31 jul 2013

Herramientas forense para ser un buen CSI. Parte XXXIII: Recuperando WiFis

Buenas a todos, en el post de hoy continuaremos hablando sobre forense analizando como extraer toda la información sobre las redes WiFi a las que se ha conectado un PC con Windows.En el caso de Windows, podremos listar las redes WiFi a las que se ha contectado un usuario analizando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged\XXXXXXX
Podéis ver un ejemplo en las siguientes capturas:

Para extraer esta información más rápidamente durante un pericial y no tener que ir leyendo una a una todas las subclaves, he programado un sencillo script en python que os dejo a continuación y que nos listará todas las redes:

http://www.fluproject.hol.es/descargasDirectas/codigos/getwifis.py

A continuación os muestro el resultado que saldría por consola:

Por otro lado, la configuración de estas redes WiFi es almacenada en otros lugares. En el caso de Windows 7 se almacena en ficheros XML alojados en la siguiente ruta:

C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{Interfaz}

Y en el caso de Windows XP, esta información la encontraremos en el registro de Windows, en la siguiente ruta:

c:/ProgramData/Microsoft/Wlansvc/Profiles/Interfaces/[INTERFAZ]

¡Eso es todo por hoy, que no se os resista ninguna Wifi! :-)

Saludos!

30 jul 2013

Seguridad y PowerShell (Parte IV)

En el último artículo sobre seguridad y la PowerShell hablamos de como crear sesiones remotas de manera sencilla y segura. En el presente artículo hablaremos de como llevar a cabo ejecuciones remotas y qué utilidades remotas proporciona PowerShell. El objetivo del artículo de hoy es demostrar a los administradores de sistemas que pueden utilizar la PowerShell para sus tareas diarias, utilizándola para gestionar su entorno empresarial de manera remota, sencillo y sobretodo seguro.

Ejecuciones y utilidades remotas en PowerShell

Como se vió en el anterior artículo, una vez se tiene creada la sesión es realmente interesante entender como un administrador de sistemas puede enviar órdenes a sus equipos de manera remota. Esta ejecución de órdenes se debe entender como un script ejecutado de manera remota, por esta razón y mediante el uso del cmdlet Invoke-Command se puede llevar a cabo la tarea.

El cmdlet Invoke-Command dispone de los parámetros session y scriptblock. El primero de ellos indica que sesión de las creadas anteriormente son las que se quiere utilizar, es decir, si hemos creado una sesión en una máquina X y queremos ejecutar órdenes en esa máquina, indicaremos que la sesión es la X. El segundo parámetro indica que órdenes queremos ejecutar en remoto. La sintaxis es realmente sencilla, directamente indicamos lo siguiente: Invoke-Command -Session <Objeto de sesión> -Scriptblock {Órdenes a ejecutar}. Es importante recalcar que las instrucciones que se quieren ejecutar en el equipo remoto deben ir entre llaves {}.

Recordar que con el comando Get-PSSession se puede utilizar este cmdlet, por ejemplo de la siguiente manera $misesion = get-pssesion -id <X>, de esta forma se almacena el objeto sesión en la variable y podemos pasársela al parámetro Session. 

Como se puede entender de las líneas anteriores, esto abre un nuevo campo de administración y de consulta remota a los administradores de sistema. Existen ciertas utilidades imprescindibles para la administración, una es la posibilidad de ejecutar scripts en remoto y otra es la posibilidad de lanzar una PowerShell en remoto, a modo de shell.

La primera de las posibilidades la hemos visualizado un poco, pero no en todo su explendor. En vez de utilizar el parámetro Scriptblock, podríamos utilizar el parámetro Filepath, y de esta manera evitar que tengamos que copiar el script en el campo proporcionado por Scriptblock. El parámetro Filepath indica al cmdlet dónde se encuentra el script que se quiere ejecutar en la máquina remota. Los dos parámetros son incompatibles, no podemos lanzarlos juntos.

La segunda de las posibilidades, y una de las más vistosas es el lanzamiento de una PowerShell en remoto. De esta manera el administrador dispondrá de todo el potencial de la PowerShell como si estuviera delante del equipo que quiere controlar. Para lanzar una PowerShell remota se debe ejecutar el cmdlet Enter-PSSession. Simplemente hay que indicar en que máquina remota se quiere abrir una PowerShell. Un ejemplo es enter-pssession –computername <nombre máquina>. Si se quiere acceder con otras credenciales que no sean las mismas con las que el usuario está logueado en la máquina local hay que utilizar el parámetro credential. Un ejemplo sería: $cred = get-credential; enter-pssesion –computername <nombre maquina –credential $cred.

En el libro de PowerShell: La navaja suiza de los administradores de sistemas se puede obtener más información sobre la seguridad aplicada con esta línea de comandos.

29 jul 2013

Escáneres de vulnerabilidades Web ¿Cuál es tu preferido? Parte II

Buenas a todos, en el post de hoy continuaremos la cadena "Escáneres de vulnerabilidades Web ¿Cuál es tu preferido?" que comenzamos hace algún tiempo, para intentar establecer un listado con los mejores productos para auditar aplicaciones de tipo web. Para realizar las pruebas, establecimos como software vulnerable para realizar las prácticas a la distribución Badstore.net, de la que ya hemos hablado largo y tendido.
Hasta el momento, hemos probado los productos Acunetix y W3af, y hoy toca el turno a la herramienta Vega, y de la que hablamos la semana pasada.
Para realizar la prueba, arrancaremos la distribución Badstore y realizaremos un escaneo "por defecto". Tras 5 minutos de análisis la herramienta Vega nos devuelve el siguiente reporte:

Como veis, Vega nos proporciona 24 alertas, de las cuales solamente 2 nos presentan posibles inyecciones de tipo SQL.
A continuación os mostramos un cuadro resumen con los reportes que nos han ido devolviendo todas las herramientas sometidas a los procesos de pruebas:
AplicaciónAlertas totalesVulnerabilidades de Inyección SQL
Acunetix11729
W3af536
Vega242
Por el momento parece que Acunetix gana sobradamente, seguida de lejos por W3af, próximamente realizaremos las pruebas con otros productos e iremos ampliando nuestra tabla.
Saludos!

28 jul 2013

Informe Flu – 134

Como cada semana nos encontramos ante nuestro “Enlaces de la semana”. Lo que ha ocurrido durante la semana en Flu Project ha sido lo siguiente:

Lunes 22 de Julio

Martes 23 de Julio

  • El martes Pablo nos informaba sobre la realización de un Curso de Ciberseguridad, en el que participará como profesor junto con otros cracks y amigos del sector. Si estáis interesados en este tema, es un curso muy  interesante por sus contenidos y calidad de los ponentes.

Miércoles 24 de Julio

Jueves 25 de Julio

Viernes 26 de Julio
Sabado 27 de Julio

27 jul 2013

Security Tube Linux Assembly Expert

Hoy traemos un curso y certificación que nos ha parecido interesante. Security Tube dispone de un curso online en el que se explican los fundamentos, desde el punto de vista teórico y práctico, del lenguaje ensamblador en linux. Echándole un ojo al contenido del curso se puede visualizar partes más teóricas, como el funcionamiento del lenguaje ensamblador en arquitecturas de 32 bits, las herramientas comunes para ir aprendiendo en este difícil mundo, pero tan gratificante, la manera de generar shellcodes en Linux, los distintos tipos de shellcodes, encoders, decoders y crypters en Linux, y por último el polimorfismo.

Viendo el contenido del curso nos ha parecido realmente interesante, y aparte de la posibilidad de certificarse en este curso, creemos que lo importante es su contenido, los videos que muestran como realizar el curso. Su precio es asumible por la mayoría de los lectores, hablamos de un curso + certificación por valor de 149 dólares.

Uno de los estudiantes que han realizado la certificación ha publicado en su blog, las distintas pruebas que ha ido realizando en la certificación para obtenerla. Este es otro recurso interesante, con el que el alumno interesado puede entender que el curso merece la pena, siempre desde nuestro punto de vista. Si quieres conocer el lenguaje ensamblador en Linux, y jugar con shellcodes y métodos de evasión, este curso es bastante completo.

El contenido del curso es el siguiente:

  • Computer Architecture Basics
  • IA-32/64 Family
  • Compilers, Assemblers and Linkers
  • CPU Modes and Memory Addressing
  • Tools of the trade
    • Nasm, Ld, Objdump, Ndisasm etc.
  • IA-32 Assembly Language
    • Registers and Flags
    • Program Structure for use with nasm
    • Data Types
    • Data Movement Instructions
    • Arithmetic instructions
    • Reading and Writing from memory
    • Conditional instructions
    • Strings and Loops
    • Interrupts, Traps and Exceptions
    • Procedures,  Prologues and Epilogues
    • Syscall structure and ABI for Linux
    • Calling standard library functions
    • FPU instructions
    • MMX, SSE, SSE2 etc. instruction sets
  • Shellcoding on Linux
    • Execution environment
    • Exit and Execve shellcode
    • Bind Shell and Reverse TCP
    • Staged Shellcode
    • Egg Hunter
    • Using 3rd party shellcode
    • Simulating shellcode
      • locating syscalls
      • graphing shellcode execution
  • Encoders, Decoders and Crypters on Linux
    • Purpose of encoding and crypting
    • XOR encoders
    • Custom encoding
      • Random sequencing and scrambling
      • mapping functions
    • Crypters
  • Polymorphism
    • Why polymorphism?
    • Polymorphic engines
    • Techniques and Tools
  • Certification Exam details
Os recomendamos que echéis ojo a los videos que dejan visualizar sobre distintas partes del curso, y veáis el interesante enfoque que utiliza el instructor, presentación teórica, más contenido práctico. ¿Qué opináis?

26 jul 2013

Herramientas forense para ser un buen CSI. Parte XXXII: Metadatos

Buenas a todos, en el post de hoy continuaremos con la cadena Herramientas forense para ser un buen CSI hablando de Metadatos. Como veis, nos hemos saltado el post 31 de la cadena, en el que íbamos a concluir la subcadena de análisis forense de dispositivos Tomtom, pero aún no nos ha llegado "un nuevo juguete de investigación" con el que íbamos a redactar el artículo, así que será publicado próximamente :)

En el post de hoy vamos a comenzar a presentar varias herramientas que pueden sernos de utilidad para analizar los metadatos de los archivos que localicemos durante un análisis forense.

Una de estas herramientas es Metadata Analyzer, de la empresa Smart PC Solutions. Esta utilidad de nivel básico, nos permitirá extraer los metadatos de un documento de una manera rápida y sencilla

Una vez instalado el producto basta con abrir Metadata Analyzer, seleccionar el archivo a analizar y pulsar sobre el botón de la lupa, e inmediatamente se nos presentará una ventana con los datos que ha podido extraer del documento:

Si nuestra labor en vez de forense es de anti-forense, nos proponen desde la pestaña "Asegurar documento" una herramienta de su catálogo para limpiar el archivo de metadatos (la utilidad es de pago):

Un software muy sencillo pero que seguro nos es de utilidad en alguna ocasión.

Nos vemos en el próximo post :)

Saludos!

25 jul 2013

Entrevista a Germán Sánchez

Hoy tengo el placer de entrevistar a un compañero de profesión, a un compañero de trabajo, pero ante todo a un amigo. Cuando conocí a Germán en un partido de fútbol, allá por el año 2011, no sabía que acabaríamos siendo compañeros en Informática 64. El día 9 de Abril de 2012, Germán entró en i64, sí Germán sabes que recuerdo la fecha perfectamente :D No sabía que ese chico delgado, cantador, extrovertido podría ser un tio de p.m. Hoy, los dos ya en Telefónica, y apenas viéndonos, puede considerarlo mi amigo.

Sin más os dejo con la entrevista que le hecho, Gracias Germán.

1. Sabemos de buena tinta que te dedicas a la seguridad informática y que tu especialidad es el análisis de malware y las auditorías web, ¿Con cuál de estos dos temas disfrutas más? ¿Alguna situación que puedas contar interesante en alguno de estos dos trabajos?
Cuando empecé en esto de la seguridad informática, no me planteaba ni mucho menos seguir un camino, tan solo divertirme y posiblemente sacar algún tipo de provecho que me ayudase a aprobar los exámenes. Lógicamente en aquella época empecé con el malware, ya que era una forma sencilla de realizar una intrusión sin apenas conocimientos. Pero como en este mundo siempre existe un problema detrás del otro, la curiosidad me pudo y seguí divirtiéndome con la evasión antivirus.La seguridad web vino más tarde, aprendí una base gracias a los foros y la entrada en informática64 me ayudó enormemente en este aspecto.Cuando algo me quita el sueño soy bastante constante y supongo que gracias a eso sigo aprendiendo en ambos temas, pero si tuviese que decantarme por alguno de las dos, lo haría por el malware, pues me parece que existe la posibilidad de ahondar más con la ingeniería inversa.Las situaciones más interesantes suelen ser las más delictivas… esta me la salto ;)
2. El libro de Pentesting con Kali fue escrito, entre otros autores, por ti, ¿Qué opinas de la experiencia de escribir un libro? ¿Qué es lo positivo que sacas de esa experiencia? ¿Lo negativo?
Jejeje Pablete! Pues la verdad es que ya terminado me tranquiliza bastante, dicen que hay que hacer tres cosas en la vida y esta es una de ellas sin duda. En lo personal, me parece que la oportunidad que se me brindó no podía ser desaprovechada y abarcando un tema el cual me parece tan interesante hizo que fuese incluso divertido.No puedo decir nada negativo al respecto.
3. Tu vida laboral ha cambiado mucho en los últimos tiempos, ¿Cómo te sientes en Telefónica?
Esta pregunta es de doble filo  jajajaEl lugar me parece maravilloso al igual que las personas con las que trato en mi día a día, en ese aspecto no tengo ninguna queja. Sigo contento de que todavía no me tirasen a los perros por ser el único de todo el distrito que lleva unas tenis, gorra y pantalones cortos. Sin embargo pienso que estoy hecho para trabajar en una empresa pequeña, será cuestión de tiempo lavarme el cerebro.
4. ¿Qué opinas de Snowden?¡
Me parece genial que alguien como Edward Snowden, tuviese las narices necesarias como para hacer pública la información sobre los espionajes llevados a cabo por la NSA, quien esté en contra debería de hacer de su vida un Gran Hermano.No obstante, me atrae más la novia de Snowden ;)
5. Para los que no te conozcan, ¿qué consejo darías a los jóvenes que se quieren meter en el mundo de la seguridad informática?
Chic@s… ¡no hagan caso a sus padres! jejejOpino que la oportunidad que nos brinda tener un router en casa, es una puerta abierta a un sin fin de decisiones para elegir nuestro camino.Pienso que es muy importante divertirse con lo que hacemos, pues hoy en día es muy común encontrarse a gente la cual no sabe en que trabajar… ¿Pero realmente no saben que es lo que les gusta? Cuestión de tiempo enfocar nuestro divertimiento a nuestra forma de ganarnos la vida.
6. ¿Qué es lo que opinas de tu paso por Informática 64? ¿Qué experiencias positivas te llevas?
La oportunidad que me dio Chema Alonso al entrar en Informática64, ha sido la mejor de mi vida profesional. Esta me ha aportado muchas cosas gratificantes, entre ellas conocer gente especializada en seguridad informática y hacerme olvidar ese sentimiento incomprendido que tenemos todos cuando nuestros compañeros/superiores, no tienen ni puta idea de porqué pasan las cosas.Compartir auditorías junto a Francisco Oca, Manu “The Sur” o Pablo Gonzalez, me ha llevado a un aprendizaje constante y la necesidad de abrir mi mentalidad a nuevos focos de atención… con lo que me siento muy agraciado de haber compartido esos momentos dentro de Informática64.
7. Como autor del libro de Kali, seguramente el primer o uno de los primeros libros de Kali en castellano, ¿qué distribución de seguridad informática te gusta utilizar?
Anteriormente he utilizado Ubuntu como sistema de escritorio, aunque personalmente considero que Windows tiene todo lo que necesito para enredar… si tengo que elegir, entre los dos sería cuestión de virtualizar Kali en mi Windows 7/8.
8. ¿Qué opinas de Flu Project?
Todo lo que tenga que ver con el malware activa mi atención, con lo que un proyecto comunitario con el fin de desarrollar una botnet me parece cojonudo por varios aspectos:1-  La mejor manera de aprender cómo funciona un malware es desarrollándolo.2-  Es público y gratuito, con lo que todo el mundo puede colaborar con ideas.Así que… ¡Aguante Flu! =D
9. Cuéntanos una apuesta de futuro, ¿qué planes tienes para los próximos años?
Suelo ser una persona relajada en mi vida laboral, aparte de seguir creciendo y divirtiéndome no tengo muchas más metas… el resto vendrá solo.
10. Por último, ¿Crees que la época del malware en la que vivimos irá hacia malware más avanzado o llegaremos a un límite máximo?
Seguro aparecerá malware ligado a explotación de vulnerabilidades desconocidas, pero no tiene por qué aumentar considerablemente la sofisticación del malware. Pienso que normalmente las cosas sencillas suelen ser las que mejor funcionan. La ingeniería social siempre estará en el primer lugar pre-explotación.Cuando todas las variables estén filtradas, todos los desbordamientos controlados, siempre quedará atacar al funcionamiento de la aplicación… seguro que la única vulnerabilidad existente viene directamente de las zarpas del desarrollador jejeje

Si queréis tener a Germán en estado puro, consultar "Pentesting con Kali".

24 jul 2013

Auditando aplicativos web con Vega

Buenas a todos, en el post hoy nos gustaría hablaros de la herramienta Vega. Una alternativa Open Source al conocido Acunetix, que viene incluida en la distribución de linux orientada a seguridad de nuestros amigos del Bugtraq Team.

Vega puede ayudarnos a localizar y validar inyecciones de tipo SQL, Cross-Site Scripting (XSS), escalado de directorias y muchas otras vulnerabilidades.

Se encuentra programado en Java, lo que permite que funcione bajo las principales plataformas del mercado, Windows, Linux y OS X. Una de sus características más interesantes es que sus funcionalidades pueden ampliarse mediante una API, que nos permitirá desarrollar módulos en lenguaje Javascript.

Nada más abrir la herramienta nos encontraremos con una interfaz muy sencilla de manejar y que juega con un sistema de ventanas clásico y funcional:

Para ilustrar el uso y capacidades de Vega probaremos a auditar la seguridad de la distribución Badstore.net, tal y como hemos hecho en otras ocasiones:

Para comenzar un análisis pulsaremos sobre el botón con una diana roja y se nos abrirá la siguiente ventana. En ella indicaremos la URL que deseamos escanear:

Si pulsamos en "Finish", comenzará a escanear el sitio web con los parámetros básicos, pero si pulsamos sobre "Next", nos permitirá configurar el proceso de auditoría, modificando entre otros, los tipos de vulnerabilidades que intentará localizar, variables a utilizar para las búsquedas por "fuzzing", cookies, etc:

Tras pulsar en "Finish" comenzará el análisis:

Una vez finalizado nos mostrará de una manera muy similar a Acunetix el resumen de las alertas generadas:

Y nos brindará detalles sobre cada una de las vulnerabilidades:

Sin duda otra herramienta interesante para tener a mano en un proceso de auditoría web :)

Saludos!

23 jul 2013

Curso de Ciberseguridad (Criptored - Eventos Creativos)

La semana pasada se publicó el curso de Ciberseguridad llevado a cabo por Criptored y Eventos Creativos. El curso tiene una duración de 40 horas y será impartido en módulos de 2 horas diarias. La fecha de inicio del curso es el 16 de Septiembre y su finalización será el 17 de Octubre de 2013. Este curso es un imprescindible para la gente que está involucrada con la seguridad informática en su mundo laboral y los que quieren comenzar a meter cabeza en este mundo. Principalmente orientado a orientado responsables de seguridad, cuerpos y fuerzas de seguridad del estado, agencias militares, ingenieros de sistemas y estudiantes de tecnologías de la información.

El curso aborda los temas más significativos de está temática y será impartido por un elenco importante de profesionales de la seguridad. Para mi es un honor compartir agenda con todos ellos, y decir que personalmente me llena de orgullo y satisfacción :D Os dejo un listado de los ponentes, de gran prestigio: Chema Alonso (Maligno), Alejandro Ramos (Dab), Sergio de los Santos, Antonio Guzmán, José Luis Verdeguer (Pepelux), Lorenzo Martínez, Juan Garrido (Silverhack), Raúl Siles, David Pérez, José Picó, Alfonso Muñoz y Jorge Ramió. Por último, un servidor: Pablo González.

Ahora os dejamos el temario del curso:

Módulo 1: Incidentes de ciberguerra, ciberespionaje y operaciones militares(2 horas) - 16 de septiembre de 2013Profesor: Chema Alonso - Telefónica Digital

Módulo 2: Ciberarmas: malware dirigido, 0 days y RATs(2 horas) - 19 de septiembre de 2013Profesor: David Barroso - Telefónica Digital

Módulo 3: Comunicaciones críticas e identificación en entornos de alta seguridad(6 horas) - 17, 18 y 24 de septiembre de 2013Profesores: Jorge RamióAlfonso MuñozAlejandro Ramos - UPM/UC3M Criptored & SecurityByDefault

Módulo 4: OSINT y ataques dirigidos APTS(10 horas) - 23, 25, 26, 30 de septiembre y 1 de octubre de 2013Profesores: Chema AlonsoAlejandro RamosSergio de los Santos, Antonio Guzmán

Módulo 5: Anonimato y Deep Web(2 horas) - 10 de octubre de 2013Profesor: José Luis Verdeguer

Módulo 6: Data Leak Prevention. Detección y protección(10 horas) - 2, 3, 7, 8 y 9 de octubre de 2013Profesores: Lorenzo MartínezAlfonso Muñoz, Juan Garrido

Módulo 7: Protección de comunicaciones en redes móviles. WiFi, Bluetooth, GSM, GPRS, 3G(4 horas) - 14 y 15 de octubre de 2013Profesores: Raúl Siles, David Pérez, José Picó - Taddong

Módulo 8: Riesgos de seguridad con dispositivos móviles. IOS, Android y BlackBerry(4 horas) - 16 y 17 de octubre de 2013Profesor: Pablo González - Telefónica Digital/Flu-project

Hay que tener en cuenta que con el curso existe una oferta interesante de 4 libros imprescindibles:

  • Protección de comunicaciones digitales. De la cifra clásica al algoritmo RSA. Alfonso Muñoz y Jorge Ramió
  • Máxima Seguridad en Windows: Secretos técnicos. Sergio de los Santos
  • Hacking de dispositivos iOS: iPhone & iPad. Varios autores
  • Metasploit para Pentesters. Pablo González
Para mayor información se puede consultar el sitio web del curso. Os esperamos! :D

22 jul 2013

Seguridad y PowerShell (Parte III)

Continuamos con la serie de PowerShell y seguridad de ésta, hablando hoy sobre el tema de comunicaciones y ejecuciones remotas. PowerShell ofrece para los administradores de sistemas la posibilidad de realizar consultas o ejecutar acciones sobre máquinas y sistemas remotos dentro de la organización. PowerShell funciona por debajo con .NET Framework, el cual facilita dichas gestionas. Para estas comunicaciones se necesita Windows Remote Management 2.0, el cual viene instalado por defecto en los sistemas operativos Windows 7 / 2008 R2. El requisito fundamental para poder utilizar las ejecuciones remotas en una máquina, y es que se debe ser miembro del grupo administradores de la máquina remota o ser miembro del grupo de administradores de dominio, si el ámbito es un dominio. Implícitamente PowerShell enviará sus credenciales con las que actualmente nos encontremos logueados en el sistema, tal y como sucede con SMB.

Por este hecho es necesario estar logueado en la máquina local como un usuario que sea administrador en la máquina remota, además esa misma cuenta deberá disponer de la misma contraseña (Impersonalización de usuarios? pass the hash implícito?). Aunque, por supuesto, existe la opción de poder indicar con qué credenciales se quiere autenticar en la máquina remota el usuario.

Creación y configuración de una sesión remota

Existe una gran cantidad de cmdlets en PowerShell que permiten ejecutar instrucciones remotas de manera segura. Uno de los ejemplos más básicos sería la posibilidad de listar los servicios o procesos que corren en una máquina remota sin necesidad de Windows Remote Managmente 2.0. Para ello se puede utilizar el parámetro computername, por ejemplo, get-service -computername <maquina>.

Ahora, si queremos crear sesiones remotas se debe habilitar, en primera instancia Windows Remote Management 2.0, con el cmdlet Enable-PSRemoting en los equipos que serán administrados a distancia. Por el contrario, si en algún instante se quiere deshabilitar la gestión remota se ejecutará el cmdlet Disable-PSRemoting. Es importante que el perfil de la red no sea público, porque no podremos realizar dichas acciones, siempre un perfil de red de dominio o privado. Las máquinas deben de ser de confianza, por lo que en un dominio no hay problema, si no hay dominio habrá que configurar la confianza.

El cmdlet New-PSSession permite crear nuevas sesiones, y dispone de gran cantidad de opciones:

  • Credential. Especifica con qué usuario y password se quiere iniciar sesión.
  • Port. Puerto por el que realizar la conexión.
  • ComputerName. Nombre de la máquina para la conexión.
Para crear la sesión como el usuario con el que se está logueado hay que ejecutar new-PSSession -computername <maquina>. Un ejemplo para llevar a cabo estas acciones puede ser:
$cred = get-credential; new-PSSession –ComputerName <nombre máquina> -Credential $cred

En primer lugar se pide las credenciales, las cuales se encuentran securizadas en memoria, se almacenan en la variable y después se crea la sesión sobre la máquina remota. El cmdlet Get-PSSession devuelve las distintas sesiones que se han creado, ya sean locales o remotas.

En el libro de PowerShell: La navaja suiza de los administradores de sistemas se puede obtener más información sobre la seguridad aplicada con esta línea de comandos.

21 jul 2013

Informe Flu – 133

Como cada semana nos encontramos ante nuestro “Enlaces de la semana”. Lo que ha ocurrido durante la semana en Flu Project ha sido lo siguiente:

Lunes 15 de Julio

Martes 16 de Julio

  • El martes seguimos hablando de PowerShell y la seguridad de ésta en este segundo artículo de la serie. ¿Qué opinas de ello?

Miércoles 17 de Julio

Jueves 18 de Julio

Viernes 19 de Julio
  • Juanan se va de tour y va a Radio3 a hablar con César, Román y Pilar. Interesante debate el que plantearon el viernes pasado en las ondas.
Sabado 20 de Julio
Esto ha sido todo esta semana, nos vemos en 7 días de nuevo con un nuevo resumen de lo que ha ocurrido en Flu Project.

20 jul 2013

¿Te has perdido los últimos eventos de seguridad?

Buenas a todos, en el post de hoy nos gustaría recapitularos los vídeos y podcasts de los últimos eventos en los que hemos tenido la suerte de participar, por si os los habéis perdido :)
El primero de ellos es nuestra participación la semana pasada en el ESET Security Forum, evento del que se han hecho eco numerosos medios, que os pasamos a listar a continuación:
En el evento participamos el CEO de Securízame y bloguero de SecuritybyDefault, Lorenzo Martínez; el socio fundador de Abanlex Abogados, Pablo Burgueño; el periodista y bloguero tecnológico y director del programa Cope 3D, Javier Villacañas; el consultor de hacking ético y fundador de Flu-project, Juan Antonio Calles; y el CEO de Garante y bloguero de SecuritybyDefaul, Yago Jesús entre otros, y se trataron temas muy interesantes relacionados con las últimas noticias de la NSA, Prisma, el Borrador de Código Procesal Penal, etc. Por el momento ESET ha publicado en vídeo la primera parte del evento, al que podéis acceder desde aquí:
Próximamente serán publicados los dos bloques restantes del evento.
Por otro lado, ya ha sido publicado el podcast de la mesa redonda en la que participamos ayer en Radio 3W con Román Ramírez (@patowc), presidente del Congreso Rooted Con, de Cesar Lorenzana (@gdtguardiacivil), capitán del grupo de Delitos Telemátios de la Guardia Civil y Jorge (por intervención telefónica), fiscal especializado en tecnología.
Podéis descargar el podcast completo desde aquí:
Os recomendamos escucharlo, por el momento ha recibido muy buenas críticas y creemos que se tratan temas muy interesantes y que nos afectan a todos, por lo que no os lo podéis perder :)
Esa es toda la crónica por hoy, nos vemos en la red!

19 jul 2013

Hoy estaremos de nuevo en Radio3W en un interesante debate sobre la relación de los cuerpos con los expertos en seguridad

Buenas a todos, en el post de hoy queríamos haceros llegar el mensaje de que hoy estaremos de nuevo en el programa Ventanas en la red de Pilar Movilla en Radio3w, donde formaremos parte de un interesante debate sobre la relación de los cuerpos con los expertos en seguridad, hablaremos de la NSA, del borrador del futuro código procesal penal y mucho más.

Estaremos acompañados de Román Ramírez (@patowc), presidente del Congreso Rooted Con, de Cesar Lorenzana (@gdtguardiacivil), capitán del grupo de Delitos Telemáticas de la Guardia Civil y Jorge (por intervención telefónica), fiscal especializado en estos menesteres.

He de decir que me lo pasé muy bien en esta entrevista, se aclararon muchos temas y muy interesantes, sin censuras y con total libertad (aunque con el pico que tienen mis compañeros de mesa... ¡casi ni me dejaron hablar! :P)

Sois grandes como dice cierto Ángel de la guarda.... ;)

Como siempre podéis escucharlo de 17:00 a 18:00 en Radio3w (http://radio3w.com/), pulsando en "On air".

¡No os lo perdáis! 

18 jul 2013

¿Están los partidos políticos concienciados de la seguridad de sus sitios web?

Buenas a todos, si leísteis el post de ayer en Flu Project que escribió Pablo sobre búsqueda de sitios web vulnerables a SQL Injection a través de buscadores, y realizasteis algunas sencillas pruebas buscando en Google los verbos que expusimos, localizaríais seguramente una curiosa página web de cierto partido político, que padece una inyección de tipo SQL que ha sido indexada por Google. No hacía falta profundizar mucho ya que su inyección salía en el TOP 1 de resultados de Google:

Con solo hacer clic sobre el enlace que nos presenta Google y SIN HACER NADA, NI PONER UNA SIMPLE COMILLA, se nos presenta una pantalla como la siguiente que creo no hará falta explicar:

Hemos tapado toda la información referente al partido, ya que nuestro objetivo no es perjudicar la imagen de ningún partido, simplemente concienciar de su falta de concienciación en seguridad.

Si nos fijamos en su favicon podemos ver que se trata de un portal Joomla, por lo que es muy posible que si el administrador no ha bastionado la configuración del servidor tengan expuesto el panel de control:

Portal en el que por supuesto no hemos puesto ni la letra de nuestro DNI.

Buscando nuevas queries en Google no es difícil localizar agujeros o más bien socavones de seguridad similares en partidos de otros colores, y repito, sin realizar ningún tipo de ataque, simplemente realizando búsquedas en Google. Puse este ejemplo porque me resultó curioso que Google lo presentase como el primer resultado en una búsqueda de patrones vulnerables, aunque podría haber puesto muchos otros.

Como conclusión a este artículo me gustaría transmitir mi temor por la falta de preocupación por la seguridad de la mayoría de los partidos políticos en sus sitios web y que al final acaba repercutiendo en mayor o menor medida a la ciudadanía, a sus militantes y a la imagen de nuestro país.

Saludos!

17 jul 2013

¿Cuánto tardas en encontrar un SQLi?

En otras ocasiones hemos hablado de que, es más rápido obtener una cuenta en Internet que crearla, por lo que si se quiere hacer algo malo en Internet, se debería pasar antes por estos rincones. Hoy queremos estudiar cuanto tiempo nos costaría hacernos con una base de datos de usuarios, de productos, de contraseñas, sin apenas tener conocimientos. Es decir, cualquier persona conociendo dos verbos de Google y utilizando una herramienta de automatización en el análisis y explotación de vulnerabilidades puede hacerse con el control de un sitio web. ¿Fácil? 

PoC

Lo primero es utilizar un buscador que nos permita obtener un listado de sitios web, por ejemplo con extensión PHP y que disponga en la URL el parámetro ID, podríamos realizar la búsqueda por otro cualquier parámetro que nos pueda interesar, pero para ser rápidos se toma ese. La búsqueda generará una gran cantidad de resultados, y ahora ya tenemos lo más importante una gran cantidad de pruebas que realizar.

Como veis en esta primera búsqueda inicial hay muchos falsos positivos, por lo que podemos perfeccionar más la búsqueda para solo seleccionar sitios web vulnerables, por ejemplo, a inyección de código SQL en bases de datos MySql:

Ahora la persona perderá menos de un minuto en empezar a probar los sitios web, pero ¿Qué herramientas puede utilizar para llevar a cabo su tarea? Existen multitud de herramientas de automatización y explotación de SQLi, por ejemplo Havij.

Una vez se ha detectado la vulnerabilidad y explotado se dispone de acceso a la base de datos y las tablas que forman ésta. Es cierto que usando esta herramienta uno se puede sentir un script kiddie, aunque el objetivo del post de hoy es realizar una crítica de lo fácil que puede llegar a ser para cualquier persona utilizando un poco Internet y disponer de 2 minutos, apoderarse de la información de un sitio web. Se recomienda interceptar las peticiones de Havij e investigar alguna de las SQLi que éste lanza, son realmente interesantes.

Ningún sitio web y ninguna persona sufrió daño alguno en la realización de este artículo. Además, nadie resultó inyectado por Havij en la producción del post.

16 jul 2013

Seguridad y PowerShell (Parte II)

Hace una semana hablamos sobre la seguridad en PowerShell, la línea de comandos más potente de Microsoft. En la entrada anterior se trataron las distintas políticas que dispone esta potente línea de comandos.

Hoy hablaremos sobre los ámbitos de ejecución de dichas políticas de seguridad, pero ¿Qué aportan exactamente los ámbitos? Los ámbitos aportan riqueza y distinción a las políticas de ejecución, es decir, se puede especificar que una política es válida para un ámbito en concreto, por ejemplo para el ámbito de usuario o de equipo global. Es algo muy similar a las ramas del registro de Windows. En la versión 2 de PowerShell encontramos los siguientes ámbitos:

  • Local Machine: La política de ejecución que se configure para este ámbito afectará a todos los usuarios de la máquina. En otras palabras se almacena de manera persistente en la rama del registro HKEY_LOCAL_MACHINE.
  • Current User: La política de ejecución afecta solamente al usuario actual, se almacena en el registro de Windows, pero en la parte correspondiente al usuario.
  • Process: La política de ejecución afecta solamente al proceso en curso. No es un ámbito persistente, como si lo son los anteriores.

La prioridad en las que se ejecutarán estas poíticas vienen determinadas por el orden siguiente: process -> current user -> local machone, por lo que la más prioritaria es la de process. Solamente cuando el ámbito process esté declarado con una política undefined se valorará la política current user, y solo cuando ésta tamnién esté undefined se aplicará local machine. Si todos los ámbitos se encuentran con políticas undefined, se ejecutará la política más restrictiva, es decir, restricted.

Se puede ejecutar los cmdlets get-executionpolicy para visualizar las políticas aplicadas a los distintos ámbitos. Para aplicar una política a un ámbito se debe utilizar el parámetro scope e indicar el ámbito, utilizando el parámetro set-executionpolicy.

ACLs

Los cmdlets get-acl y set-acl son utilizados para la gestión de permisos en el sistema de archivos NTFS. Todo esto puede ser realizado desde PowerShell de manera sencilla y eficaz. Los sistemas de archivos NTFS disponen de un descriptor de seguridad, SD, el cual determina si un usuario dispone de permisos o no para realizar ciertas acciones. Con get-acl se puede leer los permisos que se tiene sobre un directorio o archivo, por defecto se obtiene el owner, usuarios y el tipo de acceso que éstos disponen.

Con set-acl se aplican nuevos permisos a los ficheros, su utilización es sencilla. Por ejemplo para clonar los permisos de un directorio y aplicarlo sobre otro se realizaría de la siguiente manera:

$acl = get-acl <fichero o dir>; set-acl <nuevo fich o dir> $acl

En el libro de PowerShell: La navaja suiza de los administradores de sistemas se puede obtener más información sobre la seguridad aplicada con esta línea de comandos.

15 jul 2013

Secunia CSI (Corporate Software Inspector)

Buenas a todos, en el post de hoy me gustaría hablaros de un producto para fortificar la seguridad de nuestras empresas, Secunia CSI.

Secunia CSI (Corporate Software Inspector) fue lanzado en 2008 por la empresa Secunia para abordar la aplicación de parches de software desactualizado en un ambiente corporativo. Originalmente funcionaba únicamente con Microsoft WSUS/SCCM, pero en el año 2011 se amplió para incluir los productos de Apple.

Secunia CSI cubre los aspectos clave del ciclo de vida de gestión de parches y se integra con las herramientas de implementación de parches de red para realizar las labores de despliegue.

CSI permite agregar equipos para parchear a través de escaneos de rango de IPs, indicándole las direcciones IP o el nombre de los hosts manualmente. Por otro lado, puede buscar software en los equipos en las rutas que él considera “típicas”, es decir, donde se suele instalar cada producto por defecto, o también puede buscar en todo el equipo (lo que ralentizará las operaciones como es lógico).

La mayor potencia de CSI es en un entorno de dominio de Active Directory con WSUS, lo que permitirá parchear todo el software de los equipos añadidos al dominio, ya sea de productos de Microsoft o de terceros:

De la misma manera se podrían realizar escaneos por grupos, en caso de que estos estuviesen definidos:

Una vez analizado el estado de las máquinas de la red, se podrán ver los resultados desde la pestaña “Results”.

En el análisis realizado se ha escaneado la máquina local, y en la que como se puede ver a continuación, dispone de 2 programas desactualizados, 26 programas actualizados y 0 programas considerados inseguros:

En la pestaña “Programs” se puede ver el listado de aplicaciones de cada máquina analizada, y el estado de sus actualizaciones:

Lo mismo ocurre con los sistemas operativos, y en los que podremos mantener control total sobre su estado de actualización:

Finalmente desde la pestaña “Patching” se pueden aplicar las actualizaciones del software desactualizado:

 Sin duda, una solución muy interesante para mantener la seguridad de un entorno corporativo.

A continuación os dejo con el listado oficial de sus licencias en función de sus características técnicas. Sus precios oscilan entre los 2.500€ y los 24.000€:

Saludos!