Anonimizar herramientas Pentesting

Anonimizando con Proxychains - Tor - Privoxy

Buenos días, con este artículo me estreno en el blog, espero que guste y despeje alguna dudas. Voy a explicar lo siguiente de manera que se entienda fácilmente.

¿Que es un proxy?

Se puede decir que un proxy es un intermediario entre nosotros (USUARIO) y nuestro destino (INTERNET), para así al visitar alguna web no dejemos rastro de nosotros.

También se puede utilizar para evitar el filtrado de algunas webs o videos que están restringiendo el acceso por países.

PROXYCHAINS 
Nos permite crear cadenas de proxies, ocultando nuestra IP pública en las conexiones realizadas.

Tenemos que instalar conjuntamente TOR para hacer que pase nuestras conexiones através de la red TOR.

En la consola escribimos:
apt-get install tor

Aquí ya tengo instalado en su versión más reciente

apt-get install proxychains

Aquí ya tengo instalado en su versión más reciente

Ahora vamos a configurar Proxychains, vamos a la siguiente ruta donde está al archivo de configuración: 

/etc/proxychains.conf 

• Descomentamos la la línea "#dynamic_chain", que se nos queda así "dynamic_chain", para que use cambios de ip aleatoriamente.

• Añadimos al final de la lista "socks5 127.0.0.1 9050" 

(Aclaración: el puerto 9050 es el utilizado por tor)

Tal que nos queda así la configuración:

Ahora vamos a levantar el servicio tor y a comprobar que estamos anonimizando nuestra aplicación, en este caso usaremos el navegador iceweasel:

• /etc/init.d/ tor start (levantamos el servcio tor)
• /etc/init.d/ tor status (para comprobar que todo está bien)

proxychains iceweasel https://dnsleaktest.com

nos dice que estamos en Estados Unidos

aquí es donde estamos en realidad

Toda la cadena pasa através de la red tor y estamos anonimizando el navegador desde la consola, podemos seguir navegando a otras webs sin problema alguno, una vez cerremos el navegador dejaremos de estar anónimos.

En este ejemplo hemos usado iceweasel, pero podemos usar otras herramientas, nmap, sqlmap, ping, etc...

PRIVOXY

En la consola escribimos:

apt-get install privoxy

aceptamos con "S"

Ahora vamos a configurarlo:

nano /etc/privoxy/config

crearemos una copia del archivo por seguridad

A continuación añadiremos algunos parámetros necesarios:

• agregar la línea "listen-address 127.0.0.1:8118" (8118 es el puerto usado por privoxy).

• agregar la línea "forward-socks4a / 127.0.0.1:9050 ." (el . incluido) (9050 es el puerto usado por tor).

Para mejora del rendimiento:

• cambiar "keep-alive-timeout 300" ---> "keep-alive-timeout 600"

• cambiar "socket-timeout 300" ---> "socket-timeout 600"

Iniciamos el servicio privoxy: /etc/init.d/ privoxy start

como vemos se ha iniciado y comprobamos los servicios que tenemos levantados a la escucha y se puede observar tor, que es necesario para usarlo en consola.

ping www.google.com --proxy=127.0.0.1:8118 

hacemos ping a google saliendo a internet la petición através de privoxy en el puerto 8118.

Si queremos usar Firefox para navegar anonimamente, teclearemos en la barra de dirección "about config", nos saldrá un aviso de que tengamos cuidado con lo que vamos a cambiar, aceptamos y estramos en la configuración del navegador, localizamos donde dice "network.proxy.socks_remote_dns = TRUE" y acto seguido configuramos nuestra configuración de acceso en el navegador:

Ya podremos navegar a gusto.

No hay que olvidar que esto es meramente informativo y no con fines delictivos, aparte que como consejo también sería conveniente cambiar la mac.

Hasta la próxima y ser buenos.

Seguridad Informatica (I) - Introducción

Concepto

La seguridad informática representa la seguridad de los sistemas de una organización, el como garantizar de un modo u otro el control del acceso físico y lógico, de su integridad, y que no corra el peligro de las fugas de información por parte de atacantes desde dentro de la organización como ataques desde el exterior.

La seguridad absoluta de los sistemas de información, es complicado. ¿Por qué es tan difícil mantener la integridad de los datos, confidencialidad y disponibilidad? Bueno muchos de ustedes sabéis que la información puede ser alterada cuando circula por la red y dicha comunicación debería ser cifrada siempre (aunque el protocolo HTTP parece que no le importe) entre el cliente y servidor, y garantizar que el servicio ofrecido este siempre disponible.
Por otra parte, si un sistema es muy seguro de nada sirve si los miembros de la organización no tienen conocimientos básicos sobre seguridad para evitar ataques de ingeniería social.

La visión general de la seguridad informática, esta comprendida en la seguridad pasiva, la seguridad lógica, y las aplicaciones usadas y protocolos (SSH, VPN...). Es decir, hay que tener en cuenta la importancia tanto de la seguridad perimetral (física) de la organización; como el control de acceso a los datos, una correcta administración de los sistemas implementando contraseñas seguras, bases de datos de las firmas de los antivirus siempre actualizada y las comunicaciones siempre cifradas.


Los famosos sombreros

Existen diferentes definiciones de hacker. Por regla general, un hacker es una persona entusiasta con afán de ganar conocimiento y aplicarlo, ya sea por ejemplo buscando vulnerabilidades de software y explotarla para alcanzar una shell remota, y la posterior escalada de privilegios.
Dependiendo de la categoría asociada al hacker existen:

• Black Hat: Se asocia a aquel hacker que penetra los sistemas informáticos con el propósito de cometer actos maliciosos o retos personales. El término black hat no significa sin ética ni moralidad. Emplean las mismas técnicas que por ejemplo un pentester o auditor de seguridad informática pero con propósitos diferentes.
• White Hat: Las técnicas usadas son las mismas que los Black Hat con la diferencia que su objetivo es ayudar o mejorar los sistemas auditados en una organización, explotando vulnerabilidades ya existentes o los famosos 0days. Estos hackers publican sus investigaciones en la red, divulgando su código como por ejemplo pueden ser los exploits, para añadirlos en los módulos de Metasploit Framework. 
• Grey Hat: Sus intenciones no son del todo malas, pero dependiendo de la legislación del país entrar en un sistema de la organización "X" es ilegal, incluso avisando al propietario. Por tanto es una especie de híbrido entre los dos anteriores, ya que aunque no produzca daños a la organización, puede estar cometiendo un delito. 

Amenazas existentes

Con esta sencilla imagen se puede resumir de forma concisa una buena clasificación del malware existente:

Actualmente es muy habitual las redes zombis o botnet. Los usuarios no notan que su maquina esta infectada con el fin de realizar ataques con cada uno de las maquinas infectadas de la red zombie para hacer DDoS a un servidor en concreto.
La forma más habitual para distribuir este tipo de malware es el uso de cracks y archivos distribuidos por algún cliente p2p, como Emule o BitTorrent. Este software infectado con malware, al ejecutarse en la maquina queda totalmente comprometida e implementada en la botnet, así el atacante o el que la controla puede dirigirlo de forma remota
El uso más habitual de este tipo de redes son ataques DDoS, envio de Spam y minería de Bitcoins.

Es interesante la noticia reciente en Incibe, Malware y Filemón. A medida que avanza la historia hay distintas técnicas para atacar al usuario y así también van surgiendo nuevos métodos para poder protegerse.
La paradoja con Mortadelo y Filemon, es igual a malware disfrazado como un programa legitimo y el antivirus (AV's). Las distintas técnicas que usan los antivirus para poder desenmascarar el malware (casi) indetectable son varias como la firma digital, heurística, por comportamiento, uso de maquinas virtuales, minería de datos entre otros.
El disfraz que usa el malware (Mortadelo), para poder evadirse de los AV's (Filemon) es igual a unas determinadas técnicas de evasión:

• Desactivación del AV's
• Ocultación en procesos permitidos por el AV's
• Evadir las firmas de los antivirus
• Destrucción del registro de arranque principal 
• Mediante claves de cifrado del código malicioso
• Ofuscación de código ya sea desde el source o binario.

Los ladrones de información, les encanta la información sensible como cuentas bancarias. Si al usuario le cogen las fotos de vacaciones lo pueden subir algún servidor de internet sin su consentimiento, como las fotos recientes de las famosas.

Los ciberdelicuentes realizan estafas a los usuarios infectando la maquina mediante distintos procedimientos de ingeniería social haciendo exactamente lo que le dice el atacante. Un ejemplo sería que para descifrar el ordenador tienes que seguir estos pasos a cambio de dinero. La técnica principal es el phishing.  

(Wikipedia) "Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas."

Un ejemplo es el phising de ING. Se puede apreciar en la imagen que el parrafo segundo no tiene mucho sentido sintacticamente, por tanto si un usuario lee perfectamente este correo no "deberia" pinchar AQUI....

Al pinchar AQUI sale esta imagen:

Te pide 24 claves de 50...por tanto es muy sospechoso ya que los bancos solo te piden una de las 50 de la tabla de coordenadas para realizar las operaciones. Teniendo 24 claves es muy probable a que sea una de ellas de la tabla.
Otro ejemplo de bankia:
El texto esta bastante bien redactado en un español correcto (a falta del logo del banco...), realizando igual que en el ejemplo anterior una estafa al usuario pidiéndole sus datos personales mediante un enlace malicioso perfectamente camuflado "aparentemente".

Al pinchar en el enlace, se accede al servidor donde esta alojado la pagina falseada de bankia, donde el usuario introduce los datos personales almacenándose en una base de datos a disposición del atacante.

De esta forma tan sutil, el atacante almacena en la base de datos del servidor, información sensible sobre los usuarios que pican con el phishing.


Auditorías 

Una auditoría informática es aquella en la que un cliente nos contrata unos servicios para valorar la gestión de los sistemas informáticos, encontrar vulnerabilidades y explotarlas siempre con el permiso previo del cliente. Para ello se realizan test de intrusión redactando en un informe detallado, las vulnerabilidades obtenidas y las medidas o soluciones a adoptar por el administrador de sistemas para su futura corrección. Los test de intrusión que nos podemos encontrar son:

• Test black box: Es el mejor método, simulando un ataque real. El auditor no tiene nada de información de las estaciones de trabajo, redes o servidores. Son test más rápidos pero no se obtiene toda la información que se puede obtener en un test de intrusión donde se disponga de más información previa. Se pueden realizar desde el exterior o internamente. Una organización que no tiene salida al exterior por ejemplo usando una Intranet, un atacante malintencionado haciendose pasar por un empleado mediante ingenieria social, puede atacar la organización y dejar fuera de servicio a la misma sufriendo pérdidas tanto de la información como economicas. 
• Test white box: El auditor tiene total información acerca de la infraestructura de la corporación, tales como datos técnicos de la tecnologia usada, usuarios, contraseñas etc.. lo cual es sencillo hacer las pruebas de penetración y también le da más posibilidades para sacar más vulnerabilidades en el analisis, que en el test anterior.

Un saludo, naivenom.