31 mar 2011

Buenas prácticas para usuarios novatos/medios (Parte III)

Hoy se publica la tercera entrega de las buenas prácticas para usuarios novatos/medios. Tras la aceptación de las anteriores partes, se sigue explicando las buenas prácticas para los usuarios de Internet.

El presente artículo explica las buenas prácticas contra el phishing y como forzar la navegación bajo HTTPS. Esto último es bastante interesante ya que se evita posibles atajes a páginas conocidas que solo utilizan HTTP por defecto. Hay que tener en cuenta que no siempre se puede utilizar HTTPS, ya que depende de si el servidor dónde se aloja la web solo tiene HTTP para ese sitio o no.

Se exponen las buenas prácticas para el phishing:

  • Tener en cuenta que las entidades bancarias y financieras no solicitan datos confidenciales a través de este medio, de esta manera se minimiza la posibilidad de ser víctima de esta acción delictiva.
  • Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan cambios de datos sensibles ya que suelen ser métodos de Ingeniería Social.
  • No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos, ya que pueden redireccionar hacia sitios web clonados o hacia la descarga de malware.
  • Asegurarse de que la dirección del sitio web al cual se accede comience con el protocolo https. La ”s” final, significa que la página web es segura y que toda la información depositadaen la misma viajará de manera cifrada.
  • Verificar la existencia de un certificado digital en el sitio web. El certificado digital se despliega en pantalla al hacer clic sobre la imagen del candado.
  • Revisar que el certificado digital no haya caducado, ya que el mismo podría haber sido manipulado intencionalmente con fines maliciosos.
  • Comunicarse telefónicamente con la compañía para descartar la posibilidad de ser víctimas de un engaño, si se tiene dudas sobre la legitimidad de un correo.
  • Jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través del correo electrónico, ya que la comunicación podría ser interceptada y robada.
  • Habituarse a examinar periódicamente la cuenta bancaria, a fin de detectar a tiempo alguna actividad extraña relacionada con la manipulación de la cuenta o transacciones no autorizadas.
  • Denunciar casos de phishing (dentro de lo posible) en la entidad de confianza, ya que además de cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegación en Internet.

Tras estas exposiciones para luchar contra el phishing dentro de lo posible por el usuario de Internet, se exponen a continuación como forzar la navegación bajo HTTPS (siempre que sea posible).

Firefox

El add-on NoScript es la mejor opción para el navegador web Firefox. El complemento tiene la función principal de bloquear scripts que se ejecuten automáticamente, pero ofrece varias opciones para mejorar la seguridad adicionalmente , uno de esas opciones que ofrece es configurar el navegador para usar siempre conexiones https para sitios específicos. Para abrir la lista, haga clic en Opciones en el icono de la barra de estado, en Opciones avanzadas> HTTPS en la ventana Opciones de NoScript. También hay que tener muy en cuenta el complemento para Firefox HTTPS Everywhere.

Chrome

Google Chrome tiene un parámetro de inicio --force-https . Si usted inicia Chrome con ese parámetro sólo se permiten conexiones https. Esto hace que la mayoría de los sitios web inaccesibles por otra parte.

Opera

Opera 11 alpha que se ha lanzado recientemente soporta extensiones. Una de las extensiones que está disponiblepara el navegador web es Security Enhancer, que obliga a conexiones https en algunos sitios como Twitter y variosservicios de Google. La extensión tiene un bug en la actualidad la página tiene que estar totalmente cargada en http antes de la redirección a la página https. Tampoco hay opción de añadir otros sitios a la lista. (recuerdos para Goode ;))

Internet Explorer

Actualmente no hay mucho para forzar HTTPS, por lo que quedamos a la espera de ver si el gran IE nos trae algo... quizá con la versión 9.

Hasta aquí la tercera entrega de la serie, esperamos a la 4 entrega dónde se tratarán temas como la utilización de firewall y seguridad en redes sociales.

 

==================================================- Buenas prácticas para usuarios novatos/medios (Parte I)Buenas prácticas para usuarios novatos/medios (Parte II)- Buenas prácticas para usuarios novatos/medios (Parte III)==================================================

 

30 mar 2011

La Biblia del Footprinting (I de VII)

  

La Biblia del Footprinting (I de VII)La Biblia del Footprinting (II de VII)La Biblia del Footprinting (III de VII)La Biblia del Footprinting (IV de VII)La Biblia del Footprinting (V de VII)La Biblia del Footprinting (VI de VII)La Biblia del Footprinting (VII de VII)


 

Buenas a todos, hoy doy comienzo con este post a una cadena de 7 artículos a la que he titulado como “La Biblia del Footprinting”, en ella voy a tratar de destripar las herramientas más significativas que son de utilidad para realizar esta fase de los Test de Penetración.

 

Pero antes de comenzar, ¿en qué consiste la fase de Footprinting?

El proceso de Footprinting consiste en la búsqueda de toda la información pública, bien porque haya sido publicada a propósito o bien porque haya sido publicada por desconocimiento (abierta, y por tanto no estaremos incurriendo en ningún delito, además la entidad ni debería detectarlo) que pueda haber sobre el sistema que se va a auditar, es decir, buscaremos todas las huellas posibles, desde direcciones IP, servidores internos, cuentas de correo de los usuarios, nombres de máquinas, información del registrador del dominio, tipos de servidores, ficheros con cuentas y/o credenciales de usuarios, impresoras, cámaras IP, metadatos, etc. Cualquier dato que nos pueda ser de utilidad para lanzar distintos ataques en las fases posteriores de la auditoría.

Si enumeramos los pasos genéricos para realizar un Test de Intrusión, el proceso de Footprinting sería el primero de ellos:
  1. Footprinting.
  2. Fingerprinting.
  3. Análisis de vulnerabilidades.
  4. Explotación de vulnerabilidades.
  5. Generación de informes.

Los artículos van a ir enfocados a la manera en la que yo suelo hacer la búsqueda de información, probablemente otros sigáis otros pasos o utilicéis otras herramientas, en ese caso será un placer que las compartáis con toda la comunidad en los comentarios, e incluso me pueden servir para completar la cadena de posts :)

Pongamos como ejemplo que tenemos que auditar a la organización Flu Project que tiene en el dominio flu-project.com su sitio Web y desde el que se pueden conectar a distintos servicios que ofrece su organización.

 

Paso 1. Visitar el sitio Web

El primer paso será evidentemente entrar en el sitio Web que vamos a auditar. Deberemos navegar por todas sus páginas y aplicaciones, ya que nunca sabemos que nos vamos a encontrar. Es habitual, sobretodo en sitios Web muy grandes, que se dejen olvidados enlaces a sitios que no deberían estar, o algún error en una llamada a BBDD (algo más común de lo que se piensa… ¿verdad? }=P). Tras hacernos una idea del estado de la web continuaremos con el siguiente paso.

 

Paso 2. ¿Qué saben los buscadores de nuestro objetivo?

El segundo paso de cualquier proceso de Footprinting sería preguntar a Google, Bing, etc. por el dominio del que queremos obtener información. Lo bueno (o malo según se mire…) de los buscadores es que sus crawlers suelen indexar en ocasiones ciertas páginas que no deberían haberse publicado, pero que han estado cierto tiempo visibles desde Internet mientras se estaban probando, y han quedado cacheadas en Google. Por tanto podríamos verlas mirando la caché o con algún servicio como “archive.org”

Continuaremos con las búsquedas hacking, utilizando diferentes verbos para refinar un poco más las búsquedas. Para el caso de Google Hacking podéis ver los verbos disponibles aquí. Y para el caso de Bing Hacking aquí.

Por ejemplo, es interesante ver que saben o dicen los demás de nuestro objetivo, para ello podemos ayudarnos de la siguiente búsqueda en Google, donde el “–“ indíca que queremos ver todos los resultados menos los del dominio objetivo:

 

flu project -site:flu-project.com



 

Algunos verbos a destacar serían:

  • site: para listar toda la información de un dominio concreto.
  • filetype o ext: para buscar archivos de un formato determinado, por ejemplo pdfs, rdp (de escritorio remoto, muy interesantes, si no preguntárselo a Silverhack :P), imágenes png, jpg, etc. para obtener información EXIF y un largo etcétera.
  • intitle: para buscar páginas con ciertas palabras en el campo title
  • inurl: para buscar páginas con ciertas palabras en la URL.
  • O buscar por ejemplo por la frase “index of” para encontrar listados de archivos de ftps, etc.

Si queréis estudiar diferentes ejemplos de búsquedas avanzadas podéis pasaros por la Google Hacking Database (GHDB). La GHDB es un repositorio con búsquedas posibles en Google que se pueden utilizar para obtener datos confidenciales de servidores, como ficheros de configuración, nombres, cámaras, impresoras, passwords, etc. La base de datos está algo desactualizada, pero yo con tranquilidad hace un año me estudié la base de datos entera, y predefiní las búsquedas que aún funcionaban y me parecieron más interesantes en la herramienta Anubis:

 

 

La herramienta la podéis descargar gratuitamente desde mi blog personal. Tenedla a mano porque la utilizaremos a menudo durante esta cadena de posts.

En esta herramienta también tenéis la posibilidad de indicar los verbos en las casillas en blanco, para facilitaros más la tarea:

 

 

Una vez que hayamos realizado algunas búsquedas específicas será interesante listar todas las páginas que pendan del dominio raíz. Para ello podemos ayudarnos de la búsqueda:

 

site:flu-project.com

 

 

Y podríamos leernos el código fuente de las distintas páginas encontradas, para ver si hay comentarios escritos por los programadores (algo común) u otros datos que puedan ser de utilidad. Por ejemplo, en una ocasión me encontré con un comentario muy curioso que decía algo como lo siguiente:

 

<!—Comentario del Diseñador al Programador, el usuario para conectarse a la BBDD es PEPITO y la clave MENGANITO-->

 

Si queréis trabajar un poco menos podéis descargaros el sitio web entero, con alguna herramienta como Teleport o WebZip y hacer búsquedas directamente sobre la carpeta donde esté el sitio web descargado con la herramienta Inforapid, que realiza búsquedas muy rápidas sobre el contenido de los ficheros de una carpeta.

Otro dato interesante será listar los subdominios que pendan del dominio principal con sus correspondientes direcciones IP y por tanto máquinas y servidores, de esta manera nos podremos dar cuenta rápidamente del tamaño de la organización, para ello nos podremos ayudar de nuevo de la herramienta Anubis que automatiza búsquedas de Google Hacking con los verbos “site” e “inurl”. Con estos datos posteriormente en la fase de Fingerprinting (activo), con Nmap por ejemplo, podremos intentar obtener más datos y en fases posteriores realizar otro tipo de ataques:

 

 

También podremos encontrarnos con que varios dominios compartan una IP (virtual hosts), para buscarlos nos será de especial utilidad el buscador Bing con su verbo “IP”:

 

 

Anubis lleva integrada también esta búsqueda y como veis se obtienen los mismos resultados, solo que ya filtrados, eliminando los resultados repetidos:

 

 

Para esta tarea podéis utilizar también algún servicio Web como los siguientes:

 

 

 

  

Todos estos datos deberíamos irlos enumerando de una manera adecuada y permitiendo cierta trazabilidad entre los distintos elementos que vayamos encontrando, esta tarea es todo un arte, y es algo que han tenido presente los desarrolladores de algunas herramientas como Maltego, OPTOS, Foca, y Anubis. De esta última podéis ver una captura a continuación:

 

 

También utilizaremos los buscadores Google y Bing para extraer metadatos y obtener más información de nuestra víctima, pero eso lo analizaremos en posteriores posts.

En el siguiente artículo jugaremos con los distintos servicios Web que podemos utilizar para obtener información de un determinado dominio, como sus subdominios, IPs, localización, Whois, etc.

 

¡¡Saludos!!

 

29 mar 2011

Insaneicar: Herramienta de estrés para antivirus

 

Hace un par de años se me ocurrió la idea de implementar una herramienta para hacer pruebas de estrés a antivirus usando ficheros EICAR.

Para los que no lo conozcais EICAR (Standard Anti-Virus Test File) es un fichero de texto que se puede ejecutar como un .COM; no es ningún código malicioso, ya que está desarrollado a propósito para el testeo de antivirus, y por lo tanto, es detectado por el 100% de los antivirus.

EICAR tiene esta pinta:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Si copias y pegas esa cadena en un fichero con extension .COM (sin más caracteres que la cadena), y lo intentas guardar, seguro que tendrás un aviso de tu antivirus… ¿Pero qué pasa si automatizamos esto para que se haga cientos de veces por segundo? ¡Pues cosas bastante curiosas!

Insaneicar

Es mi implementación de una herramienta de estrés de antivirus. Su función es crear subdirectorios en el directorio donde se ejecuta y dentro de estos miles de copias de EICAR. Se pueden lanzar varias instancias a la vez acelerando el proceso.

Como no he tenido la oportunidad de probarlo en diferentes antivirus os agradecería que lo probárais y me mandaseis una descripción del comportamiento del antivirus y unas capturas de pantalla :D

Por cierto, si lo ejecutais dentro de una unidad compartida podeis divertiros un rato :)

Descargas

 

nilp0inter

28 mar 2011

Eliminar datos Exif desde el servidor

Bueno vamos con otro simple articulo dedicado especialmente para mis amigos de flu-project (Pablo y Juanan). Hablemos un poco de Metadatos en las imagenes, la especificacion Exif.

Los datos Exif no es algo nuevo (1998), pero sigue siendo un "problema" muy actual. ¿En que radica dicho problema?Nosotros al tomar una fotografia digital con nuestra camara o celular, sin darnos cuenta capturamos más información que la fotografia. Esta información son los datos de la especificacion Exif, donde almacena dentro de la misma fotografia entre otras cosas, la hora de la toma de la fotografia, resolución, marca de cámara, modelo de la cámara, coordenadas de posicionamiento global del lugar de donde se tomo la foto (segun sea el caso), thumbnail (imagen pequeña de la foto), software de edicion (segun sea el caso), etc...

¿Ahora vemos el problema?

Subimos una foto PRIVADA a Internet y retocamos ciertas partes de la fotografia, para que no se vea donde o con quien estamos, eliminamos la fecha de la fotografia si se imprime y lo que querramos... pero ah!!! que cosas, no borramos los metadatos... Bastará con "destripar" nuestra fotografia con un editor hexadecimal, para ver la hora de la fotografia, hora de edicion, software para el retoque, y podemos extraer el thumbnail, quedando a la vista lo que deseabamos "ocultar"

Ej. Tenemos esta imagen de "KatyPerry", como vemos varias cosas estan modificadas y no se ven claramente :(

 

 Pero si obtenemos el thumbnail.... 

 

VemOOs Claramente como estaba formada la imagen ;)

Ya que dimos la introducción, pasemos a lo divertido y técnico. Solo Nota adicional, en Windows pueden ver los datos Exif con ExifReader.exe y en linux pueden usar exiftool (el que yo uso).

Los profesionales de la seguridad, ya se han cansado de reirse de este problema y de tratar de concientizar a los usuarios.¿Pero entonces ahora todo esta perdido?

No!! Yo digo que es la hora de que los Administradores Web tomen medidas. No es su obligacion, y no tienen por que hacerlo ni tomarse las molestias, pero creo que seria una gran muestra de respeto a sus usuarios, brindarles automaticamente este servicio.

¿Como borrar datos exif desde el lado servidor?

En este ejemplo yo estoy usando, Como servidor local LAMPP, PHP, la extension Exif (http://mx2.php.net/manual/es/book.exif.php) y la clase Imagick (http://mx2.php.net/manual/es/class.imagick.php)

Supongamos que tenemos esta horrenda imagen (127.0.0.1/exif/test.jpg)

 

Usemos un pequeño script para obtener los datos Exif de nuestra imagen (test.jpg) desde el lado cliente.
<?php$exif = exif_read_data( 'test.jpg' );echo '<pre>';print_r($exif);?>

Y obtenemos rapidamente esto:

 

 

Como vemos estamos leyendo la imagen que tenemos en el servidor y con el script exif.php leemos los datos Exif de nuestra imagen.

Ahora LIMPIEMOS!!!!

Usaremos este otro SIMPLE script con la ayuda de la clase Imagick que nos limpia la imagen de metadatos y thumbnails indeseados.

 
<?php$im = new Imagick("test.jpg");header('Content-type: image/jpeg');$im->stripImage();	//Eliminamos Metadatosecho $im;?>
 Nosotros en el navegador solo veremos la imagen sin mas (echo $im;), pero guardemosla y veamos...  Primero veamos cuanto pesan las dos fotos y sus md5sum  

Son MUY diferentes y liberamos .6 Mb de pura Metadata y de la imagen miniatura. Asi es como un buen WebMaster y ChuckNorris hace las cosas!!!

Ahora solo nos queda ver como un simple mortal y usuario veria los datos exif de la imagen nueva. En Linux como ya habia mencionado, con exiftool podemos hacerlo facilmente...

  

Y VOILA!!! Limpiecita muy distinto a como nos salio primeramente los metadatos en la imagen Original.

¿Sera muy dificil esto? , ¿O por qué será que muchos administradores no se tomen la molestia de programar unas cuantas lineas más de codigo?

Bueno espero no haberme extendido demasiado, como acostumbro. Espero que quedara clara la idea del post, puesto que en Internet ya hay mucha información sobre los metadatos y como verlos y borrarlos como usuarios, pero aquí quise mostrarlos desde el lado servidor.

Notas Adicionales:

Para borrar los datos exif como usarios, podemos usar imagemagick y su poderoso programa convert: "convert -strip imagen.jpg salida.jpg".

Para instalar la clase Imagick en lampp pueden seguir este tutorial (http://www.yukei.net/2010/02/soporte-para-imagemagick-en-php-con-lampp/).

No me coman por que en neobits.org tenga las imagenes llenas de metadatos :P mi host no me permitió instalar la clase imagick y la extensión Exif de PHP

 

Saludos ;)

 

Att. hecky@neobits.org

  

26 mar 2011

Más curiosidades...

Hoy daremos un repaso a las encuestas que se han ido proponiendo en Flu Project durante las últimas semanas, y daremos los resultados de éstas. Además, se expondrán los porcentajes de los navegadores más utilizados por los navegantes... chicos sois especiales!

Comenzamos con la pregunta '¿Qué opináis de la existencia de malware en Mac OS X?' el 79% respondieron que si existe, el 21% respondieron que no. Otra de las preguntas, interesantes que se propusieron fue '¿Usáis contraseñas seguras? ¿Largas? ¿Y con símbolos alfanuméricos?', a esta cuestión el 48% dijo que si, el 44% que solo en las cuentas importantes, y el 8% no.

Una de las preguntas más interesantes que se han publicado es la de 'Windows Live: Las cookies caducan a las 'x' horas... ¿Qué opináis? Habría que presionar para ver porque la seguridad del usuario se deja en el aire...' un 45% opina que hay que presionar a Microsoft para ver por que no se puede asegurar la cookie, el 42% opina que es una gran chapuza, mientras que el 13% opina que es normal ya que Microsoft dispone de muchos servidores en el mundo. ¿Serán fans o miembros de Microsoft? ;)

Otra de las preguntas más interesantes es la de '¿Existe una política de seguridad global en su empresa?' el 79% opina que NO, mientras el 21% opina que SI. Esto no dice nada bueno de las empresas en general.

Ahora, se muestran distintos resultados de los navegadores que utilizan los navegantes que visitan Flu Project. El navegador por excelencia, es el 2º navegador más popular del mundo, el señor Firefox, con el 45%. En segundo lugar aparece, curiosamente, Google Chrome! con un 20%, por delante del señor Internet Explorer, que tiene sólo un 12%. Por último decimos que Safari tiene un 7% y Opera un 3%.

Por hoy acabamos con este tipo de resultados, gracias a todos por las visitas, y por responder a las encuestas!

BackTrack 5 – Release Date and Tool Suggestions

 

Ya se tiene una fecha de lanzamiento de backtrack 5, al parecer todo esta confirmado para el 10 de mayo del 2011, pues estaremos esperando tan grandioso dia para obtener la nueva version de esta distribucion que como ya sabemos se enfoca a la seguridad informatica. Ahora bien tambien nos comentan en su blog oficial que backtrack 5 estará basado en Ubuntu Lucid (10.04 LTS), y (por fin) el apoyo de 32 bits y arquitecturas de 64 bits, eso es de lo mejor....

Pero también nos informan que van a tener el apoyo de KDE4, GNOME y Fluxbox, asi cada usuario podra descargar backtrack 5 en su entorno de escritorio preferido, esto es bueno puesto que muchas de las personas prefieren GNOME pero en lo personal sigo prefiriendo el backtrack en KDE.

------------------------------------------Si usted tiene una solicitud de herramienta para una herramienta que no existe en BackTrack, por favor, utilice este formulario para solicitarlo. Este formulario estará activo durante 4 semanas.

BackTrack cinco sugerencias de herramientasSi usted tiene una idea para una nueva herramienta que le falta en BackTrack, esta es tu oportunidad de ser oído------------------------------------------

AQUI: http://www.backtrack-linux.org/

25 mar 2011

Configuración Servidor SSH en GNU/Linux (Parte II)

 

En el presente artículo se explicarán algunos detalles importantes para la configuración del servidor SSH bajo GNU/Linux. En el primer artículo de la serie se hablaba del concepto de SSH y de como conectar por primera vez con el servidor. A continuación se explicará lo que ocurre por debajo en las conexiones SSH y dónde se encuentran los ficheros de configuración del servidor SSH.

 

Funcionamiento conexiones SSH

En la imagen se puede observar como en primer lugar se realiza la conexión mediante TCP, realizando el típico triple apretón de manos o three-way handshake [SYN, SYN+ACK, ACK]. Después, cliente y servidor se envían la versión disponible del protocolo. Después, se envían una lista de algoritmos de cifrado que tienen disponible, deberían coincidir en alguno para poder utilizarlo mediante la comunicación. Aquí surge la idea de realizar un ataque MiTM, recordemos que en este punto la conexión no va cifrada, y modificar lo que el cliente le dice al servidor respecto su lista de algoritmos de cifrado. Es decir, si un atacante modifica la lista de algoritmos y sustituye la lista del cliente, por una lista donde solo aparezca el texto plano como algoritmo de cifrado estaríamos ante un problema serio. Otra manera de hacer Downgrade es que el atacante le diga al servidor que quiere conexión por la versión 1 del protocolo. Sería importante que el servidor SSH no de esa opción y solo acepte conexiones por la versión 2 del protocolo, que es más segura.

Tras este inciso en los posibles ataques, el servidor envía su clave pública de host al cliente. El cliente genera una clave de sesión de 256 bits que cifra con la clave pública del servidor y luego la envía al servidor adjuntado con el algoritmo utilizado. El servidor descifra la clave de sesión con su clave privada y envía al cliente un mensaje de confirmación cifrado con la clave se sesión. Después de esto, las comunicaciones restantes se cifran gracias a un algoritmo de cifrado simétrico, mediante la clave de sesión compartida entre el cliente y el servidor. En este instante la conexión pasa a ser cifrada.

 

¿Dónde encontrar el fichero de configuración del servidor?

Esta parte es bastante sencilla, el fichero de configuración se encuentra en /etc/ssh, en esta ruta se puede encontrar el fichero de configuración, las claves públicas y privadas del servidor. El fichero de configuración es sshd_config. Para modificar la configuración del fichero de configuración, simplemente, se debe utilizar un editor de texto, por ejemplo, vi, nano, gedit, etc.

El fichero de configuración se divide en comentarios, líneas que empiezan por #, y en las directivas aplicadas, líneas que no comienzan con #. Las directivas se forman con el nombre de la directiva, un espacio, y el valor de ésta.

Como recordatorio, decir que siempre que se cambie algo en la configuración, se debe reiniciar el servicio de SSH en Linux. Para distribuciones como Ubuntu, existe el comando service. 'service ssh restart'. Para el global de las distribuciones se puede hacer a través de /etc/init.d, por ejemplo, '/etc/init.d/ssh restart'.

Para la próxima parte dejamos las directivas y los cambios interesantes para fortalecer el servidor. Además, es interesante estudiar a fondo lo que nos proporciona este protocolo y toda su fuerza, muy desconocida por muchos informáticos del sector.

 

=================================================- Configuración Servidor SSH en GNU/Linux (Parte I)Configuración Servidor SSH en GNU/Linux (Parte II)Configuración Servidor SSH en GNU/Linux (Parte III)Configuración Servidor SSH en GNU/Linux (Parte IV)Configuración Servidor SSH en GNU/Linux (Parte V)Configuración Servidor SSH en GNU/Linux (Parte VI)================================================= 

24 mar 2011

¡Nuevo Flu b0.3.1! Ahora con generador de bots

Buenas a todos, hoy tenemos el placer de presentaros la nueva versión de Flu, a la que hemos denominado Flu b0.3.1. Esta nueva versión se caracteriza principalmente porque por fín (como muchos ya nos habíais pedido) contiene un generador de bots, por lo que ya no hará falta tener Visual Studio para compilar el código.

Nos gustaría agradecer en especial a "Gasdejava", ya que ha sido el compañero de la comunidad TroyanosyHacks.net que se ha currado el código, y nosotros no hemos tenido nada más que adaptarlo a la nueva versión de Flu b0.3. ¡Gracias!

Además del generador de bots, esta nueva versión soluciona algunos bugs y problemas de estabilidad que nos habéis ido reportando en las últimas semanas.

Os dejamos con el vídeo de presentación de Flu b0.3.1:

[youtube f2B39HF2kYo nolink]

Como siempre, podéis descargar la nueva versión de Flu desde el siguiente enlace:

http://www.flu-project.com/downloadflu

P.D. Ninguna gallina ha sido maltratada durante la grabación del anuncio }=P

23 mar 2011

Las viñetas de Flu Project – 3.5 (la viñeta que nunca debió salir... XP)

 

Cuarta parte de las viñetas de Flu Project. Cuidado con las censu... digo... los phising:

 

Iexpress un joiner con Windows

 
Buenas,Muchos habrán oído hablar de Iexpress, es una herramienta nativa de Windows que permite hacer paquetes de instalación. Así que combinaremos los dos paquetes, el de cualquier ejecutable, y el troyano de Flu. Para ejecutar Iexpress, tenemos que darle a Ejcutar y escribir Iexpress 

 

Una vez ejecutado nos saldrá algo así: 

 

Como es la primera vez que ejecutamos IExpress y queremos crear un paquete de instalación, le daremos a Create New Self Extraction Directive File y le damos a Siguiente 

 

Podemos añadirle características al paquete, podemos extraerlo e intentar la instalación, podemos solamente extraer los archivos e incluso podemos crear instalaciones de Active X. 

 

Le ponemos un nombre al paquete de instalación. 

 

Podemos hacer que se lance un mensaje cuando se vaya ha hacer la instalación, en este caso, no queremos así que no hace falta que lo dejemos marcado. 

 

En el caso de que tuviéramos una licencia válida podríamos incluirla. 

 

Ahora llega el momento en que ponemos el paquete de instalación, en mi caso el paquete de izarc y, además el troyano de Flu. 

 

El primer programa que se instalará es Izarc, se instalará así mas que nada para que al usuario le sea trasparente. El segundo programa que irá por debajo será Flu. 

 

El programa se instalará como Hidden, de manera que será mas trasparente para el Usuario 

 

Cuando acabe la instalación podemos mostrarle un mensaje. En este caso no queremos. 

 

Ahora elegimos un destino, para guardar el ejecutable. Además extraeremos el paquete de manera silenciosa. 

 Si por lo que sea el paquete que instalamos  necesitáramos de reiniciar, podemos señalarlo en este punto. 

 

Cuando ejecutamos Iexpress, podemos guardarnos el proyecto, para futuras modificaciones. 

 

Es el último paso, a la hora de crear nuestro paquete así que sólo hemos de seguirá hacia adelante 

 

Nos mostrará el progreso de creación del paquete 

 Ya tenemos el paquete creado, ahora podríamos hacer una prueba de concepto e infectar a varias víctimas, sin que dieran cuenta.Y hasta aquí hemos llegado.Un saludo 

22 mar 2011

Seguridad en Windows con el archivo hosts

Buenas a todos, como ya habréis visto en el vídeo que publicamos el pasado jueves, el fichero hosts que se utiliza para guardar la correspondencia entre dominios de Internet y direcciones IP y así resolver nombres de dominio, puede ser también un arma utilizado, entre otros, por el malware, para redireccionarnos a páginas Web con motivos maliciosos.Lo podéis encontrar en la siguiente ruta:
C:\Windows\System32\drivers\etc\hosts
  Para evitar el pharming, es recomendable bloquear este fichero a solo lectura. Algunos antivirus bloquean la modificación de este fichero.Pero este fichero también puede ser utilizado para potegernos de los peligros de Internet, por ejemplo, para evitar que nuestros hijos, o nosotros mismos, entremos "sin querer" en una página que pueda tener contenido malicioso, no recomendado para menores, etc. Para ello redireccionaremos la página maliciosa, por ejemplo, a 127.0.0.1:
127.0.0.1       paginamaliciosa.com
Por Internet es fácil encontrar listados de páginas Web a evitar, que podemos utilizar para maquetar nuestro fichero hosts e incluso también podremos encontrar algunos ficheros hosts ya creados y configurados. Por ejemplo yo os dejo el siguiente que ha creado la gente de mvps.org con casi 16.500 sitios Web para bloquear. Podéis descargarlo desde aquí.Tened cuidado también con qué fichero hosts descargáis, a ver si va a ser "de los malos" y os hacen la del vídeo de Flu y el Phising :)Saludos!

21 mar 2011

ZAP y proxys Web: Analizar el trafico durante la navegación

 

Bueno debido a mi nuevo oficio, tengo menos tiempo del que me gustaria para dedicarle al blog, pero últimamente lo que más ando haciendo es aprendiendo y dándome cuenta de lo poquito que sé, el post de hoy va a tratar de los proxys webs, este tipo de aplicaciones se usan mucho a la hora de hacer auditorias webs para ver que hay “por debajo”, con ellos podemos monitorizar todos los datos que se envían y que recibimos a la hora de realizar una navegación web, hay varios proxys; esta Webscarab que es uno de los más complejos en cuanto a opciones y usabilidad y de los más potentes; tenemos también Paros, que es un proyecto ya abandonado pero muy intuitivo y fácil de usar; y el que hasta ahora es mi favorito: ZAP (Zed Attack Proxy) que es un fork de Paros que sigue actualizándose, este será el que usaré, para este post. ZAP esta corriendo bajo Fedora14 y con un Firefox con el Addons FoxyProxy para poder gestionar rápidamente los proxys.

Este es el aspecto que presenta este proxy, primero tenemos que configurar la dirección del mismo que será a la que apunte el navegador para conectarse a internet. Para ellos simplemente Tools -> Options -> Local Proxy (yo lo tengo puesto por defecto 127.0.0.1:8080).

Después tendríamos que configurar el navegador (en este caso Firefox y su plugin FoxyProxy), para ello añadimos la dirección del proxy a la lista de nuestro complemento, una vez configurado y guardado podemos empezar a navegar por cualquier web. Recordad que tenemos que seleccionar el perfil del nuevo proxy en el Firefox para poder ver lo que hacemos.

Vamos a comprobar que todo funciona, para ello vamos a realizar una navegación simple por Google por ejemplo y comprobar que nos enseña ZAP:

Como vemos en el ejemplo se ha realizado la búsqueda de la palabra “hola” en Google, esto se ha producido mediante un método GET, y estos son los datos que podemos ver que se han enviado en uno de los 11 envíos/recibos de datos:

En esa petición podemos ver como enviá el navegador los datos solicitados a Google y de que forma este predefine el envió de los mismos, como dijimos más arriba es mediante un método GET, eso significa que si copiamos la petición veríamos la búsqueda y si en el campo q= podemos “adiós” y lo enviamos por nuestro navegador podemos ver como Google busca el dato nuevo, es decir mediante un proxy web podemos modificar TODA la información que nuestro ordenador enviá al servidor web y muchas veces saltarnos las verificaciones que realiza el navegador del formato de nuestros datos mediante por ejemplo un JavaScript que se ejecuta en nuestros navegadores de forma local (cosa insegura por esta razón). Como podemos ver en la siguiente captura podemos ver y modificar todos los parámetros que vemos, como el nombre del navegador, el site de donde venimos, etc.

Como hemos comentado este envió se realiza mediante un método GET, otro método más “seguro o invisible” sería enviarlo mediante un método POST, una forma de localizarlos es cuando realizamos por ejemplo una búsqueda en un campo y en el navegador solo vemos algo del tipo http://www.dominio.com/busqueda.php podríamos deducir que se trata de un POST.

Aquí podemos ver otra característica de ZAP, mediante el botón Break podemos crear un punto de interrupción a partir del cual podemos controlar, modificar y analizar los datos que se envían desde el navegador hasta el servidor destino:

Dentro del rectángulo rojo encontramos tres botones, el primero en verde es el que crea el Break, el siguiente confirmaría el envío actual y daría paso a la siguiente interrupción y el botón Play cancelaría el Break y haría que la comunicación vuelva a ser fluida y sin espera ni interrupciones, entre envío y envío de datos.

Esta es la explicación básica de como funciona un proxy web y como se crearía un Break oTrap, estos programas tienen otras funcionalidades como escaneres de puertos, de vulnerabilidades, spiders que analizan el site listando todos los directorios, etc.

 

 

dan1t0, vía blog

19 mar 2011

Nueva sección: Job & Talent

 

Hoy queremos hacer el lanzamiento oficial de Job & Talent, aunque está funcionando desde ayer. Job & Talent pretende ofrecer información a los usuarios de Internet acerca de ofertas referentes a la informática en general. Pretende ayudar a aquellas personas en situación de desempleo a encontrar o facilitar la búsqueda de éstos.

A priori contamos con la colaboración de 2 empresas, buguroo y setival, aunque hay otras tantas que andan pensando una respuesta. La colaboración de las empresas es fundamental para estas iniciativas, ya que propocionar sus ofertas de empleo no cuesta nada.

Lo importante es que tanto empresas como particulares aportemos nuestro granito de arena a esta situación de crisis que vivimos en España. Job & Talent solo funciona para España, pero en un futuro, si la cosa fuera bien, se podría intentar llevar el modelo a otros países. Sabemos que muchos miembros de la comunidad o no miembros pero que visitan Flu Project son de latinoamérica, por lo que no queremos olvidarnos de su situación tampoco.

¿Por qué Job & Talent? Creemos que hoy en día es fundamental que una persona trabaje (siempre ha sido fundamentalmente), pero el talento innato es lo que hoy en día puede hacerte sobresalir. El talento está siendo muy valorado por las empresas en el sector informático. Las empresas no quieren a esos 'cerebritos' que piensan que solos pueden hacer todo. La empresa quiere grupo, unión, esfuerzo y por supuesto resultados. El talento, es uno de los factores más buscados por las empresas de hoy en día, empresas del siglo XXI.

Sin más, os dejo el link para acceder a la sección, y esperemos que la sección salga adelante con el esfuerzo nuestro, sin duda, y con la ayuda de las empresas. http://www.flu-project.com/sobre-flu/job-talent

Además, contaros que hay 2 nuevas secciones para agradecer públicamente el esfuerzo de los usuarios, bloggers y hall of fame. Estas 2 secciones agradecen públicamente el esfuerzo de nuestros colaboradores con sus artículos y el esfuerzo de los desarrolladores que realizan mejoras al proyecto. ¡Gracias!

Kaspersky predice el futuro: ¿Qué ocurrirá entre 2011 y 2020?

Según comentan los chicos de Kaspersky Lab, "el principal hito de la próxima década será el final de la hegemonía de Windows como sistema operativo. Aunque el concepto original de Microsoft se mantendrá como la primera plataforma (por volumen de negocio), cada vez más usuarios accederán a sistemas alternativos". Esto puede ser algo sorprendente, ya que hoy en día no se puede pensar en esto, ya que Microsoft tiene una cuota de mercado del 85 % aproximadamente.

"El incremento de nuevos sistemas operativos afectará al proceso de creación de amenazas. Los ciberdelincuentes se centrarán en múltiples sistemas operativos y dispondrán de muchos dispositivos bajo control o se especializarán en ataques a empresas con plataformas basadas en Windows". Kaspersky ¿es realista o intenta causar pánico en la sociedad?, si me paro a recordar la charla de la JITICE en la que casi me 'pegan' por contar realidades no cercanas a la gente y decir que causamos pánico en la sociedad, ¿harán lo mismo con Kaspersky?

 

Distintos tipos de ciberdelincuencia

"El espionaje comercial, el robo de bases de datos y los ataques a la reputación de las empresas tendrán una gran demanda en el mercado negro. Hackers y CSOs se enfrentarán los unos a los otros en un campo de batalla virtual. Los organismos estatales de lucha contra la ciberdelincuencia se verán, igualmente, involucrados en el proceso y tendrán que tratar sobre todo cuestiones relacionadas con la plataforma Windows, además de las últimas versiones de los tradicionales sistemas". Esto, aparentemente, ocurre en el día a día, pero si que estoy de acuerdo en que es muy posible que cada vez vaya a más. Quizá en un período corto de tiempo las guerras ya no se hagan con tanques, y si entre ordenadores. Esto no recuerdo bien a quién se lo escuché por primera vez, pero a una persona cercana a mí seguro ;).

"El segundo grupo de ciberdelincuentes centrará sus actividades en aquellos ámbitos que afectan a nuestra cotidianidad, como el sistema de transporte y otros servicios. Hackear y robar estos sistemas, haciendo uso libre de ellos, o el intercambio de datos personales de los usuarios serán el principal foco de atención de la nueva generación de hackers, que harán de estas actividades su medio de vida". Quizá esto, pueda causar más pánico en al sociedad que las otras propuestas, ya que esto toca a todas las personas, al mileurista, al vecino, al obrero, al conductor de autobús, etc. La masa tocada por la ciberdelincuencia, ¿dónde llegaremos?

"La evolución de Internet hasta convertirse en un popular medio de comunicación, entretenimiento y noticias, continuará en ascenso. La base de usuarios online se incrementará al incluir muchos dispositivos móviles inteligentes, capaces de usar la red para intercambiar o transferir información sin necesidad de intervención humana". Si es muy posible que esto ocurra, en nuestros días está ocurriendo, por lo que lo más lógico es que esto siga igual.

"Los Botnets, una de las amenazas más potentes en TI, evolucionarán de forma dramática. Van a incorporar cada vez más dispositivos móviles con conexión a Internet y los computadores Zombies, tal y como les conocemos, pasarán a la historia". Totalmente de acuerdo, las botnets cada vez más móviles, cada vez en más dispositivos, las 'multi-botnet' mezclando todo tipo de dispositivo podrán llegar a ser una realidad y el mercado negro puede estar al alza en los próximos años.

"El viejo adagio “saber es poder” cobrará más fuerza que nunca. La lucha por obtener, manejar, almacenar y hacer uso de la información, sobre cualquier cosa o persona, definirá la naturaleza de las amenazas de cara a la próxima década."

En definitiva, fuí comentando mis humildes opiniones junto a lo que dice Kaspersky, ¡esperamos las vuestras!