GoLismero 2.0 Beta 3

Desde hace ya un tiempo, me dediqué a utilizar en mis Auditorías de Seguridad a la herramienta GoLismero y la verdad que desde el primero momento fue una experiencia única.

GoLismero

… es un Framework Open Source destinado al Pentesting. En la actualidad, está dirigido a la seguridad en aplicaciones web, pero es posible ampliarlo para otro tipos de aplicaciones o estructuras de sistemas. Tiene la capacidad de ejecutar sus propias pruebas de seguridad y utilizar una gran cantidad de herramientas de seguridad conocidas (OpenVas, Wfuzz, SQLMap, DNS recon, etc.) Una característica que la hace única a GoLismero, es la capacidad de retroalimentarse de información de cada plugin o herramienta y unificar de forma automática sus reportes.

Esta herramienta, se ejecuta en la consola de comandos, como lo dijimos anteriormente, está fundada desde sus inicio como Software Libre bajo la licencia GNU/GPLv2, es multiplataforma, debido que lo podemos ejecutar en Windows, GNU/Linux, *BSD y OSX, se encuentra programada en Python, es muy simple y rápido al momento de comenzar a usarla, existe la posibilidad de crear nuestros propios Plugins y colaborar al proyecto, unifica los reportes, etc. Con todas estas características, como no probar GoLismero y por que no colaborar al proyecto.

El equipo de GoLismero está compuesto por Daniel García ( @ggdaniel ), Mario Vilas ( @Mario_Vilas ) y Raúl Requero ( @rrequero )

#RadioHack 24/06/2014

Ya se encuentra disponible el último programa de #RadioHack con la conducción de Matias Katz ( @MatiasKatz ), Chino Ogawa ( @chinoogawa ) y Cristian Amicelli ( @camicelli ) hablando sobre Hackeo a AT&T, Conferencias de Hacking a nivel mundial, deseos y sueños, noticias del mundial y un problema matemático.

Muchas gracias por sus saludos al final del programa! Y espero estar este año en A&D Security Conference este año junto a ustedes.

Saludos!

Hardening

El proceso conocido como hardening involucra varias tareas que buscan aumentar la seguridad de un sistema. Siempre debemos realizar dicho proceso al instalar un nuevo sistema o dispositivo. Cada sistema cuenta con sus mejores prácticas y guías que detallan cómo realizarlo adecuadamente y aprovechando todas las características de seguridad disponibles. 

Por eso es importante no dejar absolutamente ningún servicio o dispositivo con sus configuraciones por defecto, esa es la razón por la que podemos encontrar varios dorks o búsquedas de Google o simplemente exponer un servicio o sistema que podríamos imitar en un entorno local.

Lo mejor que podemos hacer es leer la documentación que acompaña a todo software, entender de que se trata cada parámetro y jugar en entornos de desarrollo tantas veces como sea posible. Esto es a lo que nos lleva la experiencia y a fortificar en definitiva nuestros sistemas.

Desde este blog, siempre estoy recomendando un proyecto que vengo desarrollando desde hace un tiempo llamado WPHardening y justamente tiene la intención de hacer la diferencia a una instalación típica de un sistema WordPress e ir cubriendo diferentes puntos para disminuir la superficie de ataque.

Es por ello que recomiendo llevar al límite las configuraciones de todos sus servicio publicados a los usuarios aplicando hardening a sus servidores.

Saludos!

Buenas Prácticas Forenses: Casos prácticos en iOS y Linux

Cuanto vale la experiencia en un analizador forense? La verdad es que, todo. Pues eso es lo que nuestro amigo Lorenzo Martinez de SecurityByDefault nos deja en una conferencia en 8dot8 el año pasado.

Mientras termino de hacer todas las tareas en la casa de un Domingo en la merienda, nada como ver excelentes conferencias, como estas que les quería compartir y que no tiene ni un minuto de desperdicio, en el medio, mucho humor y muchas herramientas para aquellos que están interesados en el análisis forense.

La charla versa introduce a aquellos que quieran enfocar sus conocimientos hacia el mundo del Análisis Forense de sistemas. Precisamente cuenta qué procedimientos se deben seguir utilizando como ejemplo dos casos reales, sucedidos en sistemas Linux e iOS, en los que las cosas NO se hicieron correctamente. Se habla de herramientas, distribuciones Linux específicas para Forense, buenas prácticas para ayuda a un perito informático forense, así como de técnicas de anti-forensics.

Saludos!

Cuentra regresiva para Ekoparty 2014 #eko10

Desde hoy comienza la cuenta regresiva para la 10ma edición de la Ekoparty, el evento de Seguridad Informática más conocido de latinoamerica que se celebrará entre los días 29 al 31 de Octubre en Buenos Aires – Argentina.

Y es por ello que desde hoy dieron a conocer el CFP (Call for papers) para esta edición desde la siguiente url:

http://www.ekoparty.org/cfp.php

Este año va a ser especial debido a que celebramos la #eko10. Tendremos una nueva localización, la ekoCAMP para poder quedarte a dormir y disfrutar de actividades nocturnas, una gran fiesta de clausura y muchas más cosas especiales.

Ekoparty se ha convertido en la conferencia técnica más importante de Latinoamérica, ofreciendo los conocimientos más profundos sobre el tema. Esperamos poder volver a atraer a más de 3000 especialistas en seguridad. Si tienes algo que compartir ESTE es el congreso ideal, te arrepentirás si no asistes este año.  Durante los tres días de charlas de alto voltaje, también disfrutaréis de actividades como el famoso LOCKPICKING VILLAGE, el WIFI ATTACK LABORATORY, WARDRIVING por la ciudad, WORKSHOPS gratuitos, el CTF más importante de latinoamerica, y sin olvidar, como no, ¡las geniales fiestas! También como novedad en esta #eko10:

* ekoCAMP: ¿tres días de charlas de alto voltaje no son suficientes? sólo por esta décima edición, ¡podrás acampar en esta ekoparty! ¡Quédate toda la noche jugando al CTF!

* ekoparty reconocerá la trayectoria de los investigadores de latinoamerica, así como sus impresionantes investigaciones. ¡Permaneced atentos!  El equipo de la organización de la ekoparty invita amablemente a quién esté interesado en mostrar y compartir sus investigaciones y / o desarrollos en el campo de la Seguridad de la Información.

#RadioHack 17/06/2014

Ya se encuentra disponible el 5to programa de nuestros amigos de #RadioHack con la conducción de Matias Katz ( @MatiasKatz ), Chino Ogawa ( @chinoogawa ) y Cristian Amicelli ( @camicelli )  hablando sobre Scam para ganar plata infinita con Paypal, Google Play permite que una app instale otra app sin el permiso del usuario, Hack a Domino's Pizza, cuentas de Gmail reveladas al público.

Saludos!

El principio KISS

El principio KISS recomienda la implementación de partes sencillas, comprensibles y con errores de fácil detección y corrección, rechazando lo complicado e innecesario en el desarrollo de una solución. El origen de este acrónimo es la frase en inglés Keep It Simple, Stupid (que, traducido al español, significa: mantenlo simple, estúpido). Aunque,   implementado en el área de seguridad, y para ser menos ofensivos, bien podríamos decir Keep It Simple & Secure (mantenlo simple y seguro). La idea detrás de esto corresponde a la certeza de que las cosas simples y fáciles de entender suelen tener mucha mejor aceptación que las complejas

Eliminar todas las reglas y cadenas en iptables

Este es un script que utilizo en todos mis firewalls para poder eliminar y dejar a cero las reglas creadas anteriormente en iptables.

Si estamos en una etapa de desarrollo del firewall y remotamente les recomiendo que a este script lo dejen ejecutando en el cron, la experiencia me indica que por alguna razón mientras creamos reglas y depuramos nuestro firewall podemos llegar a bloquear algún puerto en el que estamos conectados. Pero si lo dejamos como una tarea periódica cada 30 minutos lo podemos mitigar.

Primero podemos inicializar algunas variables de la siguiente manera

CAT=`which cat 2>/dev/null | head -n 1`
GREP=`which grep 2>/dev/null | head -n 1`
CUT=`which cut 2>/dev/null | head -n 1`
IPTABLES=`which iptables 2>/dev/null | head -n 1`

Con lo cuál, vamos a tener el path completo de su binario, independientemente del sistema que tengamos.

Luego completamos el script de la siguiente manera:

TABLES=`${CAT} /proc/net/ip_tables_names`
for t in ${TABLES}
do
    ${IPTABLES} -t "${t}" -F
    ${IPTABLES} -t "${t}" -X
    ${IPTABLES} -t "${t}" -Z

    # Find all default chains in this table.
    CHAINS=`${IPTABLES} -t "${t}" -nL | ${GREP} "^Chain " | ${CUT} -d ' ' -f 2`
    for c in ${CHAINS}
    do
    ${IPTABLES} -t "${t}" -P "${c}" ACCEPT
    done
done

Simple, fácil y efectivo.

Saludos!

Metasploit para Pentester por @pablogonzalezpe

Esta es una excelente manera de comenzar la semana, viendo una conferencia de Pablo González Pérez de flu-project.com hablando sobre Metasploit y Pentesting en el evento t3chFest2013.

Una forma muy práctica de conocer Metasploit es montando escenarios virtuales de entrenamiento, realizar las etapas del pentesting y explotar algunas pruebas de concepto. Esto y muchos temas más vamos a encontrar en esta interesante conferencia.

La seguridad de la información es uno de los mercados en auge en el mundo de la Informática de hoy en día. Los gobiernos y empresas valoran sus activos por lo que deben protegerlos de accesos ilícitos mediante el uso de auditorías que establezcan un status de seguridad a nivel organizativo. El pentesting forma parte de las auditorías de seguridad y proporciona un conjunto de pruebas que valoran el estado de la seguridad de la organización en ciertas fases. Metasploit es una herramienta más utilizadas en procesos de pentesting ya que contempla distintas fases de un test de intrusión.

Saludos!

#RadioHack 10/06/2014

Si te perdiste del último programa de #RadioHack, ya se encuentra publicado para descargarlo o escuharlo directamente desde aquí, con Matias Katz ( @MatiasKatz ), Chino Ogawa ( @chinoogawa ) y Cristian Amicelli ( @camicelli ) hablando de La muerte del último Navajo nativo, la App que pasó el test de Turing, el scanner de tarjetas de crédito en iOS8 y el hack a un ATM por 2 adolescentes.

Saludos!

Google Hack: En búsqueda de sistemas Munin

Lo anticipamos por Twitter y ahora lo publicamos, nuestro nuevo Google Hack encontrado nuevamente nos llama la atención por la cantidad de resultados obtenidos.

Hoy les propongo buscar, nuevamente un sistema web que nos permite monitorizar el rendimiento de diferentes dispositivos y servicios llamado Munin

Munin es una aplicación, escrita en Perl, de monitorización red/sistema que nos muestra gráficos a través de una interfaz web, con cerca de 500 plugins disponibles. Podremos supervisar el rendimiento de servidores, redes SAN y aplicaciones.

El resultado de la cadena para buscar es la siguiente:

inurl:"/munin/network-*.html" OR inurl:"/munin/apache-*.html" OR inurl:"/munin/disk-*.html" OR inurl:"/munin/system-*.html" OR inurl:"/munin/munin-*.html" OR inurl:"/munin/problems.html"

A pesar que busqué la forma de optimizar esta cadena, realmente funciona bastante bien asi, con más de 43.000 resultados. Más de 43.000 estadísticas de uso de disco, información del sistema, actividad de las placas de red y servicios como el de Apache de forma diario, semanal, mensual y anual.

No es posible que este tipo de información se encuentre disponible en Internet con simple cadenas de búsquedas. Si somos administradores, tengamos en cuenta de crear sus correspondientes archivo robots.txt, autenticación en las páginas de informes y por sobre todas las cosas aislar las conexiones para solo sean visibles para la Intranet y no para toda la Web.

Saludos!

Traffic Shaping y Policing

Muchas veces se confunden los términos traffic shaping y policing. Aunque el objetivo de ambos métodos sea limitar un ancho de banda a un valor preestablecido, la manera de lograrlo es distinta.

El traffic shaping se basa en encolar paquetes e ir liberandolos de a poco, mientras que el policing se basa en descartar paquetes una vez que el flujo de información supere la barrera límite.

Ingeniería Social en el evento 8.8 2013

Este fin de semana encontré colgado en la web, la conferencia de nuestro amigo Claudio Caracciolo ( @holesec ) en el evento chileno de Seguridad Informática 8.8 Computer Security Conference 2013.

Why our brain is so delicious? Es el nombre de su conferencia, que desde ya, les pido a todos que no se la pierdan.


8.8 2013 - Why our brain is so delicious? from 8dot8 on Vimeo.

Existen hoy muchas charlas sobre Ingeniería Social, sobre herramientas, sobre técnicas...y de hecho quienes trabajamos en seguridad solemos pensar que ya sabemos todo al respecto.

Pero qué hace que esto sea posible realmente? Controlar la mente, las emociones y manipular a la víctima es fácil cuando la víctima esta distraída o no entiende de que hablamos... qué pasaría si nuestra víctima es una persona preparada? qué pasa si alguien quiere hacernos un ataque a nosotros? Lo lograría? En esta presentación veremos que sí, que todos somos potenciales víctimas y el éxito de nuestro atacante solo depende de su habilidad para saber que punto de nuestro cerebro tocar, que parte de la memoria emotiva llamar o bien, determinar que tema no conocemos para afectarnos directamente y controlarnos.

La magia, la psicología, la neurociencia... todo tiene que ver con un ingeniero social, pero lo más interesante es que probablemente nunca estudió nada al respecto. Cuánto conocemos realmente de esto? Cuánto podemos entender para considerar que la ingeniería social es una técnica de hacking y no una simple estafa?

Mi ponencia trata de tocar la ingeniería social desde una óptica distinta, para que los que trabajamos en seguridad de la información repensemos en los consejos que damos a nuestros clientes y/o usuarios en las campañas de concienciación.

No hablare de Phishing ni de los 4 conceptos de Kevin Mitnick, no iré a lo obvio, sino a lo profundo de nuestra mente.

Saludos!

Aplicando filtros a tcpdump

Todos los que utilizamos tcpdump en algún momento notamos como en nuestra consola de comandos comienzan a pasar todos los paquetes a su velocidad real, con lo cuál es casi imposible ver nuestro segmento, un host o alguna actividad en particular.

tcpdump es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador está conectado.

La idea de hoy es aplicar pequeños filtros pero sin dudas los más efectivo para poder visualizar eso que tanto nos interesa, como por ejemplo ver si un host se está conectando al server por un puerto determinado o un protocolo específico.

Filtros por Host

Aqui podemos especificar un host tanto para su origen como destino
$ tcpdump -i eth1 host 192.168.1.1

especificación de un origen
$ tcpdump -i eth1 src host 192.168.1.1

especificación de un destino
$ tcpdump -i eth1 dst host 192.168.1.1

Filtros por Puertos

Podemos especificar un puerto, tanto de origen como destino
$ tcpdump -i eth1 port 25

Especificación de puerto origen
$ tcpdump -i eth1 src port 25

Especificación de puerto destino
$ tcpdump -i eth1 dst port 25

#RadioHack 03/06/2014

Si te perdiste el programa de ayer, no pasa nada... Ya se encuentra disponible para seguir a #RadioHack junto a Matias Katz ( @MatiasKatz ), Chino Ogawa ( @chinoogawa ) y Cristian Amicelli ( @camicelli ) Hablando sobre seguridad en iOS 8, el misterio de TrueCrypt, el derecho al olvido y Black Hat SEO.

Saludos!

Enlace | Todos los programas de #RadioHack

Google Hack: Cuando nuestra información Privada pasa a ser Pública

Que bueno es volver al mundo de los Hack en Google, es algo de lo que no se puede salir. En estas semanas, estuve trabajando muy duro configurando una DMZ como estrategia y política de Seguridad Perimetral, incorporando varias cosas interesantes en Servidores GNU/Linux, como Bonding en placas ethernet, IDS y Firewall.

Cuando comencé a buscar nuevas formas de mantener documentado toda esta información y la estructura propia de la DMZ, lo primero que se me ocurrió es poner la información en una grilla para mantenerla más organizada, y definitivamente es una forma muy cómoda para tener un panorama rápido de todo el esquema.

Luego por un minuto me puse a pensar, que pasaría si esa documentación cayera en manos de gente con malas intenciones? Seguramente, sería un golpe muy bajo para toda la organización, ya que estamos dejando plasmado todas las conexiones, direcciones de IP públicas y privadas, segmentos de Red, nombre de Servidores, Switch, Routers, etc.

Con toda esta información en la cabeza, comencé a buscar a cuantos administradores más se les ocurrió crear grillas para organizar la información de sus DMZ, con la esperanza de no encontrar tantos archivo colgados en la web, pero definitivamente me equivoqué. Más de 12.000 archivos xls con toda la información lista para hacer OSINT.

Respecto a la búsqueda, muy simple... luego de varias mejoras, me quedé con estas tres palabras claves que reflejan bastante información.

("DMZ" | "Public IP" | "Private IP") filetype:xls

The Original Hacker Nº 6

Por estos días, Eugenia (@eugeniabahit) nos envió el mail para informarnos que ya se encuentra la 6ta edición de la revista digital The Original Hacker! Correspondiente al 30 de Mayo.

Para este número, Eugenia nos preparó:

• Bloqueos mutuos y estados de carreras
• Ingeniería de Software: Propiedades al vuelo, una forma de optimizar colecciones.
• Europio Engine Lab: Manipulación de datos con DataHandler.
• Desmitificando el concepto de Sesiones.

Además un nuevo acertijo como desafío que se puede serguir en #AcertijoTOH6

A sacar provecho de este nuevo material

Saludos!

Descarga | The Original Hacker Nº 6