sábado, 30 de abril de 2016

Paranoicos (II) - Blindando nuestro navegador

Siguiendo con la serie Paranoicos, en la que explicamos cómo podemos defendernos y cuidar nuestra privacidad y anonimato en Internet, algo más que necesario hoy en día.


Antes de empezar me gustaría hacer una breve distinción entre privacidad y anonimato, ya que a menudo se considera igual y se usa erróneamente:
  • La privacidad protege nuestras acciones. Yo puedo saber que Juan navega, pero no qué hace navegando; o que Juan chatea, pero no se con quién o sobre qué.
  • El anonimato, por contraposición, protege al que realiza una acción. Yo puedo saber que alguien ha descargado mi aplicación, pero no se quién ha sido; o que alguien planea unas vacaciones, pero no se quién.
Como podemos ver la privacidad y el anonimato van de la mano, como "paranoicos" buscamos ambas cosas, pero el término cambiará dependiendo de la posición en la que estemos.


Dicho esto, comenzamos hablando sobre nuestro navegador. El navegador es el software, programa o aplicación que interpreta y nos presenta la información que los servidores web nos ofrecen, por lo tanto es necesario que este navegador esté blindado y bien configurado para que únicamente envie y reciba la información que NOSOTROS queremos. Existen varios navegadores web conocidos, pero en este post nos centraremos en Mozilla Firefox (o sus variantes), ya que permite una configuración casi completa, además de la posibilidad de incluir complementos. Otra de las razones por las que nos centramos en Firefox es que se trata de Software Libre, con lo que podemos saber perfectamente lo que hace el navegador realmente.

Cookies

A esta altura supongo que todos sabemos lo que son las cookies, aunque sea por tener que aceptarlas cada vez que entramos en una página web para dejar de ver el incómodo banner (eso si o la aceptas o nada). Las cookies son pequeños archivos que contienen información sobre nuestra actividad y es almacenada en nuestro navegador por parte de la página web que visitamos.

Las cookies ofrecen ventajas, pero también pueden tener implicaciones en la privacidad y anonimato de nuestra navegación. A menudo las cookies que almacenamos ni siquiera son del sitio web que visitamos, sino de terceros, como pueden ser cookies almacenadas por Google Analytics, compañias publicitarias, redes sociales como Facebook o Twitter, etc.

Tener un control sobre las cookies es fundamental para preservar nuestra privacidad y anonimato y dar únicamente la información que queremos dar, sin extras. Para ello en la configuración de nuestro navegador podemos gestionarlas, eliminarlas y configurarlas.

Una buena práctica puede ser nunca aceptar cookies de terceros, además de almacenar sólo las cookies que conocemos y queremos almacenar, debido a que no es práctico hacerlo manualmente, usaremos plugins o complementos que veremos posteriormente.

Historial de navegación

Algo muy importante para preservar nuestra privacidad es mantener limpio y privado el historial de navegación. Una buena práctica es desactivarlo o bien programar borrados cada vez que se cierre el navegador.

Es conveniente para no dejar rastro en nuestro equipo (sólo nuestro equipo) usar el modo incógnito que ya viene en la mayoría de navegadores. Este modo permite navegar sin almacenar historial, cookies, caché, etc. Es estrictamente necesario usarlo siempre que estemos en ordenadores que no nos pertenecen, así evitamos dejar rastro en los mismos, por ejemplo usando el ordenador de tu instituto o trabajo, si es compartido.

Complementos

Como mencioné anteriormente, el mayor potencial de Firefox son sus complementos, que nos permiten personalizar nuestro navegador adaptándolo a nuestras necesidades. Destacamos los complementos:
  • HTTPS Everywhere: fuerza la conexión cifrada a páginas web por HTTPS, además permite bloquear el tráfico a toda conexión no cifrada.
  • NoScript: bloquea todo script encontrado en la web (JavaScript, Java, Flash...) que pueden ejecutar código remoto y vulnerar nuestra máquina, además de obtener información tal como nuestra dirección IP detrás del proxy. Muy interesante pero a la vez poco práctico, ya que la mayor parte de páginas web actualmente trabajan con este tipo de scripts, si lo tenemos funcionando algunas páginas podrían dejar de funcionar correctamente, perder algunas funcionalidades o incluso no funcionar en absoluto. Es posible usarlo e ir desactivándolo temporalmente cuando sea necesario, pero esto hace una navegación incómoda y lenta. Sacrificamos comodidad por privacidad.
  • JSLibre: bloquea código JavaScript no libre y permite el código en caso de ser libre. Al igual que NoScript, su uso en la práctica hace que la mayor parte de páginas no funcionen correctamente.
  • Self-destructing Cookies: execente complemento para gestionar nuestras cookies. Permite configurarlo de forma que elimine las cookies una vez cerrado una pestaña o el navegador. Además cuenta con un sistema de listas blancas para poder configurar qué cookies queremos que se almacenen y cuales deben ir eleminándose conforme navegamos.
  • HTML5 Video Everywhere!: fuerza a los reproductores a ser sustituidos por el reproductor nativo de Firefox siempre que sea posible. Actualmente es compatible con Youtube, Facebook, Vimeo, Dailymotion, etc.
Además es aconsejable el uso de complementos o aplicaciones de bloqueo de publicidad, ya que a menudo la publicidad es intrusiva y puede tener consecuencias negativas en nuestra privacidad y anonimato.

Esto complementos son, humilde y personalmente los que yo conozco y uso para mejorar mi privacidad y anonimato en Internet, existen muchos más y muchas alternativas a los mismos, siéntete libre de usarlos o no usarlos, y compartir los que uses para el bien de todos. 

El proyecto Tor ofrece su propia versión del navegador Firefox ya configurada y preparada para navegar anónimamente, con complementos como HTTPS Everywhere o NoScript implementados por defecto, además de la navegación a través de Tor preparada.





jueves, 28 de abril de 2016

Hacking con buscadores. Episodio III. La Venganza de las Shells


Saludos hackers!!
Os traigo una nueva entrega de la saga de hacking con buscadores.
En esta ocasión, vamos a buscar shells en PHP, tales como C99Shell y R57Shell.

Podemos buscar estas puertas traseras en sitios webs que ya han sido comprometidos por otr@s, con el fin de aprovecharnos del trabajo de otros para poder "investigar" en las máquinas objetivo.

Para ello usaremos los siguientes dorks:

  • "your ip * server ip" uname sysctl.


Entrando en alguna de ellas, podremos ver la shell, y todo lo que podemos hacer en ella para controlar el sistema.


 Y otra versión distinta de la shell R57:



Con la siguiente dork veremos más shells:
  •  "your ip * server ip" "uname -a".



Y podemos ver los siguientes tipos de shell:





Como se puede observar, son varios sitios webs que están bajo el control de una o varias personas, teniendo acceso a todo lo que hacen en su sistema. El cual anteriormente fue comprometido de alguna manera.

Son más shells las que existen, solo he mencionado de las más conocidas, pero puede haber miles de sitios webs con puertas traseras como estas, y que los propietarios de dichos sitios no tienen ni la menor idea de que su sistema, toda la información, y todo lo que ell@s hacen, está en poder de los crackers.


miércoles, 27 de abril de 2016

OSINT Parte III - La (in)seguridad del IoT

Buenas,

Esta entrada es la tercera y última para completar el capítulo de OSINT. En este post se va a comentar los buscadores de dispositivos conectados a Internet y cómo pueden ser accedidos de forma remota a través de Internet. Este auge de los dispositivos "inteligentes" es el llamado "Internet de las Cosas" (IoT), que está muy relacionado con los buscadores como Shodan o Censys.

Shodan es un buscador, pero no es un buscador como Google o Bing. Es un buscador diferente, está pensado para encontrar  dispositivos conectados a Internet. Descubre y obtiene información de unos 500 millones de dispositivos conectados a Internet cada mes. Desde cámaras de seguridad, aires acondicionados, frigoríficos, smartTV,... pasando por puertas de cocheras, sistemas VoIP, sistemas de calefacción,…





Simplemente por el hecho estar estos dispositivos conectados a Internet ya es un riesgo, pues pueden ser controlados mediante acceso remoto. Estas configuraciones erróneas pueden ser una null session, es decir, no requieren ninguna autenticación o a través de un nombre de usuario y una contraseña. Sin embargo, en la mayoría de casos dichas credenciales son la de por defecto, siendo fáciles de encontrar en el manual del fabricante.

Shodan permite realizar diferentes tipos de búsquedas en función de los inputs introducidos: IP, localización geográfica, puertos, contraseñas por defecto, protocolo,...

Probando por usuario y contraseña por defecto, se encuentran 13.121 resultados con:

Nombre de usuario: admin
Contraseña: 1234





En la parte izquierda se pueden ver los servicios y los países donde se han encontrados dispositivos, máquinas, cámara de vídeo-vigilancia sistemas de entornos industriales conectados a Internet que bien pueden ser consultados o ser controlados por acceso remoto.

En este ejemplo, en el primer puesto está el servicio HTTP y el país top es Taiwan con 1.974 dispositivos.

Si se prueba el acceso a uno de los dispositivos encontrados:



Por lo que introduciendo los credenciales por defecto que se han visto, se podría obtener acceso.

Es importante resaltar que está información es pública y conocida, sin embargo, si se considera un delito acceder a dichos servicios si para ello se requiere saltarse una medida de protección, como puede ser un panel de login.

Del mismo Shodan también permite búsquedas de cámaras de video-vigilancia desde las típicas de un aparcamiento de un centro comercial hasta las de las tiendas de alimentación. Sin embargo, la mayoría si requieren de username y password.

Por ejemplo para buscar cámaras de vídeo en España sería:

Server: SQ-WEBCAM country:es






Permitir el acceso remotamente es una ventaja para la persona encargada de su funcionamiento. Sin embargo, esta ventaja es peligrosa debido al uso de una autenticación por defecto que bien se puede sacar del manual del fabricante o son las típicas de “admin” “admin” o “admin”1234. 




Es necesario revisar estos procedimientos de autenticación para evitar un acceso no permitido, en especial cambiar las contraseñas por defecto.

Además de Shodan, también existe Censys. Censys recopila data en los servidores y sitios web diariamente, escaneando todo el espectro de direcciones IPv4 y cada vez más IPv6.




Normalmente una búsqueda muy recurrida son los servidores FTP. Es un problema conocido la existencia de servidores FTP en los que no es necesario loguearse, por lo tanto, introduciendo las keywords: FTP "anonymous access allowed" se tiene:




Haciendo clic en él incluso se puede obtener su localización geográfica:



El propio banner nos indica que se encuentra activo en este momento.

Otras búsquedas más modernas en relación al IoT son las casas domóticas, que posibilitan el acceso a los servidores de control de tal manera que se pueden controlar las luces, puerta del garaje, cortinas, cámaras, alarma,...Es realmente sencillo encontrar sus credenciales por defecto en el manual de usuario y por lo tanto, lograr su acceso si no se han cambiado.




En conclusión, hay que tener en cuenta que el acceso a los dispositivos, servidores, cámaras,...se implementa con objeto de proporcionar usabilidad a los usuarios, sin embargo, es necesario tener presente las amenazas que esto incorpora. 

No nos sirve de nada que un técnico desde su casa se conecte para controlar unos servicios si para ello, no necesita autenticación o si está es por defecto, empleando los credenciales que son fácilmente deducible. Por ejemplo, si un ciberdelincuente logra acceder a la cámara de vigilancia de una tienda y la puede girar apuntando la techo con objeto de realizar un robo físico y no sean grabados.

Hay que recordar que esta entrada sólo pretende, mediante fines educativos indicar los dispositivos que pueden ser accedidos remotamente, en muchos casos, gracias a la información pública, que se encuentra en Internet. Por lo tanto, se indica específicamente que no se debe acceder ( o intentar loguearse) contra dispositivos sin tener autorización.

Saludos.

NaxHack5

"La mejor defensa es un buen ataque"

martes, 26 de abril de 2016

DeceptionPI - Estudiando a los atacantes mediante sistemas señuelo





Buenos días hackers!!

En el anterior post sobre Introducción a los sistemas señuelo - Honeypots , vimos una pequeña introducción sobre el tema y os prometimos esta entrada, una prueba de concepto en la que aprenderemos un poquito más sobre el apasionante mundo de los sistemas señuelos (Honeypots).

Antes de empezar con la prueba de concepto, queremos explicar en que partes de la red podemos montar estos sistemas, así como las ventajas e inconvenientes que conlleva cada una.



Ubicación de los Honeypots

La ubicación de los Honeypots, es una parte fundamental y que deberemos tener en cuenta, con el fin de maximizar la efectividad y el número de ataques que recibimos. Una mala implementación, hará que los atacantes abandonen el sistema tras conseguir el acceso, o simplemente no atacarán.


Antes del Firewall (Front of Firewall): 
Al implementar nuestro Honeypot antes del firewall, evitaremos que nuestra red local (LAN) sea vulnerada, ya que el Honeypot se encontrará fuera de la zona protegida por el firewall.
Es la ubicación donde menos riesgo se suministra a la red.
Esta es la principal ventaja que nos ofrece esta ubicación, pero también tiene algunas desventajas como por ejemplo: evitamos la detección de atacantes internos (en caso de haberlos), generamos grandes volúmenes de tráfico, por la facilidad que ofrecemos para ser comprometidos.


Después del Firewall (Behind the Firewall): 
En esta ubicación, el Honeypot se ve afectado por las reglas de filtrado del firewall, lo que conlleva una configuración previa para permitir el tráfico entrante.
Esto permite la identificación de atacantes tanto externa como interna, sin embargo, ponemos en riesgo todo nuestro sistema, ya que el atacante tendrá vía libre a toda nuestra red, si logra comprometer el Honeypot.
Para minimizar este riesgo, podremos incluir un firewall extra en el Honeypot, que limite el tráfico de salida (reverse firewall).



En la DMZ (Zona Desmilitarizada): 
Personalmente, este es la ubicación que más me convence, ya que permite situar en el mismo segmento de red a nuestro Honeypot con nuestros servidores de producción, controlando el peligro ya que existe un firewall que lo aisla del resto de nuestra red.
Es la arquitectura ideal para organizaciones o empresas y permite detectar ataques tanto externos como internos, con una simple reconfiguración del firewall, ya que el Honeypot se encuentra en una zona de acceso público.


Con los conceptos claros, ahora pasamos a mostraros la prueba de concepto. Este proyecto ha sido creado por Juan Velasco y Diego Jurado, y presentado al reto de jovenes profesionales de ISACA, el cual se celebrará el día 27 en el evento de MundoHackerDay (Madrid).



DeceptionPI




Vamos a realizar un breve resumen sobre el proyecto realizado. Quien quiera, puede descargar nuestro trabajo en formato PDF en el siguiente enlace: https://lnkd.in/ddKGe5y

DeceptionPI se centra en el análisis de las tendencias de ataques y malware en sistemas señuelos para informática forense. Nace de la necesidad de obtener y analizar los diferentes tipos de amenazas informáticas mediante la emulación de vulnerabilidades, concretamente ataques Secure Shell (SSH).

Implementamos y configuramos una pequeña red de sensores, integrados en plataformas de pequeñas dimensiones (Raspberrys) y situados tanto en Madrid como Granada y mediante los cuales recogeremos y clasificaremos datos, malware y otra información de interés.



Este es el esquema de red que implementamos:



Para la configuración de nuestros sistemas en las raspberrys, utilizamos el sistema operativo "Raspbian", junto con la integración de Honeypots Cowrie, basados en la detección de ataques SSH.
Durante este proceso, tuvimos que configurar a conciencia nuestros sistemas, emulando una apariencia completamente real, para que los atacantes no detectaran que se encontraban en un Honeypot, y abandonasen sus ataques.

Una vez configurados los sistemas, estuvimos recogiendo ataques de todas partes del mundo durante una semana y decidimos crear una página web en la cual pudiésemos mostrar los resultados de forma visual.
Esta es la web: http://deceptionpi2016.tk/

Entre los ataques recibidos, podemos mostrar (entre otros) cuales son los diez países más atacantes, las combinaciones de usuarios y contraseñas más utilizadas, o incluso la geolocalización ip de los atacantes.







Pero sin duda, una de las partes más interesantes del proyecto fue el análisis de los resultados.
Pudimos recoger muestras de malware de todo tipo, las cuales fueron estudiadas para determinar el impacto y el tipo de malware recibido. 

Utilizamos listas de reputación conocidas como virustotal para saber si los hashes ya habían sido detectados anteriormente o por el contrario, se trataba de nuevas tendencias de malware.



También podemos determinar si la IP atacante pertenece a una botnet, consultando en listas de reputación de bots. 
Para esto, hemos utilizado un script implementado por @rbelane el cual nos permite determinar de una lista de IP's, cuales de ellas forman parte de una botnet.






Recomendaciones

Hemos detectado hasta 3200 ataques por día en nuestros sensores, lo cual nos muestra que todos nos encontramos expuestos, y que todos somos vulnerables si no configuramos nuestros servicios de manera correcta.
Hemos sido capaces de detectar nuevas tendencias de ataque, nuevos patrones, detecciones de malware y por eso os recomendamos:
  1. Cambiar el puerto SSH por defecto.
  2. No permitir la autenticación por defecto (root o 1234)
  3. Implementar medidas contra ataques por fuerza bruta.
  4. Uso de contraseñas más fuertes.
  5. Hacer uso de las opciones host.allow y host.deny , o configuración de reglas mediante iptables para especificar desde que dirección se va a permitir el acceso y desde cuáles no.



Espero que les haya gustado esta entrada. Esto es tan solo una mínima parte de nuestro proyecto, pero como ya he dicho anteriormente, podéis descargar nuestro trabajo, con el fin de conocer todos estos datos de manera más detallada.
Nuestro proyecto fue seleccionado, y expondremos mañana en mundohackerday
Os esperamos.


"To make a good defense, you have to know how they attack."

lunes, 25 de abril de 2016

Ingeniería Social (II) - Introducción


Buenas hackers!! En esta segunda entrada del volumen Ingeniería Social, os voy a introducir a: ¿Qué es el ingeniero social?. Según a personas que he preguntado, me dicen que no lo saben, otros me dicen que es el método de engañar a una persona para obtener información, ser ingeniero social es conseguir un beneficio economico "for free", o ser un buen actor. El objetivo primordial del ingeniero social es influenciar en la victima, diciendole  lo que la victima quiere escuchar, y esta devolviendole lo que el ingeniero social quiere saber, usando técnicas como manipulación e influencia entre otros.

Según la Wikipedia: "Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos."

Como vimos en la entrada anterior, la ingeniería social tocan muchos ámbitos de nuestra vida ya sea desde la infancia el cómo un niño tiene capacidad de manipular a sus padres para conseguir lo que quiera, a un ejecutivo para ganarse el ascenso. También psicólogos, médicos, abogados, policías, espías, ciberdelincuentes etc, usan estas técnicas para obtener información, conseguir acceso, manipulación, haciendo que el objetivo actue del modo previsto...
De la misma forma un psicólogo usa sus habilidades para conseguir manipular a su paciente, en busca de acciones positivas y éticas con la necesidad de un cambio en su forma de ser. Una persona mal intencionada puede usar las mismas técnicas para manipular la vulnerabilidad en el elemento humano, y romperla en todos los sentidos. Todas las personas tienen un bug. Un ejemplo es esta escena de Mr.Robot (Spoiler inside!!):



Según lo visto en la escena, Elliot rompe absolutamente a Bill y consigue su objetivo, en este caso "gaining access". Por tanto la ingeniería social no es una rama que digamos sea poca ética, dependiendo del objetivo y los resultados obtenidos se puede decir que es ético o no. También depende del punto de vista. Quizás haya personas que piensen que las técnicas usadas por un psicólogo o un médico no sean las más apropiadas ya que estan influyendo a una persona. O quizás la filosofía de los "hacktivistas", puede parecerles correcto obtener información y mostrarla en los medios de comunicación, de la cúpula de un partido politico por ejemplo o de una multinacional, mientras que haya personas que eso no le parezca ético ya que esta de un modo u otro obteniendo información de manera intrusiva mediante ingeniería social aprovechandose de la vulnerabilidad de una persona y "gaining access" a un sistema informático o infraestructura de la organización empresarial. 
Por tanto, el punto de vista es importante, y es subjetivo dependiendo de la legislación existente en un país en concreto y su sociedad. 

El ingeniero social que combina todas las técnicas que veremos más adelante en la fase psicológica, se puede decir que ha llegado a tal experiencia que puede conseguir lo que desee mediante la manipulación, "pretexting", elicitación, influencia, persuasion etc... Con estas habilidades y además las técnicas usadas en la fase de explotación, el ingeniero social reunirá un conjunto de habilidades y no solo sociales, para conseguir su objetivo ya sea Hacking WiFi, Metasploit, Social Engineering Toolkit, HID Attacks etc.. 
Desafortunadamente, en la actualidad la ciberdelicuencia se esta profilerando de manera exhaustiva constatando que la mayoria de los ataques de ciberdelicuentes usan técnicas de ingeniería social, por ello es importante estudiar con detenimiento esas técnicas, analizarlas y combatirlas. Un ataque podría ser el "physical impersonation" + "malicious insiders". La consecuencia derivada de lo primero, posicionamiento como un empleado o directivo más, de una organización y romper todos los esquemas de ella y hacerla trozos con el espionaje industrial. Es complejo de llevar a cabo, y un estudio minucioso y dedicado. 
En este mismo contexto, este tipo de ataques y el vender información a los competidores esta a la orden del dia. Como administrador de la seguridad de la organización ¿Qué tipo de privilegios dar a cada uno de los empleados? ¿Cómo garantizar la confidencialidad de los datos expuestos a los empleados o directivos y el grado de seguridad? ¿Es fiable o se puede confiar en él? 
Todas estas preguntas, muchas de ellas difícilmente respondibles es una cuestion importante ya que puede hacer mucho daño a la empresa en cuanto a perdidas económicas. Un "insider" experimentado y con el síndrome de "burnout", puede tanto obtener información clasificada dependiendo del grado de seguridad que tenga en la organización, como borrar su rastro y ser totalmente anónimo (lo veremos en la fase de anonimato). Por tanto, ¿qué indicios tiene la policia ante este acto delictivo? Dependiendo de lo cuidadoso que haya sido el "insider", tendrá un tanto por ciento de asegurar su anonimato y su tapadera, la mentira formulada y previamente estudiada al detalle. Obviamente para esto es aconsejable el conocimiento de herramientas de pentesting, tanto para el "insider" como para el policía o perito realizando su análisis forense. 
Por tanto, la educación en la organización empresarial sobre seguridad es importante para saber detectar posibles "insiders", o ataques desde el exterior. Según el ciclo usado por un ingeniero social con fines malintencionados, si se quiere concienciar sobre seguridad, es importante conocer la fase psicológica y OSINT, para evitar dar información a personas con "aparentes" buenas intenciones y no caer en la manipulación, elicitación, influencia y persuasión entre otros. 
Las llamadas telefónicas suelen ser un vector de ataque común donde no existe exposición física e inventandonos una buena historia, nuestra gran mentira y puesta en escena, denominado "pretexting", se puede obtener gran cantidad de información
Importante no dar contraseñas, usuarios o correos electrónicos. Hablando con personas que usan ordenadores de forma habitual y usan contraseñas para acceder a cuentas de usuarios alojados en los distintos servidores de base de datos, muchos de ellos usan contraseñas inseguras muy fáciles de predecir montandonos un diccionario en base a un objetivo para realizar un ataque por diccionario.


En este caso el ingeniero social tiene facilidades para saber cuál puede ser su contraseña como el nombre de su mascota, la fecha de nacimiento o lugar u hábitos relacionados a sus hobbies. Y por supuesto esa contraseña las usa en la mayoría de sus cuentas de usuario de las aplicaciones web usadas.
Las aplicaciones web, almacenan datos privados nuestros que pueden ser usados para un análisis de inteligencia previa recolección de información.

Para remediar ataques externos o internos, pero relacionados con la fase de explotación es necesario tener en la organización personal cualificado en sistemas e infraestructuras de redes (sysadmin), con nociones avanzadas sobre seguridad informática.

Pasemos ahora a los tipos existentes de ingenieros sociales. Como se ha mencionado la ingeniería social es una ciencia, fundamentalmente basado en la psicología. Dependiendo del fin que una persona haga del uso de ella, se le podrá considerar ética o no. Volvemos a lo mismo, todo es muy relativo y hay que considerar la sociedad en la que pertenecemos y valorar las actuaciones que cometemos usando esta ciencia. Podemos clasificar al ingeniero social en:
  • White hat: Son personas que se dedican al mundo de la seguridad informática en busca de vulnerabilidades en sistemas informáticos, realizando un tipo de auditoría según la demanda de su cliente. El uso de la ingeniería social en este ámbito es muy útil para valorar el nivel de seguridad de una empresa en cuestión, haciéndonos pasar por un ciberdelincuente he intentar "gaining access" en la organización empresarial. Un ejemplo del pentester es planear un ataque de ingeniería social contra una corporación, para conseguir acceso al cuarto de los servidores y "stealing data". Quizás sea más facil para el pentester siempre con consentimiento del cliente, usar la ingeniería social y llegar al cuarto donde se encuentran los servidores. Para ello haciendo uso de "pretexting" nos hacemos pasar por un técnico de una empresa externa y conseguimos acceso a la habitación de servidores y ver un post-it con lo siguiente: root/empresaxxx. Como ya dijimos, nuestra mentira es el aspecto más importante antes del acceso físico del pentester, la preparación psicológica ante una cámara de móvil y grabarnos actuando como un actor metiéndose de lleno en su papel, como si de un técnico informático se tratase. Además de lo anterior, la recolección de información es un proceso vital antes de la explotación física al sitio. El técnico informático tendrá que saber que empleados dependiendo del nivel de seguridad que tengan aportarán más información del lugar. Existen muchos métodos para conseguir el acceso, lo veremos más adelante en el volumen Hacking con Ingeniería Social 
  • Ciberdelincuentes: Es aquí en esta clasificación, la más importante para poder conocer en profundidad como actúan estas personas. En la clasificación anterior un White Hat especializado en la ingeniería social (a partir de ahora IS), debe realizar una ardua tarea de investigación para conocer al enemigo, en este caso al ciberdelincuente. Las empresas cada vez más, invierten en más capital para "hardering" sus sistemas e infraestructura de red. Aún así la constante evolución de técnicas hacking, hacen importante el continuo estudio para combatir de alguna manera estos ataques. Contra más conocimientos tenga el ciberdelincuente de sistemas y redes, más fácil le será penetrar en ellos haciendo un uso considerado de la IS. O al revés, un ciberdelincuente experto en la IS, no tendrá que tener tantos conocimientos de sistemas o redes para poder conseguir su objetivo. Existen ciertas desventajas con la IS, y es debido al nivel de anonimato, queda muy expuesto. Lo veremos en detalle en la fase de anonimato, los métodos y el nivel de "paranoia" y presión psicológica que puede tener ese ciberdelincuente. Como ciberdelincuentes, se engloba black hats, "malicious insiders", estafadores y ladrones en la red.
  • Espías: Las agencias de inteligencia, forman a sus espías con el objetivo de poder usar la IS para recabar información de sus fuentes. Esas fuentes de información pueden ser SIGINT, HUMINT y OSINT. Al recabar la información, esto se convierte en inteligencia mediante un análisis e interpretación.  El espia o el agente operativo, que hace uso de la IS para operaciones psicológicas o infiltrarse en una organización criminal haciéndose pasar por un miembro de ellos, usa las ramas de la IS que veremos más adelante como la manipulación, influencia o el "pretexting". 
  • Vendedores: En una organización empresarial, sus vendedores deben tener dotes de IS para poder vender un producto al cliente de otra multinacional en concreto. Haciendo uso de la elicitación e influencia, sus clientes son víctimas de estas técnicas psicológicas y así el beneficio económico de la empresa. Un ejemplo puede ser el vendedor de una empresa como Lenovo y su cliente la Fnac. 
  • Doctores y psicólogos: Los métodos usados en esta clasificación son los mismos pero con otro objetivo muy diferentes, el ayudar a los demás. Al final al cabo hacen uso de la IS como la elicitación y manipulación para hacer creer a su paciente una tendencia positiva hacía su enfermedad. Esto es un aspecto muy positivo ya que incentiva y ayuda al paciente por el camino que ellos determinan.
La defensa es siempre el mejor ataque, por ello es vital hacer uso del conocimiento de personas expertas en el campo de la ciberseguridad, y usar técnicas propias de pentesting de sistemas para realizar auditorías. Un buen pentester con dotes de IS, analizará la seguridad de la organización en busca de vulnerabilidades tanto perimetrales (física), en los sistemas informáticos (lógica), como en los empleados (parte psicológica). Por tanto, bajo mi punto de vista la formación sobre IS, en los pentester es vital, ya que un elevado porcentaje de los ataques provienen mediante el uso de la IS. Para llegar a ser un experto en la ingeniería social, es necesario estudiar e investigar mucho en este campo.
En este volumen de entradas, nos centraremos tanto ofensivamente y defensivamente orientado más al hacking. La primera fase (y la mayoría de todas ellas) psicológica es valida para todos los campos de la IS, pero las siguientes fases estarán orientadas el como actúa un ciberdelincuente y concienciarnos de los ataques y remediarlos. Por ello, todas las entradas futuras serán muy validas, con el objetivo de formar al white hat en su rama de IS, en sus fases de pentesting a empresas, enseñando de forma gratuita (el conocimiento es libre ante amenazas de esta índole) mediante entradas escritas y PoC hechas en vídeos para enseñar las técnicas hacking de anonimato, inteligencia (OSINT) y explotación como la famosa herramienta SET.

Por supuesto, el conocimiento ofrecido en las futuras entradas, servirá para mejorar vuestras destrezas en la comunicación con los demás y en analizar el lenguaje verbal y corporal con vuestros amigos y familias. Explotar los sentimientos de los demás diciendo lo que ella o él quiere escuchar para conseguir un objetivo en concreto o el cómo mejorar la autodefensa para que no te afecten ciertas actuaciones provocadas por una persona mal intencionada para conseguir manipularte o crear cierta influencia en ti, eso es básicamente la ingeniería social.
Un saludo, naivenom

domingo, 24 de abril de 2016

Guía Kevgir Parte (II)

Buenas tardes hackers, continuamos con la segunda parte y última de la PoC. En la anterior vimos de manera general los servicios disponibles en el servidor y la explotación del FTP y Tomcat.



NFS 2049
El NFS, es un servicio para poder compartir carpetas en la red. Mediante una llamada de procedimiento remoto RPC, se muestran los programas en equipos remotos con el comando rpcinfo. Si ejecutamos showmount, muestra la información de montaje en el servidor NFS. Montamos con mount el backup, previa creación de la carpeta en /tmp/nfs en la maquina victima y copiamos el .zip a nuestra maquina kali linux. 
De esta forma, mediante el servicio NFS, obtenemos un backup con información posiblemente muy útil. 


El archivo .zip se encuentra protegido con contraseña. Por tanto mediante un ataque por diccionario obtendremos dicha pass. Descomprimimos el archivo.


Usando grep, haremos una búsqueda recursiva de la password, en la carpeta html




JOOMLA 8081


Es un sistema de gestión de contenidos (CMS). Permite crear sitios dinámicos e interactivos. 
Con la consola de Metasploit, usando un auxiliar identificaremos la versión.


Haciendo uso de robots.txt, nos lista una serie de directorios de Joomla.


Hacemos nikto, para realizar un escaneo en busca de vulnerabilidades web



Como pueden observar, nikto es una potente herramienta que nos arroja información bastante útil para nuestra fase de pentesting.

Vista esta vulnerabilidad, ya podemos ir navegando en los distintos directorios! 
Pero antes de nada pasaremos un escaner para analizar las vulnerabilidades del CMS con joomscan.


Existen 19 vulnerabilidades encontradas. Explotaremos una de ellas Joomla Remote Admin Password Change Vulnerability.
Escribimos la URL que nos indica y en el campo token escribimos el siguiente carácter '. Una vez nos de la posibilidad de cambiar la contraseña, ya podremos acceder al panel de administración de Joomla. 


A partir de este momento, tenemos la posibilidad de modificar absolutamente todo del sitio web como administradores que somos. 
Desde la configuración global, podemos modificar por el ejemplo el nombre del sitio.


Configuración del sistema



En configuración del servidor, modificamos el media setting para permitir archivos PHP.


También nos arroja información de la existencia de una BBDD MySQL.


En Media Manager, creamos una carpeta para subir un script escrito en PHP, con el fin de ganar un shell



La subimos y el resultado es negativo, Possible IE XSS Attack found
Habrá que probar suerte con otro servicio, y "gaining access" con el mismo script PHP.


REDIS 6379
Redis es un motor de base de datos en memoria, basado en el almacenamiento en tablas de hashes (clave/valor) pero que opcionalmente puede ser usada como una base de datos persistente. Más información aquí

A través de Telnet, comprobamos si Redis tiene algún tipo de autenticación.



Bingo! No existe ningún tipo de seguridad.
Verificamos más información del sistema mediante el siguiente comando.




Mediante un auxiliar de Metasploit, podemos obtener más información del sistema



Usando otro auxiliar, podemos aprovechar la funcionalidad expuesta por Redis para lograr subir archivos. Quizás sea posible subir la shell escrita en PHP, anterior y así "gaining access". 

 

Mediante este método se ha podido subir la shell. A continuación lo único que habrá que hacer es interactuar con la URL y probar si nos devuelve el resultado tras la ejecución de los comandos.


El resultado es simplemente una shell de usuario en el navegador.



Jenkins 9000



Simplemente usando un auxiliar y un exploit en Metasploit, obtenemos el usuario y contraseña del login, y una sesión meterpreter. 

Ejecutamos el auxiliar


Login succesful admin:hello ;)

Ahora ejecutamos el siguiente exploit.



Con esto tendríamos una de las muchas shell conseguidas en esta PoC, con la diferencia que obtenemos en esta una sesión meterpreter. Una vez llegado a este punto podemos eejcutar una serie de opciones disponibles en meterpreter además de la shell de usuario obtenida.




Con esto, ya quedaría terminada esta pequeña guia sobre esta maquina vulnerable. No es complicada la explotación de este servidor, y sirve de práctica para nuevos iniciados en este mundo del pentesting para así seguir desarrollando vuestras habilidades como hackers.
Más adelante, se irán desarrollando más guías sobre nuevos retos que vayan surgiendo, para que sirva de ayuda para aquellos que quieran hacerla. 

Un saludo, naivenom.




Google Analytics