igual que el protocolo que le da nombre, y a través de este término podremos realizar de una manera sencilla búsquedas masivas en Internet, con el fin de localizar posibles archivos de conexión a sistemas Citrix:




Como veis, con un poco de Google Hacking, filtrando por la extensión "ica" y con algunos términos incluidos habitualmente en los archivos ica, es posible afinar la búsqueda, para localizar por ejemplo los archivos ica que exponen el usuario y la contraseña de acceso:



En la siguiente captura os mostramos un ejemplo de archivo ica con contraseña incluida, para que podáis ver los parámetros contenidos.


Si os fijáis en el parámetro "InitialProgram", podéis ver el programa que iniciará citrix al abrir la conexión. Es posible que el sistema permita el arranque de otras aplicaciones como un notepad o una calculadora, por lo que jugando con este parámetro podemos intentar bypassear los sistemas de seguridad, como veremos más adelante en la cadena.

Google Hacking funciona muy bien para localizar este tipo de archivos, pero necesitamos refinar la búsqueda porque hay una gran cantidad de ficheros ica cacheados que se encuentran obsoletos y ya no funcionan. Para ello es interesante el filtro de Google para mostrar los resultados ordenados por fecha:


Shodan es otro buscador imprescindible durante los procesos de auditoría Citrix, y de él os hablaremos en posteriores entregas de la cadena.

Saludos!

Related Posts Plugin for WordPress, Blogger...