31 mar 2014

Instalación y configuración del FW Cisco PIX con GNS3



Buenas a todos, en el post de hoy iniciaremos una cadena donde vamos a aprender a instalar y configurar el software de virtualización de redes GNS3, con el objetivo de integrarlo con Virtualbox y jugar con los firewall PIX de Cisco para bloquear servicios hacia y desde máquinas virtualizadas en Virtualbox.

El primer paso será instalar Virtualbox y configurar dos máquinas virtuales Windows XP, que utilizaremos como cliente y servidor en nuestra red simulada.

A continuación, descargaremos la última versión del software GNS3 desde el siguiente enlace:

Una vez instalado nos encontraremos con el “setup wizard”:


Pulsaremos sobre el botón “1” y aplicaremos la siguiente configuración:






Desde la pestaña PIX podremos agregar las imágenes de nuestros Firewall PIX:



En la pestaña "Virtualbox guest" asociaremos las máquinas virtuales Windows XP que habremos creado en Virtualbox:



Ahora pulsaremos sobre el botón “3” y agregaremos las imágenes de IOS que precisemos para nuestra simulación de red. En nuestro caso simplemente hemos precisado de una imagen de un Firewall PIX (que ya hemos agregado en el paso anterior):


En este paso pulsaríamos en “Auto calculation”:


Y aceptaremos:



Ya hemos finalizado la instalación. No ha sido difícil ¿verdad?

En el próximo post crearemos nuestra red.

Saludos!

30 mar 2014

Informe Flu - 169


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

Lunes 24 de Marzo
Martes 25 de Marzo
Miércoles 26 de Marzo
Jueves 27 de Marzo

29 mar 2014

AnonymoX

Buenas a todos, el otro día durante un proceso de auditoría en el cual no tenía ni mi ordenador habitual, ni mi kit de herramientas, me tocó salir por algunas IPs de dudosa procedencia para saltarme unos filtros de una aplicación.

Disponía de un ordenador con una versión de Firefox bastante antigua, por lo que decidí tirar de algún plugin que me anonimizase la conexión, para después hacer uso de tamper data y de la hackbar de Johaan y de mi amigo Pedro Laguna.

En ese momento recordé un plugin que me comentó hace algún tiempo nuestro rapero personal, Insonusvita, AnonymoX. La verdad que nunca lo había utilizado y es una herramienta simple y efectiva que os sacará de un apuro en caso de que os surja la necesidad de salir por alguna IP aleatoria:

 
Su uso es tan simple como seleccionar el país por el que deseas pasar, y clicar en la opción "active":

 

Y ya estaréis navegando a través de algún proxy de sabe dios donde :)


En la parte inferior del navegador se os habrá creado un acceso directo al plugin, y podréis ver la IP y una bandera del país por donde estáis saliendo :)

Eso es todo por hoy,

Saludos!

27 mar 2014

¿Son los hackers unos ciberdelincuentes?

El otro día visitando un foro, en el que últimamente paso mucho tiempo, hablaban sobre los ciberdelitos y la ciberdelincuencia, se debatía su existencia (la cual es algo obvio para los que vivimos en este sector), tipos, y qué es un ciberdelincuente. Me llamó mucho la atención la manera que tiene la gente de agredir verbalmente a todo un colectivo y muchos de los profesionales de la seguridad, cuando incluso ellos mismos se consideran del sector. 

Nunca entro a debatir sobre lo que alguien dice, pero me llamó mucho al atención como algunos definían a los hackers. Se indicaba que los hackers se mueven por dinero, que ganan grandes sumas de dinero y que incluso lograban que ordenadores en la sombra (entiendo que se refieren a que controlan equipos distribuidos de manera geográfica y que están más troyanizados que el equipo del locutorio de la esquina). Lo que si dan a entender es que estando en la sombra, están infectados a distancia, y que por supuesto el equipo trabaja para ellos. Cito literalmente una última referencia sobre los hackers: "Son los profesionales de la delincuencia del siglo XXI, los nuevos ladrones de cuello blanco". Me quedé perplejo, y vale es un debate que existe en la sociedad, gracias a algunos medios de difusión, éste es el concepto que muchas personas tienen, pero si estas personas se dedican a la seguridad, ¿Qué están diciendo? Yo estaría de acuerdo si en vez de decir hackers, dicen ciberdelincuentes, sería una definición desde mi punto de vista válido. La verdad que contesté en el foro indicando que no estaba de acuerdo con la definición, y aportando la mía. Los hackers no son delincuentes, los delincuentes son los que delinquen, y un hacker no tiene porque hacer eso. Los hackers son personas que juegan con el conocimiento, que quieren conocer cada día más sobre la tecnología y que, aunque pueda haber alguno que desvíe, su objetivo no es ganar dinero delinquiendo. Eterno debate en la sociedad. Otros medios de difusión están ayudando a difundir este mensaje, y los eventos de seguridad ayudan cada día más, como se pudo ver en la pasada Rooted CON. Los hackers no son delincuentes! o no por definición. 

La ciberdelincuencia es la acción o conjunto de acciones que se escapan del marco de la legalidad y que utiliza como vía la informática, ya sea de manera pública (Internet), una red privada o un equipo informático sin red.

Las características principales de la ciberdelincuencia son:
  • Son delitos que, en su mayoría, no requieren gran dificultad. Existen algunos entornos tecnológicos complejos, los cuales si llevarían un mayor grado de complejidad.
  • Cada vez hay más delitos de este tipo y evolucionan rápidamente. Este hecho hace que identificarlos se algo cada vez más complejo, o que conlleve un mayor tiempo.
  • Son realizados desde distintos puntos geográficos y a gran escala lo que dificulta su seguimiento y la aplicación de una ley uniforme sobre distintos actores.
  • Se requiere de un cuerpo formado que pueda luchar contra el cibercrimen y la consolidación de ciberdelitos.
  • Indicios y pruebas son de tipo informático, en la mayoría de las ocasiones, con todo lo negativo que esto puede derivar, por ejemplo, la volatilidad de las pruebas o evidencias digitales.
  •  Son actos que pueden realizarse de forma rápida y mostrarse a la víctima en el instante, como en el caso de estafas, o de forma lenta a través de la distribución de malware.
Hoy en día la mayoría de los ciberdelincuentes tienen un objetivo común y es el dinero. La gran red es un lugar donde los ciberdelincuentes tienen un gran campo de batalla y llego no posibilidades para lograr su objetivo. Aunque es cierto que en una minoría los delitos no son realizados por temas económicos, siendo el objetivo una venganza, un interés de imagen (relacionado indirectamente con productividad), etcétera.

26 mar 2014

Ejecutando Nmap desde Python

Nmap es probablemente una de las herramientas más conocidas y utilizadas en el mundo del pentesting y no es para menos, ya que se trata de un escaner que no solamente permite encontrar puertos abiertos en un máquina o segmento de red, sino que también permite ejecutar scripts NSE (Nmap Scripting Engine) para filtrar información o detectar vulnerabilidades sobre el objetivo.
Algunas de las características avanzadas que incluye Nmap y que son igualmente útiles para pentesters, administradores de sistemas y atacantes, se listan a continuación:
  • Implementación de técnicas de evasión de IDS/IPS y Firewalls
  • Permite ejecutar varias técnicas de escaneo, entre las que se incluyen escaneos del tipo XMAS, Null, Fin, Stealth, entre muchos otros.
  • Permite la fragmentación de paquetes a la hora de realizar el escaneo. La finalidad de esta técnica es la de dificultar la identificación del escaneo por parte de mecanismos como IDS o IPS
  • Generación aleatoria de hosts y señuelos como origen de los paquetes
  • Ejecución de scripts NSE, así como la posibilidad de crear scripts personalizados utilizando lenguaje LUA.
  • Capacidad de ejecutar “Idle scans” que permiten utilizar un host cuyo manejo del numero de secuencia de los paquetes IP es predecible. (ver: http://nmap.org/book/idlescan.html)
  • Capacidad de controlar la frecuencia en la que se envían los paquetes de datos al sistema objetivo. De esta forma es posible controlar cada cuanto se envían paquetes para la detección del estado de un puerto.
Estas son tan solo algunas de las características que convierten a Nmap en una herramienta que se debe de encontrar en el arsenal de cualquier pentester.
Sin embargo, en ocasiones es muy útil poder automatizar su uso por medio de scripts o rutinas externas. En el caso de Python, es posible hacerlo como con cualquier otro ejecutable, se puede crear un proceso utilizando la utilidad subprocess de Python y ejecutar Nmap con los argumentos adecuados. No obstante, hacerlo de esta forma puede resultar ineficiente, ya que seria necesario parsear los contenidos del canal estándar de salida (stdout) para que la información retornada por Nmap pueda ser útil desde un script. Una solución mucho más adecuada para este propósito y desde luego mucho más elegante, es utilizando una librería que se encargue de estos detalles y devuelva una estructura de datos consistente con los resultados devueltos por Nmap. Una de las mejores alternativas es python-nmap

Utilizando Python-nmap
Python-nmap es una librería que se encuentra en desarrollo continuo y que a la fecha de escribir este documento, soporta todas las características disponibles en la ultima versión de Nmap. Existen dos versiones que permiten operar con Python 3.x y Python 2.x, lo cual es importante tenerlo en cuenta a la hora de instalar dicha librería. Por otro lado, con esta librería es posible ejecutar escaneos de forma síncrona o asíncrona. Un escaneo síncrono, consiste simplemente en que python-nmap bloqueará el hilo de ejecución principal hasta que el escaneo finalice su ejecución. Un escaneo asíncrono ejecuta el escaneo Nmap en un nuevo hilo de ejecución y permite que el hilo principal siga ejecutándose. En un escaneo asíncrono, se permite la definición de una función de callback que será invocada de forma automática cuando se obtenga un resultado sobre alguno de los puertos analizados.
Para instalar la librería, se sigue el mismo procedimiento que muchas de las librerías disponibles para Python, consiste simplemente en ejecutar el script setup.py con el argumento install el  cual se encuentra ubicado en el directorio raíz del paquete descargado.

#python setup.py install

El uso básico de la librería es por medio de la clase PortScanner. Dicha clase implementa todas las funciones necesarias para ejecutar un escaneo y recuperar la información retornada por Nmap.

#python
Python 2.7.1 (r271:86832, Nov 27 2010, 18:30:46) [MSC v.1500 32 bit (Intel)] on
win32
Type "help", "copyright", "credits" or "license" for more information.
>>>import nmap
>>>nm = nmap.PortScanner()
>>>results = nm.scan('127.0.0.1', '22,25,80,443')
>>> nm.scaninfo()
{u'tcp': {'services': u'22,25,80,443', 'method': u'syn'}}
>>> nm.command_line()
u'nmap -oX - -p 21,22,25,80,443 -sV 127.0.0.1'
>>> nm.all_hosts()
[u'127.0.0.1']

Desde el interprete de Python, se ha creado un objeto del tipo PortScanner y luego se ha ejecutado un escaneo contra la máquina local en los puertos 22, 25, 80 y 443. Las funciones scaninfo, command_line y all_host devuelven información general sobre el escaneo ejecutado, el comando Nmap ejecutado y todos los hosts que han sido analizados en el escaneo.

>>> print(nm.csv())
host;protocol;port;name;state;product;extrainfo;reason;version;conf
127.0.0.1;tcp;22;ssh;open;;;no-response;;3
127.0.0.1;tcp;25;smtp;unknown;;;no-response;;3
127.0.0.1;tcp;80;http;unknown;;;no-response;;3
127.0.0.1;tcp;443;https;unknown;;;no-response;;3
>>> nm['127.0.0.1']['tcp'][22]['state']
u'open'
>>> nm.all_hosts()
[u'127.0.0.1']
>>> nm['127.0.0.1']['tcp'][22]
{'state': 'open', 'reason': 'syn-ack', 'name': 'ssh'}

Como se puede apreciar, es posible recorrer el diccionario que contiene los resultados utilizando como claves, el host analizado, el protocolo y el puerto analizado. Se trata de un diccionario anidado y como tal, puede ser recorrido utilizando instrucciones y funciones estándar del lenguaje.
Por otro lado, se trata de una librería que permite ejecutar Nmap de forma personalizada, del mismo modo que lo haría un pentester o administrador de sistemas desde linea de comandos, especificando los argumentos necesarios para la ejecución del escaneo.


>>> results = nm.scan('88.12.45.12', arguments="-sSV -A -n -T2")
>>> type(results)
<type 'dict'>
>>> results['scan'].keys()
[u'88.12.45.12']
>>> results = nm.scan('77.80.25.244', arguments="-sSV -A -n --source-port 88 -D 22.22.22.22,33.33.33.33,RND:4,ME")
>>> type(results)
<type 'dict'>
>>> results['scan'].keys()
[u'77.80.25.244']

Con el parámetro “arguments” es posible especificar las opciones que recibirá Nmap para ejecutar el escaneo contra los objetivos definidos. Con esto, es posible controlar mucho mejor el proceso de escaneo.

Finalmente, tal y como se comentaba anteriormente, es posible ejecutar un escaneo asíncrono utilizando python-nmap  tal y como se detalla a continuación.

#python
Python 2.7.1 (r271:86832, Nov 27 2010, 18:30:46) [MSC v.1500 32 bit (Intel)] on
win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import nmap
>>> nma = nmap.PortScannerAsync()
>>> def asynScan(host, result):
...     print host, result
...
>>> nma.scan('127.0.0.1', arguments="-sSV -A -n", callback=asynScan)
>>> while nma.still_scanning():
...     nma.wait(2)
...
>>>

Para implementar un escaneo asíncrono, se debe utilizar la clase PortScannerAsync la cual es exactamente igual a la clase PortScanner con la diferencia de que incluye un argumento adicional que permite definir una función de callback y cuenta con algunas funciones adicionales para controlar el proceso de escaneo en el caso de ser necesario.

Python-nmap es una muy buena solución que permite implementar las funcionalidades completas de Nmap desde cualquier script en python. Se trata desde luego, de una utilidad que viene muy bien a cualquier proyecto relacionado con la seguridad informática o para el uso de un pentester profesional. 

Saludos y Happy Hack!

Artículo cortesía de Adastra (@jdaanial)

25 mar 2014

Herramientas forense para ser un buen CSI. Parte XLIX: Móviles "chinex" 2

Buenas a todos, en el post de hoy continuaremos con la cadena Herramientas forense para ser un buen CSI. Parte XLIX: Móviles "chinex", que comenzamos la pasada semana hablando de la solución de Cellebrite para analizar terminales móviles con chipsets chinos. Hoy os traigo otro interesante juguete llamado "Tarantula".

La funcionalidad principal de Tarantula es la extracción de una imagen completa de los terminales con chips de memoria chinos (no sólo una copia del sistema de archivos) y su posterior análisis automático:



Según EDEC, Tarantula es capaz de recuperar información del 97% de los terminales chinos del mercado, entre los que destacan:

  • Mediatek
  • Spreadtrum
  • Infineon
  • MStar 

Además, es capaz de recuperar el PIN de los terminales y descodificar y analizar automáticamente la imagen para recuperar información del usuario, como contraseñas, SMS, listado de contactos y registros de llamadas.

Por otro lado, permite generar informes en los formatos HTML, XML y Excel.

Parece una interesante solución para cuando toca enfrentarse a terminales atípicos adquiridos en dx.com, focalprize, y tantas otras páginas de compras chinas:




Para más información: http://edecdf.com/products?iProdId=3

Saludos!

24 mar 2014

Ley de Hacking del 23 de Diciembre de 2010: ¿Lo conoces?

El 23 de Diciembre de 2010 entró en vigor la reforma del código penal, el cual fue modificado por la Ley Orgánica 5/2010 de 22 de Junio. En esta nueva reforma legal se tipifica como delitos informáticos específicos, limitando la acción de los investigadores de seguridad informática y responsabilizando a las empresas. Por lo que las empresas serán las personas jurídicas de las acciones de sus empleados.

Esta actualización supuso una ampliación del catálogo de delitos informáticos, el cual es necesario conocer cuando se ejerce una profesión concreta, pero no es suficiente para cubrir todo el abanico de delitos que pueden surgir hoy en día en el mundo de la seguridad informática. Esta ley no modificó algunos delitos graves, como por ejemplo el de la pornografía infantil o suplantación de identidad.

Las empresas, personas jurídicas, son responsables de estafas y delitos informáticos cometidos por sus empleados. Esta afirmación es así, siempre que se demuestre que las empresas no han implantado medidas de control interno necesarias para impedir estos incidentes. Si una empresa fuera adquirida por otra, la responsabilidad se traslada a la nueva empresa resultante. Por supuesto, la empresa es responsable del delito cuando no es posible determinar quién es el autor del delito, incluso cuando el autor haya fallecido.

Las sanciones que pueden afectar a las empresas son muy distintas, pudiendo ir desde una multa pequeña hasta la propia disolución de la sociedad. Esto es independiente de la responsabilidad que tenga el empleado, persona física. En otras palabras, sancionados serán tanto la empresa como el empleado causante del delito.

La reforma solo afectaba a las empresas privadas, estando el sector público exento de dichas responsabilidades penales. El Estado y las Administraciones se les eximen de toda posible culpa en un delito informático. Los partidos políticos no pagarán por las acciones de sus empleados.

Otra de las cosas importantes que marca esta Ley del año 2010 es que la detección de vulnerabilidades informáticas se convierte en un delito. Cualquier persona que detecte vulnerabilidades en aplicaciones o sitios web sin consentimiento explícito de los interesados, en este caso el propietario de la aplicación, puede acabar con consecuencias legales. El Código Penal sanciona el uso de las nuevas tecnologías de la información para invadir o atentar contra la intimidad de las personas. En otras palabras, realizar un acceso no consentido, sin autorización, vulnerando un sistema de autenticación será sancionado, aunque no exista intención de cometer un delito. El usuario que comete este delito puede ser sancionado con una pena de prisión de entre seis meses y dos años.

Los empleados dedicados a la seguridad informática deben conocer esta Ley, y todas las consecuencias que pueden ocurrir en el incumplimiento de ella. Es recomendable que los empresarios al contratar a los empleados informen y dediquen tiempo en que los profesionales de la seguridad entiendan el ámbito en el que se encuentran y a las leyes que están sujetos sus puestos de trabajo. Se puede entender que este Código Penal sitúa en el mismo escalafón a un investigador de seguridad que a un delincuente que se aprovecha de las vulnerabilidades para obtener un beneficio.

23 mar 2014

Informe Flu - 168


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

Lunes 17 de Marzo
Martes 18 de Marzo
  • El martes publicamos el artículo Port Security, ¡no os lo perdáis!
Miércoles 19 de Marzo
Jueves 20 de Marzo
  • El jueves Pablo nos hablaba de la MasterClass que impartió en la UEM: With Our Faast!
Viernes 21 de Marzo
Sábado 22 de Marzo
Saludos!

22 mar 2014

Pantalla Pública XXXII

Buenas a todos, hoy en nuestra cadena de pantallas públicas os traemos dos fotos con sendas pantallas de sistemas de Windows que nos ha enviado nuestro amigo y compañero de trabajo Alfonso (¡un abrazo fuerte!).

La primera de ellas es de las máquinas de compra de billetes de tren de una empresa pública de transporte. Parece ser que el ordenador se estaba reiniciando en ese momento, exponiendo su sistema  operativo Windows XP (de sobra conocido ya por todo el mundo).

Ya sabéis la que hay montada con el final del periodo de mantenimiento de Windows XP por parte de Microsoft. De hecho se estima que en torno al 95% de los cajeros y sistemas de pago de todo el mundo, siguen aún con Windows XP. Por ello, supuestamente, los banco estarían dispuestos a pagar a Microsoft para que siga manteniendo el sistema operativo por algunos años más.


Cambiando de tercio, la siguiente pantalla se encontraría en la entrada de un parking madrileño, proporcionando información sobre las tasas y horarios del mismo. En este caso no tiene ningún medio de entrada (a la vista) más que la pantalla (y que no es poco :P). 


¿Y si alguien restaura el equipo?

Saludos!

21 mar 2014

La Biblia del Footprinting (XIV de XX)

Buenas a todos, en el día de ayer estuve viendo con mis alumnos de seguridad (¡un saludo a todos!), el tema de Google Hacking. Pasamos una tarde bastante amena localizando sitios curiosos y encontrando muchos archivos que exponían más de lo que seguramente quisieran sus administradores.

Durante las búsquedas de información nos centramos sobretodo en identificar posibles fugas de información de bases de datos y de sus archivos de configuración y logs.

Es curioso realizar búsquedas del tipo:
  • ext:db "select *"
para localizar bases de datos, y encontrarse miles de servidores que nos ofrecen libremente sus archivos:


Si que es verdad que muchos de estos archivos se encuentran alojados a propósito en sitios de compartición de software, etc. tipo Github, pero en muchos otros casos, se ve claramente como la base de datos ha acabado indexada en Google por la cagada de alguien...

No solo podemos intentar buscar bases de datos, sino que también podemos buscar directamente ficheros "sql", con queries que expongan las tablas y columnas de las bases de datos:
  • ext:sql "create table"


Y logs que contengan errores o mensajes de ejecución de SQL:


O archivos con extensión bak:



Además, podemos combinar estas búsquedas con algunas palabras clave como "exec", "echo", o "shutdown" para ver si el archivo sql contiene alguna instrucción más interesante :)


Aquí lo dejamos por hoy,

Saludos!


20 mar 2014

Jueves de MasterClass en la UEM: With Our Faast!

Hoy tuve el placer de dar una charla en la masterclass que Chema Alonso daba en la UEM, denominada Hacking U. El tema era la seguridad informática y como Latch y Faast han nacido con el foco de hacer que la seguridad, cada una en su ámbito de trabajo, sea alcanzable por todos. Algo que me ha gustado recalcar es como Latch tiene un foco global, y es que llega a todos los usuarios que utilizan la informática. Su mundo es proporcionar seguridad desde el mundo de todos los posibles usuarios. 

A mí me tocó hablar de Faast, explicar los peligros a los que se enfrentan hoy día las empresas y ver qué soluciones existen y qué aportamos nosotros fue algo enriquecedor, creo que para todos. Hoy día veo la evolución de la herramienta y me siento orgulloso del equipo de Faast y los logros que están haciendo día a día. El exponer el trabajo bien hecho y todas las funcionalidades novedosas y variadas que aportamos hacen que el orgullo sobre este equipo se duplique. 

La charla fue tomando una vertiente de demo cada vez más clara, ya que iba contando cosas que Faast es capaz de hacer y veía que la gente quería verla en acción, así que tal y como llevaba preparado, mostré a la "bestia", no sin antes ver la evolución de la Foca hasta convertirse en Faast. La evolución fue presentada en forma de muñecas rusas, aka matriuskas… Ví como la gente asentía en la demo, lo cual hacía indicar que muchas de las personas allí presentes entendían el concepto Faast, y es algo que también me gusta, ya que somos un servicio diferenciado con las diferentes cosas que podemos hacer, y en las que día a día seguimos trabajando, investigar e innovar es nuestro camino, y hoy me he sentido orgulloso de Faast. 

19 mar 2014

Herramientas forense para ser un buen CSI. Parte XLIX: Móviles "chinex"

Buenas a todos, los que hayáis realizado algún análisis forense en dispositivos móviles, seguro que conocéis los dispositivos de la empresa Cellebrite. Entre otros servicios, se dedican al desarrollo de hardware y software exclusivo para la extracción de información forense de dispositivos móviles.

En el siguiente post ya hablamos sobre la extracción de información de dispositivos móviles Android, y comentamos la existencia de estos interesantes productos:

Hoy me gustaría hablaros del producto Chinex. Con este nombre tan peculiar el fabricante nos propone una solución para analizar de manera automática una gran cantidad de teléfonos con chipsets chinos. Según el fabricante, el sistema nos ayudaría en la extracción lógica y física, decodificación, análisis y generación de informes de datos y contraseñas de dispositivos MTK (Mediatek) y Spreadtrum.



MTK y Spreadtrum son las compañías con mayor participación en el mercado de chipsets chinos:
  • MTK tiene un 70%
  • Spreadtrum un 20%
 Entre los datos que este sistema es capaz de extraer de manera automática se encontrarían:
  • Registros de llamadas
  • SMS
  • MMS
  • Videos
  • Datos eliminados
  • Ubicaciones de GPS
  • Imágenes y mucho másource: http://www.cellebrite.com/es/mobile-forensics/capabilities/chinese-chipset-support
Source: http://www.cellebrite.com/es/mobile-forensics/capabilities/chinese-chipset-support
Y para funcionar hace uso de cargadores de arranque propietarios, que entregarían con el producto.

Uno de los detalles que más me llamaron la atención al estudiarme la documentación del producto, es que es capaz de eludir y decodificar la contraseña de bloqueo del usuario de una gran variedad de dispositivos (con el producto UFED Physical Analyzer). Esta es una de las mayores torturas a la hora de realizar un análisis forense digital en smartphones, ya que para poder eludir el sistema de bloqueo si que es verdad que existen aplicaciones para Android, iOS, etc. pero suelen requerir tener el terminal rooteado, estar arrancado en modo desarrollo, etc. y en un pericial lo más habital es que os den el móvil apagado, o si está encendido porque han llevado cargadores a la hora de recepcionarlo, seguramente tenga pantalla de bloqueo. Si alguno tenéis experiencia con ella, será un placer si la compartís con la comunidad :)





Con el kit entregan:
  • Adaptador de teléfono
  • Cables para adaptador
  • Conectores individuales
  • Cable USB
  • Guía de usuario
    Source: http://www.cellebrite.com/es/mobile-forensics/products/standalone/ufed-chinex
En resumen, otra solución a tener en cuenta para la gente que nos dedicamos al mundo del análiasis forense digital.

Saludos!

18 mar 2014

Port Security

En una auditoría interna uno puede pensar que se puede conectar a cualquier boca de red, lo cual sería algo bastante recurrido ya que podríamos capturar tráfico que nos permitiera conocer, e incluso escalar, los recursos que componen la zona interna de la organización. Y esto es así, hasta que te topas con protecciones como port security dónde realizar esta acción puede desembocar en un problema y ser detectado fácilmente por el administrador de la red. 

¿Qué es port security? Es una característica de los switches CISCO, con la que se permite tener una lista de direcciones MAC conectadas a cada puerto del switch. De este modo solo se permite a estas direcciones comunicarse a través de esa boca. Si por lo que fuera un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca port-security deshabilita el puerto. El administrador será el encargado de atender al incidente y desbloquear el puerto. 



Configuración de port security

La verdad que es sencillo configurar esta característica, y podéis probarlo con el programa de simulación de CISCO packet tracer. La sintaxis es la siguiente:
  • switchport port-security maximum [cant MAC permitidas]. Con esta ejecución definimos el número de direcciones MAC que están permitidas que se conecten a través de la interfaz (puerto) del switch. El número máximo creo recordar son 132, es decir, 132 direcciones MAC  a través de un puerto. 
  • switchport port-security violation [shutdown restrict protect]. Con esto establecemos la acción que se tomará en el dispositivo una vez que se detecte la acción maliciosa (o posible acción). Las opciones varían desde deshabilitar el puerto, notificar al responsable o denegar el tráfico. 
  • switchport port-security mac-address [MAC address]. Permite definir la dirección MAC que se puede conectar por este puerto manualmente. 
Hasta aquí la presentación de esta capa más de seguridad que se debe recomendar en auditorías internas, siempre y cuando no se detecten estos pluses. 


17 mar 2014

WhatsApp y la espía que la parió (meterpreter > load android)

Últimamente WhatsApp es noticia por muchas cosas, como por ejemplo su compra por Facebook, pero para nosotros la noticia bomba es el tema del descifrado de su base de datos. Al ver la siguiente noticia en Twitter sobre el nuevo plugin que aportan nuevas funcionalidades al Meterpreter de Android, me puse a analizar el código ruby y entender qué cosas aportaban nuevas. La funcionalidad estrella es el volcado y descifrado de las bases de datos de WhatsApp, pero hay otras cosas que llaman la atención y comentaremos más adelante. Antes, os queremos mostrar la noticia en twitter publicada por el autor Anwar Mohamed

Obteniendo la extensión de Android y visualizando su código y su tlv se pueden entender las nuevas funcionalidades que se aportan al Meterpreter de Android. Estas nuevas funcionalidades aportan una mayor riqueza a la post-explotación. ¿Dónde se instala la extensión? En la siguiente ruta:


Analizando el código vemos las funciones que aporta el módulo o plugin una vez cargado en la sesión de Meterpreter, mediante el uso del comando load. Llaman la atención funciones como volcado de SMS, con las que el atacante puede obtener los mensajes que se encuentran en el dispositivo comprometido. De los mensajes se puede obtener tanto el contenido del mensaje, la fecha de envío o recepción, a quién fue enviado o de quién fue recibido, etc. Esta funcionalidad facilita la recuperación de esta información, realmente interesante. 


Similar a esta función se tiene el volcado de contactos, mediante el comando dump_contacts, con el que se obtiene el nombre del contacto, email y número telefónico. Otro tipo de volcado que se obtiene con esta extensión es dump_calllog, con el que se obtiene un registro de llamadas del dispositivo, consiguiendo información como duración de la llamada, número de teléfono de llamada entrante o saliente, nombre del contacto, fecha, etc. 

Antes de situarnos en las funciones de WhatsApp nos paramos a hablar de otras dos funciones interesantes, y que llamaron mi atención. Tras dar algún que otro curso de Metasploit ;) ;) uno se da cuenta que a mucha gente le sigue llamando la atención la posibilidad de apagar un dispositivo en remoto, y esto es posible en este módulo gracias a la implementación de la función device_shutdown con la que, como podéis imaginar, apagamos el dispositivo remoto. La otra función a la que me refiero es check_root, con la que se puede chequear si el dispositivo está rooteado o no, función booleana de todas, todas. 

La parte final del código del plugin contiene las funciones referentes a WhatsApp y con las que se anunciaba el módulo en Twitter. Tenemos: 
  • dump_whatsapp_enum. Enumera todos los recursos que tenemos de WhatsApp en el dispositivo, como puede ser las bases de datos cifradas, ficheros de audio, video, imágenes, etc. 
  • dump_whatsapp_enum_pp. Similar al anterior, pero solo para los perfiles. 
  • dump_whatsapp_enum_media. Similar a la enumeración anterior, pero para los archivos multimedia. 
  • dump_whatsapp_get_media. Recupera los ficheros multimedia. 
  • dump_whatsapp. Se recuperan las bases de datos y se descifran para poder visualizar el contenido. 
A continuación os pongo el código de la función dump_whatsapp_enum y dump_whatsapp. Esta es la parte dónde se generan las órdenes, y los paquetes que se envían al "servidor" de Meterpreter que corre en el dispositivo remoto. Para entender bien todo lo que ocurre en este envío de órdenes y la información que se recibe se recomienda mirar el código Packet.rb



El mundo de Metasploit sigue avanzando, y la verdad que cada vez se muestra como una de las herramientas top en el mundo de la seguridad informática, debido a todo el apoyo de la comunidad y la facilidad para entrar en el desarrollo del framework

16 mar 2014

Informe Flu - 167


Buenas a todos, como cada domingo, os dejamos con nuestros “Enlaces de la semana”: 

Lunes 10 de Marzo
Martes 11 de Marzo
  • El martes anunciamos nuestra participación en el HangoutON del pasado jueves sobre "Malware y código malicioso". Los vídeos del debate ya están publicados en la red y podéis verlos en cualquier momento desde AQUÍ
Jueves 13 de Marzo
  • El jueves anunciamos el nacimiento de nuestra empresa ZINK SECURITY. Zink security es una compañía tecnológica española especializada en ofrecer servicios de seguridad de la información y hacking ético. Entre nuestro catálogo de servicios se encuentran servicios de consultoría y auditoría de seguridad (web, sistemas, código fuente, móviles, sgsi, ens, pci, etc.), formación en seguridad, desarrollo de soluciones, hardening y eCrime. Podéis contactarnos desde el email: info@zinksecurity.com.
Viernes 14 de Marzo
Sábado 15 de Marzo
Saludos!

15 mar 2014

¡Ya puedes escuchar la canción oficial de Flu Project!

Buenas a todos, la semana pasada en nuestra intervención en el congreso RootedCON hicimos un pequeño espectáculo para dar inicio a nuestra ponencia, con juego de luces incluído mientras sonaba de fondo el tema oficial de Flu Project. Muchos nos habéis preguntado por la canción, quién la había hecho, cuando la ibamos a publicar, ... Pues bien, el autor de la canción es David Insonusvita, al que podéis seguir desde su canal oficial de Youtube. David además de un gran amigo, es el autor de las canciones del congreso X1RedMasSegura (que este año repetiremos por cierto).

David, muchas gracias por hacernos este regalo, grande :)

A continuación os dejamos con la canción oficial de Flu Project acompañada de fondo por una fotografía resumen de lo que han sido los años de vida del proyecto. ¡Disfrutadla!