Encripta y firma tu correo (II): El servidor de claves

Buenas a todos!! Hoy vengo a hablar un poco más acerca de la seguridad y el cifrado en nuestros correos electrónicos.

Ya hablamos anteriormente de los fundamentos y el proceso básico a realizar a la hora de instalar nuestro cliente Thunderbird y demás elementos necesarios para comenzar a securizar nuestras comunicaciones por correo electrónico, pasando por alguna explicación acerca del cifrado de clave pública o criptografía asimétrica.

Antes de nada, nombrar el libro El Pequeño Libro Rojo del Activista en la Red de Marta Peirano, que estoy leyendo de nuevo y no puedo dejar de recomendar, tratando de forma fácil y directa cómo cifrar nuestras comunicaciones y protegernos ante la posible lectura de las mismas.

Quiero ampliar un poco el tutorial de forma breve indicando cómo subir a un servidor público de claves o keyserver nuestra clave pública. El servidor público de claves es un repositorio que contiene una gran cantidad de claves públicas accesibles a todo aquel que las requiera, asociadas a la identidad con la que queremos comunicarnos.

La principal ventaja de esto es que los que nos quieran mandar un correo electrónico cifrado no necesitarán pedirnos nuestra clave pública directamente antes de comenzar la comunicación segura; de esta forma no queda ningún cuerpo de mensaje sin cifrar en nuestra conversación. El servidor de claves que elegiremos en esta ocasión es PGP Global Directory.

Página principal y de subida de PGP Global Directory

Subir nuestra clave pública al servidor de claves

Tendremos que seguir el link que nos permite transferir nuestra clave pública PGP. Podremos subir nuestra clave pública que hayamos exportado desde nuestro cliente Thunderbird. Para realizar esta exportación, desde Thunderbird podemos desplegar el menú Enigmail en la barra de herramientas, y acceder al "Administrador de clave"s. Haciendo clic derecho en nuestro par de claves, elegiremos la opción "Exportar claves a un fichero" y exportaremos solamente nuestra clave pública. El archivo generado será el que subamos al keyserver, pulsando por último el botón Transmitir.

Exportado nuestra clave pública desde Enigmail

Una vez enviada nuestra clave pública al servidor, nos enviarán un correo electrónico de confirmación para verificar nuestra identidad.

Correo de confirmación de PGP Global Directory

Tras confirmar nuestra identidad siguiendo el link, ya tenemos nuestra clave pública subida al servidor de claves.

Agregar, firmar y confiar en la clave pública del servidor de claves

Valga la redundancia, podemos agregar la clave pública del servidor de claves a nuestro cliente Thunderbird, firmarla y confiar en ella. 

El fundamento de esto es en realidad simple. Firmando la clave pública de un contacto con nuestra propia clave privada estamos poniendo de manifiesto que estamos completamente seguros de que esta clave es correcta y pertenece a dicho contacto. Esto establece un modelo característico del protocolo PGP, que hace que la validación de las claves públicas se delegue en los contactos en los que confías. Si confías en un contacto, darás como válidas todas las claves públicas que dicho contacto haya firmado a su vez. (Más información aquí)

Como ejemplo podemos poner nuestro mismo caso. Firmando la clave que hemos importado del servdor de claves, aseguramos que dicha clave es legítima. Asimismo, confiando en la identidad de dicho servidor, damos como válidas todas las claves que él ha firmado; en este caso, todas aquellas que contiene el servidor. 

Confiamos en el servidor, dado que, como hemos comprobado, tiene sus mecanismos para verificar que una clave se corresponde a una dirección de correo real (la verificación por correo que nosotros mismos hemos confirmado). 

Para agregar la clave pública del servidor a nuestro cliente Thunderbird, podemos descargarla desde la página principal haciendo clic en el link correspondiente y posteriormente importándola desde el "Administrador de claves" (Archivo -> Importar claves desde un fichero). 

Importar una clave desde fichero

Hecho esto, para firmar la clave que hemos importado debemos hacer clic derecho en dicha clave y seleccionando la opción "Firmar clave". Confirmaremos la firma e introduciremos la contraseña de acceso a nuestra clave privada para acabar.

Firmando la clave pública del servidor de claves

Por último, confiaremos en la clave del servidor. Desde el "Administrador de claves", haremos clic derecho en la clave del servidor y accederemos a sus propiedades. En el apartado de configuración básica, clicaremos en el botón para cambiar la opción "You rely on certifications" o "Confío en las certificaciones". Confiaremos totalmente en ella y aceptaremos el cambio.

Confiando en la clave del servidor

Con esto hemos terminado todo el proceso de asociación con un servidor de claves para poner nuestra clave pública a disposición de cualquiera que la necesite para establecer con nosotros una comunicación cifrada. En caso de profesiones en las que la privacidad de la información sea clave, como por ejemplo en el periodismo, el ofrecer al público la clave necesaria para contactar con nosotros de forma segura denota profesionalidad y disposición a proteger al interlocutor o confidente.

Un saludo y espero que os sirva para aprender!!
hartek

Conectar troyanos a través de Tor

Buenas hackers!!

En la entrada de hoy explicaré la PoC realizada por Belane. El fin principal es la conexión inversa de un backdoor de forma anonima a traves de Tor, en otras palabras, una shell reversa anonimizada. 

La PoC esta realizada en un entorno virtualizado compuesto de maquinas virtuales con el fin educativo de un proceso real.

Parte 1: 

La primera parte del video se muestra como se realiza la conexión ssh al servidor remoto donde esta alojado las imagenes de docker usando nc.

 

"Docker (Wikipedia): Docker es un proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de Virtualización a nivel de sistema operativo en Linux. Docker utiliza características de aislamiento de recursos del kernel de Linux, tales como cgroups y espacios de nombres (namespaces) para permitir que "contenedores" independientes se ejecuten dentro de una sola instancia de Linux, evitando la sobrecarga de iniciar y mantener máquinas virtuales."

Estas imagenes son como maquinas virtuales que se despliegan como contenedores. Primero se usa tor-base, que es una imagen con el servicio tor instalado. Y después donkeykong que es una imagen preparada para metasploit.

Se aprecia como lista las imagenes de docker y luego lanza la imagen con:

 docker run -it --name tor-service tor-base /bin/bash

Al ejecutarse se muestra una nueva shell de la maquina y se configura Tor.

Se ejecuta desde el shell, tor & en background para poder seguir usando esa shell. Visualiza el nombre de dominio proporcionado por Tor (hostname) y ejecuta el nc para estar a la escucha de las posibles conexiones inversas. 

Desde la maquina virtual de la victima (Windows 7) se instala Tor, socat y nc. 

Inicia Tor en background con start /b tor y ejecuta socat.exe. Socat es como una navaja suiza de conexiones, permite redirigir de un punto a otro, hacer tuberias. En este caso se usa para crear un proxy y resolver el dominio .onion. Crea una tuberia desde el puerto 5555 en localhost al 3333 en el dominio que nos da tor .onion, usando el proxy en 9050 (tor).

Y finalmente la victima ejecuta el nc para establecer la conexión con el atacante, devolviendonos una shell.

Parte2: 

 

En esta parte se utilizara un HID attack para infectar un ordenador con el backdoor conectandose a Tor, de esta forma el panel de control del atacante no esta expuesto, en este caso Metasploit.

De igual modo se usa docker para listar la imagenes disponibles en el servidor remoto, llamada donkeykong y se lanza la imagen:

docker run -it donkeykong /bin/bash

Al ejecutarse se muestra una shell y se configura Tor.

Se ejecuta desde el shell, tor & en background para poder seguir usando esa shell. Una vez realizado este procedimiento abrimos la consola de Metasploit con msfconsole y usamos el exploit/multi/handler con el payload windows/meterpreter/reverse_tcp a la escucha de conexiones.
Se abre otra terminal para generar el backdoor malicioso con msfvenom
En el escritorio de la maquina Kali Linux, tenemos el backdoor y el archivo loader.ps1 que será el usado en el HID attack.
En este caso el atacante usa la maquina Kali Linux como servidor propio donde aloja el backdoor y el loader.ps1 mediante la creación de un webserver en el directorio actual.
Ahora conectando nuestro telefono movil NetHunter a la maquina (Windows 8.1) realiza el HID attack simulando que es un teclado y ejecutando una serie de ordenes, abriendo un powershell y descargando el fichero loader.ps1 infectando a la maquina.
De este modo obtendremos una sesión meterpreter.

Una vez explicado el procedimiento de la PoC, os muestro el video demostrativo:

P.D El autor y desarrollador de esta PoC, no se hace responsable del mal uso de este tutorial. Hacerlo siempre en un entorno virtualizado con VMware, simulando este proceso real.

Un saludo, naivenom