30 agosto 2013

Agenda de eventos de seguridad para 2013 (o lo que queda de él)




Ya sé que estáis acostumbrados a que, cada vez que voy a asistir a un evento, suela hacer un post exclusivamente para anunciarlo, detallarlo, hablar del programa del mismo, etc,… como son varios los congresos en los que cuento con invitación este año, he preferido aunarlos en una única entrada.

Los enumero por orden cronológico:

Campus Party Europa 

Como ya indiqué en una entrada anterior, este evento será en Londres a primeros de Septiembre. Daré la charla "Análisis Forense de IOS con Herramientas Low Cost" el día 3 de septiembre a las 11AM en el escenario Archimedes, así que si estás por la Campus y quieres aprender sobre IOS con una charla que preveo bastante amena, ya sabes de un buen sitio para estar.



Navaja Negra

Este evento de seguridad, que celebrará su tercera edición este año, se llevará a cabo en la española ciudad de Albacete, del 3 al 5 de Octubre. Será un honor para mí asistir como ponente este año por primera vez, y por lo que voy viendo en una lista privada del evento, promete que será explosivo. Se contará con referentes de las Cuerpos y Fuerzas de Seguridad del Estado y tiene pinta que habrá un debate muy intenso, que estoy seguro que dará que hablar! Esperemos que dejen los grilletes en casa… Como ponentes, además estarán colegas conocidos del sector como Marc Rivero, Juan Garrido, Jose Selvi, Pepelux, Pankake, etc,… Puedes ver la lista completa en http://navajanegra.com/ponentes.aspx






FIADI 2013 

Mi buen amigo Álvaro Andrade, tuvo a bien invitarme para un evento de seguridad y derecho informático en el que está colaborando para la FIADI (Federación Iberoamericana de Asociaciones de Derecho e Informática) en Bolivia. Se celebrará en la boliviana ciudad de Santa Cruz de la Sierra, desde el 14 al 18 de Octubre. El evento promete ser enorme, en el que seremos más de 80 ponentes, de distintos países de Latinoamérica. Se contará con charlas, mesas redondas y talleres. Entre los ponentes que conozco, o de "la pandilla", irán Matías Katz, Gustavo Ogawa, Jaime Andres Restrepo, Jhon César Arango,…. por lo que preveo que nos lo pasaremos en grande una vez más! 
Por mi parte, daré al menos dos charlas "Ciberguerra: Armas y objetivos" que la dí en el evento CSI 2013 en Pereira - Colombia y "Análisis Forense en IOS con herramientas Low Cost". Como taller propondré la versión de dos jornadas de "Buenas Prácticas de Seguridad en Entornos Corporativos", que por lo que he visto en las encuestas, tuvo una gran aceptación en el CSI de Pereira.




8dot8 2013

Fue en Ekoparty 2012 donde conocí a los chilenos organizadores del evento 8.8. La edición de este año se celebra justo después del evento de Bolivia, en concreto del 21 al 25 de Octubre, por lo que viajaremos, Dragonjar y yo, directamente desde Santa Cruz de la Sierra a Santiago de Chile, para disfrutar de un evento del que he oído excelentes referencias. Tengo claro, que visto el cartel del resto de ponentes, con colegas y amigos como Claudio Caracciolo, César Cerrudo, Jaime Andrés Restrepo, mi compatriota y colega Daniel Martínez AKA Danito,... saldrá un evento genial. En este caso, la charla que daré es "Buenas Prácticas forenses: Casos prácticos en Linux e IOS" en la que explicaré como NO se debe hacer un análisis forense en base a experiencias vividas en mis propias carnes. Igual que en Bolivia, el taller que propondré a los asistentes será la versión de dos jornadas de "Buenas Prácticas de Seguridad en Entornos Corporativos".
Para mí además, será un absoluto honor y placer volver a Chile, donde podré además aprovechar para visitar a amigos y familiares.    



Aunque queden más eventos, tanto a nivel nacional (GSICK Minds o NCN) como internacional (Ekoparty), sólo he mencionado aquellos en los que tengo ya plaza confirmada, ya sea para charla, curso o ambas. De hecho, aún tengo algún que otro evento por confirmar en los que estaré encantado de participar igualmente.

Va a ser un fin de año complicado en cuanto a número de Congresos de Seguridad con cruces de charco incluidos, pero al fin y al cabo, y pese a que mis familiares, amigos y clientes me echan de menos mientras estoy de parranda, reconozco que me encanta compartir con la cantidad de amigos que he hecho a lo largo de estos años, tanto en España como en Latinoamérica, participando en eventos de seguridad, ya sea como asistente o como ponente.


Nos vemos en… bueno,… donde toque!
Leer más...

29 agosto 2013

Ha quedado demostrado, sobretodo con las últimas noticias acerca del hack de Syrian Electronic Army a MelbourneIT para comprometer los DNS de Twitter y New York Times entre otros, en que puedes gastarte millones y millones de euros/dólares en dispositivos de seguridad, políticas, certificaciones, en auditorías, en pruebas externas, internas, anti-APTs, cyber-antiguerras y cybercentros expertos de seguridad avanzada en tiempo real, además de un largo etcétera, pero con un simple phishing bien dirigido poder tener en vilo a millones de usuarios y que tu entidad consiga ser protagonista de titulares sobre cómo durante unas horas en tu web se ha visto un águila, un montón de símbolos árabes y una bandera de Siria. 

Personalmente creo que la concienciación y el sentido común son las palabras claves a tener en cuenta en el mundo de la seguridad, algo que no depende únicamente de los conocimientos técnicos si no de cómo actuamos en otros ámbitos de nuestra vida.


Tras esta introducción y opinión personal, hoy vamos a ver un servicio online que lleva poco tiempo en la red, llamado Phish5 y que he conocido gracias al twitter del gran The Grugq. Básicamente es una herramienta que te permitirá crear campañas de Phishing y poder realizar un seguimiento de su despliegue y propagación dentro de tu organización. Tranquilidad, las contraseñas introducidas por los usuarios no son enviadas a ninguna parte, lo veremos más adelante. El objetivo por encima de todo es el de medir hasta que punto, en un caso real de posible ataque dirigido mediante una campaña masiva de phishing en tu organización, los usuarios actuarían tras la recepción de un correo en el que se les solicita la introducción de credenciales de forma ilegítima.

¿Qué ganamos frente a las soluciones personalizadas que seguramente muchos ya tengáis en vuestro arsenal, coordinando Metasploit, SET, servidores dedicados y otros scripts? Básicamente, el disponer de un framework generador de diferentes posibles campañas de phishing altamente personalizable y con posibilidad de despliegue en apenas unos minutos.

Podréis consultar el FAQ y los Términos de este servicio, en el que se aclaran muchas dudas o preocupaciones que os puedan surgir acerca de privacidad y demás, pero en definitiva nos quedamos con el siguiente párrafo dentro de la sección "Victim credentials", que aclara:

"No almacenamos ningún dato enviado por las víctimas a los sitios de phishing creados en Phish5. Además, insertamos un código Javascript dentro de todas las páginas de phishing que elimina los valores introducidos en los formularios antes del envío. No es posible ver si las víctimas realmente han introducido credenciales válidas, únicamente si han enviado cualquier tipo de dato"

Es necesario registrarse con una cuenta de correo perteneciente a un dominio corporativo (no se permite GMail, Yahoo, etc), ya que son detectados como servicio de webmail, recordamos que esta aplicación es para un fin educativo. Utilizaremos nuestro dominio securitybydefault.com para que podáis ver cómo crear y ejecutar una campaña de phishing utilizando su wizard:

El primer paso es crear la campaña, con diferentes datos como nombre, descripción, tiempo de vida de la campaña, tipos de notificaciones sobre los que poder realizar seguimiento (saber si la víctima abre el correo, si hace click en el enlace al phishing y si incluso realizó un envío de información) y un e-mail sobre el que notificar los eventos generados:


En el siguiente desplegable se puede seleccionar un tipo de campaña predefinida, entre las que se encuentran:
  • Invitación a LinkedIn (versión escritorio)
  • Invitación a LinkedIn (versión móvil)
  • Notificación de envío de FedEx
  • Aviso de actualización de Microsoft Security Update
  • Página OWA versión 2003
  • Página OWA versión 2007
  • Página OWA versión 2010
  • Solicitud de amistad de Facebook



A continuación, de un modo muy cómodo, se puede incluir los datos de las víctimas sobre los que se realizará la campaña, pudiendo incluso importar datos desde un CSV. Es necesario nombre, apellidos y dirección de correo electrónico. Para este caso, nuestra víctima será una:


Seguidamente, es el turno de la definición y personalización del e-mail que recibirán las víctimas. Es posible modificar todos los campos, si bien según el tipo de plantilla seleccionada, disponemos de las notificaciones de correo reales de los proveedores sobre los que se pretende obtener las credenciales. En el caso de campañas sobre OWA, es necesario crear un correo desde 0, como si fuésemos el departamento de seguridad o sistemas de la compañía:

Para el ejemplo, lo pondremos en castellano y cambiaremos algunos de los mensajes que nos venían en la plantilla seleccionada en la herramienta, para intentar darle algo más de realismo y hacerlo más creíble:


Es el turno de crear la página web sobre la que se incluirá el formulario que recogerá los datos (que no serán enviados, sólo se captura el evento de hacer clic sobre el botón de login). Ídem que en el caso anterior, existen plantillas de campañas en las que dispondremos de las webs reales de Facebook, Linkedin, FedEx. Como ejemplo, seleccionamos la correspondiente con OWA 2007, aunque se pueden crear personalizas por completo:


También podremos personalizar la página a la que se redireccionará al usuario tras la introducción de las credenciales (en este caso dejamos el mensaje que muestra que ha sido víctima de un phishing controlado)

Seguidamente, tras terminar la personalización, podremos realizar la vista previa de estas páginas, pudiendo comprobar como las páginas (aúnque en inglés) son exactamente iguales que las originales, sin necesidad de realizar nosotros desde 0 la copia de la web:



Como último paso, es el turno de poder tener un resumen de la campaña antes de ser lanzada y poder dar los últimos retoques:


Aceptamos y comienza el espectáculo, la siguiente captura muestra el e-mail recibido por el usuario acerca de un supuesto incidente de seguridad en el que se solicita que acceda al OWA para comprobar que sus credenciales siguen siendo válidas. El enlace lleva a la página dentro de los servidores de Phish5 con el phishing del OWA diseñado por nosotros:





Tras hacer clic en el botón "Log On", recibiremos el aviso acerca de que hemos sido víctimas de un ejercicio controlado de phishing. Por otro lado, desde nuestro panel de gestión dentro de Phish5, podremos ver los eventos generados dentro de esta campaña, incluyendo quién abrió el correo, quién navegó por la web y quién hubiera enviado los datos en el formulario. En este caso, por no haber comprado ningún plan, únicamente podremos realizar la prueba sobre el usuario utilizado para generar la campaña:



Existen tres planes disponibles dentro de Phish5 según número de campañas y dominios sobre las que realizarlas:


- Plan Phish5 permite lanzar 5 campañas sobre direcciones de correo que termine en un dominio personalizado
- Plan Phish500 permite lanzar campañas ilimitadas durante 31 días sobre direcciones de correo que termine en un dominio personalizado.
- Plan Consultant, permitiría realizar campañas ilimitadas durante 31 días sobre cualquier dominio.

Yo creo que la más adecuada para un ejercicio inicial sería el primer plan, no es gratis pero no es un precio desorbitado para un proyecto que te puede dejar muy buenas conclusiones acerca del nivel de concienciación de tus usuarios sobre estos vectores de ataque.

En definitiva, una herramienta online a tener en cuenta que aún no siendo gratuita, nos permitiría con poco esfuerzo crear una campaña de phishing de manera rápida, sencilla, intuitiva y visual.


Leer más...

28 agosto 2013

HoneyDrive, LiveCD para montar honeypots















El mundo de los 'live-cd' es realmente apasionante, lejos queda aquella Knoppix que marcó un hito y que dio el pistoletazo de salida para que mucha gente montase interesantes proyectos basados en el concepto.

Hay live-cd para todos los gustos: auditoría, análisis forense, para montar entornos deliberadamente inseguros y practicar ...

En este caso vamos a hablar de HoneyDrive, un live-cd enfocado a montar honeypots. En mi humilde opinión el concepto honeypot ha sido infravalorado como herramienta de seguridad debido a que mucha gente los ha desplegado sin tener muy claro para lo que sirven. Creo que un honeypot en el perímetro solo tiene una utilidad académica o estadística, pero poco aporta a la seguridad de un entorno.

No obstante, montar honeypots a nivel interno puede ser la diferencia entre detectar un ataque 'de los graves' o no detectarlo.

HoneyDrive no solo contiene todo el software de tipo HoneyPot que puedas imaginar:
  • Kippo SSH honeypot
  • Dionaea malware honeypot,
  • Amun malware honeypot
  • Kojoney SSH honeypot
  • Glastopf web honeypot
  • Wordpot Wordpress honeypot.
  • Honeyd low-interaction honeypot
  • LaBrea sticky honeypot,
  • Tiny Honeypot
  • IIS Emulator
  • INetSim.
Además contiene herramientas para sacarle partido a todo ese software, muchas de ellas creadas por el autor del live-cd bruteforce.gr

La distribución luce tal que así:



Podéis descargar la distribución desde este enlace.
Leer más...

27 agosto 2013

Las herramientas gratuitas de seguridad de Microsoft

Hace años que Microsoft se ha puesto las pilas en seguridad. Siempre quedará gente con el amargo sabor que dejó con aquellas vulnerabilidades tan críticas que arrastraron los primeros Windows XP, los Server 2003 y todas sus variantes, pero talibanes al margen, lo cierto es que los chicos de Redmond han pasado página. 

Hoy es una compañía que se preocupa por la seguridad y que invierte en ella con eventos como la Blue Hat Hacker Conference o con programas de recompensa de fallos para su navegador.

Una gran prueba de este cambio es la publicación de decenas de herramientas gratuitas para gobernar la seguridad, aquí, una lista de muchas de ellas, unas más conocidas, otras, pequeños tesoros.

  1. EMET (Enhanced Mitigation Experience Toolkit): posiblemente una de las más avanzadas en cuanto a la protección de vulnerabilidades y exploits, tanto conocidos como desconocidos (APTs).
  2. WinDbg: el debugger de windows, demasiado importante para no mencionarlo.
  3. CAT.NET (Code Analysis Tool .NET): Herramienta de auditoría que permite detectar vulnerabilidades comunes como XSS, SQL Injection o XPath injections.
  4. Attack Surface Analyzer: aplicación que permite sacar una "foto" del estado de un sistema operativo antes y después de ejecutar (o instalar) un software, de esta forma las compara y muestra los cambios que se han realizado. Útil para el análisis de malware.
  5. BinScope Binary Analyzer: utilidad que realiza la validación de una aplicación para asegurarse que cumple con los requisitos descritos en el ciclo de seguridad de desarrollo de Microsoft.
  6. Application Verifier: analiza aplicaciones en busca de errores, también puede detectar vulnerabilidades críticas de seguridad.
  7. SDL Regexp Fuzzer : herramienta para probar expresiones regulares y detectar potenciales denegaciones de servicio.
  8. Sysinternals: conjunto de herramientas imprescindibles para cualquier administrador y analista de seguridad. Por ser de las más populares, no entraré a describir cada una de ellas.
  9. Anti-Cross Site Scripting Library: el nombre lo dice todo, librería para evitar ataques de cross site scripting.
  10. banned.h: fichero cabecera que prohíbe/evita el uso de funciones inseguras.
  11. Microsoft Baseline Security Analyzer: otra herramienta histórica y bien conocida, útil para auditar y fortificar sistemas.
  12. Microsoft Safety Scanner: herramienta para detectar malware en el sistema
  13. Microsoft Security Compliance Manager: es un gran producto para realizar análisis de cumplimiento basados en las guías de fortificación de Microsoft. Por aquí ya hemos hablado de el.
  14. Threat Modeling Tool: aplicación que ayuda a desarrolladores y personal de seguridad a detectar riesgos de seguridad en una fase temprana de desarrollo.
  15. URLScan Security Tool: utilidad para fortificar y hacer algunas funciones adicionales al servicio IIS (ojo, hasta la versión 7.0)
  16. Windows Defender Offline: herramienta para eliminar malware sin arrancar el sistema operativo original del equipo. 
  17. Windows Defender: al igual que la anterior, esta aplicación sirve para borrar malware.
  18. AppLocker: aunque no es una aplicación como tal, es una característica que permite bloquear mediante listas blancas/negras las aplicaciones a ejecutar. Complicado de administrar en grandes redes si se despliega correctamente es una opción muy interesante.
  19. Microsoft Security Assessment Tool: utilidad que ayuda a llevar a cabo un análisis de riesgos.
  20. Microsoft Malicious Software Removal Tool: otra aplicación para eliminar malware.
  21. Microsoft Security Essentials: el antivirus gratuito de la compañía, que poco a poco se va implantando en cada vez más sistemas.
  22. MiniFuzz: permite llevar a cabo análisis tipo fuzzering a formatos de ficheros. Está pensada para gente no familiarizada con la seguridad. Lo mismo ya te suena.
  23. FxCop: aplicación para el análisis de código y búsqueda de fallos, tanto de rendimiento como de seguridad (.NET)
  24. Port ReporterPort Reporter Parser: utilidades que permiten generar registros del uso de conexiones, puertos abiertos, etcétera.
  25. DNSLint, Portqry, NBLookup: antiguas herramientas de depuración y resolución de incidentes, la primera para DNS, la segunda es un simple escáner de puertos y la última permite hacer consultas NetBios.
  26. Network monitor, Message Analyzer: y es que la línea que separa las utilidades de sistema y administración con las de seguridad es muy débil. Haciendo este recopilatorio me daba cosilla no añadir el sniffer de Microsoft. También comentado anteriormente.
Corto por aquí, porque al final acabaría listando todas las herramientas de administración, debug y troubleshooting... que no son pocas.

Leer más...

25 agosto 2013

Enlaces de la SECmana - 189

Leer más...

23 agosto 2013

Hemos perdido la batalla de la privacidad

Si me hubieran dicho hace 7 u 8 años que iba a pronunciar la frase que da título a este post, probablemente me habría negado a creerlo, en ese momento pensaba que existía un notable 'poder' técnico al alcance de la gente y que los gobiernos -aun bisoños en el arte de espiar las nuevas tecnologías- tenían más que perdida la batalla del control de Internet.

Ahora lo veo todo de una forma radicalmente opuesta. Opino que, de una forma sutil y elaborada, las piezas del tablero han cambiado hasta un punto en el que ya todo está perdido.

De entrada el comportamiento de los usuarios ha sido 're-educado' de una forma en la que la gente asume y acepta que la privacidad es algo secundario, se ha conseguido que la gente piense de una forma eminentemente pragmática donde la funcionalidad vale el 90% y las migajas quedan para el resto de cuestiones como la privacidad, moralidad, etc

La segunda pata de este problema, los gobiernos, han dado toda una lección de adaptación al medio ante la que hay que quitarse el sombrero. PRISM es el ejemplo superlativo del concepto técnico, pero me llama la atención el concepto sociológico: ahora es muy fácil concentrar esfuerzos.

En un momento en el que la gente ha aceptado que la privacidad es algo totalmente secundario, cualquier gobierno puede, de una forma muy cómoda, concentrar esfuerzos en ese pequeño reducto de personas que sí se toman en serio la privacidad y arrinconarlos. Un ejemplo claro es TOR, dejándola ante la opinión pública como un reducto de gente 'extraña' y luego atacándola basándose en la linea argumental previamente definida.

La tercera pata son las corporaciones, ante este panorama donde el usuario es un dócil corderito ya totalmente domesticado que juzga con absoluta lenidad cualquier violación a su privacidad, se ha abierto la barra libre, y no me refiero a cosas como que Facebook tiene vínculos con la NSA o la CIA (qué, sinceramente, me da igual y no creo que ese sea el problema ya que Facebook deja muy a las claras cual es su juego), me refiero a cosas mucho más oscuras.

El otro día, vía el siempre genial Crg, llegué a esta web en la que demostraban como hacer seguimiento a un usuario sin hacer uso ni de javascript ni de cookies. De ahí llego a este otro artículo en el que un estudio demostró como un buen número de webs bastante importantes estaban haciendo uso de estas técnicas para monitorizar usuarios.

Igualmente en ZDNet se puede leer un artículo donde se critica la poca transparencia de Microsoft con el sistema de actualización de las CAs del que, por cierto, hablamos por aquí en el 2010

Y estos son solo dos ejemplos, pero hay muchos más

En definitiva, hemos perdido la batalla de la privacidad
Leer más...

22 agosto 2013

GoLismero: Nueva herramienta de hacking debutando en OWASP

Le prometí hace unas semanas a Yago que el primer post técnico sobre GoLismero lo tendrían en SBD. Y lo prometido es deuda.

GoLismero 2.0 ha sido presentado hoy de forma oficial en el AppSec EU de OWAP  en Hamburgo, Alemania (y desde allí os escribo este post :D).

Vayamos por partes....

Qué es GoLismero?

GoLismero 2.0 es un framework opensource para realizar auditorías de seguridad y pentesting. 

De momento se encuentra orientado principalmente a auditoría web, pero puede ser fácilmente extendido para otro tipo de escaneos.

Información del proyecto:

Qué tiene de especial GoLismero?

Las principales características se pueden resumir en:
  • Multiplataforma real. Ha sito probado en Windows, Linux, *BSD y OS X.
  • No tiene dependencias de librerías nativas. Todo el framework está escrito completamente en python.
  • Rendimiento óptimo, en comparación con otros frameworks escritos en python.
  • Realmente fácil de usar.
  • Crear nuevos plugins es extremadamente sencillo.
  • El frameworks puede recopilar y unificar resultados de otras herramientas de seguridad populares, como: sqlmap, xsser, openvas, dnsrecon, theharvester...
  • Integración con estándars: CWE, CVE y OWASP.
  • Diseñado para funcionar en modo cluster, aunque todavía no está disponibles.
El punto marcado negrita creemos que es la mayor novedad y principal atractivo para usar GoLismero. 

Además de sus propias pruebas, GoLismero ejecutará automáticamente por nosotros herramientas conocidas y populares (todavía no están todas integradas, estamos trabajando en ello) cogerá sus resultados, los unificará y realimentará las herramientas con los resultados obtenidos. Es decir: cogerá los resultados de un análisis con OpenVas y los enviará al SQLMap, XSSser, DNSrecon, etc. Y todo de forma automática, chulo, no?


Es una actualización de GoLismero 0.6.3?

GoLismero 0.6.3 (incluido en Backtrack y Kali Linux, por ejemplo) era un simple mapper con algunas funciones muy básicas de análisis.  GoLismero 2.0 ha sido reescrito desde cero y de la versión inicial solo conserva en nombre :)


Cómo usar GoLismero?

Usar GoLismero 2.0 es muy fácil: A continuación se explican uno cuantos comandos básicos para poder empezar a usar GoLismero:

Instalación

Aunque próximamente liberaremos una modificación de la Kali Linux con todo lo necesario para ejecutar GoLismero, de comento lo podéis descargar así:

Descargamos https://github.com/golismero/golismero/archive/master.zip y extraemos el contenido donde queramos. GoLismero lleva todas las dependencias necesarias integradas (a excepción del intérprete de Python) con lo que no tendremos que hacer nada más.

También puede descargar la versión más reciente usando GIT:
git clone https://github.com/golismero/golismero.git

Uso básico

Este comando lanzará GoLismero con todas las opciones por defecto y mostrará el informe por la salida estándar (habitualmente la consola):
python golismero.py <target>
También puede configurar el nombre de la auditoría:
python golismero.py <target> --audit-name <name>
GoLismero permite generar informes de diferentes formatos. El formato será reconocido automáticamente por la extensión del fichero de salida. Además, puede indicar varios archivos de salida en varios formatos diferentes a la vez:
python golismero.py <target> -o <output file name>
python golismero.py <target> -o <output file name>.html -o <output file name>.txt

Además, puede importar resultados de otras herramientas con la opción "-i". Puede usar "-i" tantas veces como resultados quiera importar. El siguiente ejemplo muestra como parsear los resultados de un escaneo de Nikto y generar un informe. Para evitar que GoLismero se realimente con los resultados de Nikto desabilitaremos todos los plugins:
python golismero.py www.example.com -i nikto_output.csv -o report.html -d all


Todos los resultados son automáticamente guardados en el fichero de base de datos. Puede evitar esto con la opción "-nd":
python golismero.py <target> -nd


Esto permite escanear el target en un momento dado y generar el informe después. Por ejemplo, para lanzar un scan sin generar el informe:
python golismero.py <target> -db database.db -no
En otro momento generamos el informe a partir de la base de datos (¡o en una máquina diferente!).
python golismero.py -db database.db -d all -o report.html 


Plugins disponibles

Para mostrar la lista de plugins disponibles:
python golismero.py --plugin-list

 También puede mostrar los detalles de un plugin específico:
python golismero.py --plugin-info <plugin name>


La lista completa de plugins está disponible online: http://golismero-project.com/doc/plugin_list/index.html.


Generación de informes

Hemos tratado de que los informe no sean los típicos reportes "juacker", sino que sean visualmente agradables y útiles. Los informes generados en HTML siguen diseño responable, gráficas y buscador javascript integrado. Además, no tienen ninguna dependencia de css o javascript, todas las librerías van incrustadas en un solo fichero para que sea fácil de enviar/mover.

Así es cómo se generan los informes en HTML para una auditoría:
python golismero.py <target> -o report.html
Resumen:



Detalles:


Cuáles son los siguiente pasos?

Las siguientes funcionalidades serán:
  • Integración con Nmap, SQLMap, Metasploit y otras herramientas.
  • Interfaz web. Sabemos que los h4xx0rs solo utilizan la consola, pero a veces el copy&paste está bien ;)
  • Exportar los resutlados a PDF.
  • Y muchas cosas más, por supuesto!


Quiénes somos?

Y ya por último, presentarnos:

GoLismero 2.0 ha podido ver la luz gracias al apoyo incondicional de Buguroo, que ha sido quien ha subvencionado el desarrollo y ha permitido que sea publicada como software open source.

Los creadores:
Leer más...

21 agosto 2013

Crónica del CSI 2013 en Pereira - Colombia - Día 2 #CSI2013




Seguimos con la crónica del segundo día del evento CSI 2013 en Pereira - Colombia. Podéis ver la crónica del primer día en este enlace

TUMI: Desde el Fingerprint hasta el informe por Walter Cuestas 




Desde muy temprano, abrió el evento el peruano Walter Cuestas, hablándonos de una herramienta, basada en una interfaz web, que permite hacer pruebas unitarias en todo el proceso de una auditoría. La herramienta se llama Tumi. Está escrita en Python, utiliza Javascript para la interfaz de menús, llama por debajo a herramientas genéricas como nmap o sqlmap. Como ventaja principal es que es totalmente opensource y permite integrar scripts hechos por uno mismo. Se puede descargar la beta desde aquí


') UNION SELECT 'Esta_Platica' AS (Nuevas Técnicas de Optimización y Ofuscación') por Roberto Salgado




Esta era una de las charlas que esperaba con mayor expectación. Me habían hablado maravillas de este mexicano afincado en Canadá, socio de la empresa Websec, junto a Pedro Joaquín y Paulino Calderón, y pude comprobar que todo era cierto al 100%.

Fue una charla eminentemente técnica en la que comparó diferentes algoritmos utilizados para hacer Blind SQL Injections, fundamentalmente Bitwise y Bisection.

Además, explicó un algoritmo que descubrió él y que llamó Bin2Pos, mostrando estadísticas y pruebas en tiempo real para adivinar cadenas con todos los métodos, siendo Bin2Pos el que menor número de peticiones enviaba (de media).

Además, mostró diferentes consultas SQL en una sola línea, que permiten acelerar el proceso de una auditoría, enviando una única petición y obteniendo el mismo resultado que al dividirla en N peticiones, así como ofuscación y evasión de WAF en base a caracteres no estándar, además de diversas "rarities"que el servidor SQL sigue entendiendo y ejecutando, pero que el WAF no lo interpreta como un ataque,…  En esta línea dio ejemplos para saltarse la protección de mod_security, GreenSQL o libinjection.

Esta charla, que Roberto dio hace dos semanas en Blackhat, fue brutal. Hasta el día de hoy, la que más me ha gustado! 


RogueAP / SSLStrip por Carlos Betancour



El colombiano, miembro de la comunidad Buggly, quiso mostrar qué tan fácil era llevar a cabo un ataque en una red wireless, mediante un Man in The Middle utilizando la herramienta SSLStrip de Moxie Marlinspike. Lamentablemente, la red wireless de la Universidad era un jungla ya de por sí, y no fue posible verlo en modo práctico. En cualquier caso, nos lo creemos totalmente!

Actualización: Carlos dijo que ya que no funcionó en ese momento, lo grabaría en un video y lo pondría a disposición de todo el mundo.

  

"Advanced Topics for rootkits in Linux" por Marcos Ricardo Schejtman



Continuamos con otra de las charlas más técnicas del día. El ponente mexicano empezó introduciendo conceptos de arquitectura y privilegios de ejecución de procesos en Linux, estructura en anillos, sistemas de ficheros virtuales, etc,…
Siguió relatando los diferentes sitios donde Linux guarda objetos de los procesos, por lo que serán rutas a tener en cuenta a la hora de construir un rootkit. Además contó el funcionamiento de diferentes componentes del sistema operativo del pingüino, scheduler, tablas de procesos, mapas de memoria, syscalls, etc…
Luego nos deleitó con diferentes maneras para esconder procesos que incluso herramientas como rkhunter ni chkrootkit pudieron detectar.
Acordamos que se pondría en contacto con Yago para validar si Unhide sería o no capaz de detectarlo. El código fuente del rootkit que programó Natas no lo liberará, atendiendo a una política de Responsible Disclosure, esperando primero a que existan formas de detección de este tipo de rootkits, o incluso publicará él mismo una contramedida.

"Pentesting en la era post-pc" por Jaime Andrés Restrepo   



Aunque esta charla se la ví hacer a Jaime en el EHCon de 2012 en Santa Cruz de la Sierra en Bolivia, reconozco que la disfruto cada vez más. En este caso, Jaime enseñó la utilidad de diferentes elementos como keyloggers hardware, micrófonos simulados en pendrives USB, herramientas que se pueden utilizar sobre software de auditoría en dispositivos móviles como teléfonos, tabletas, etc,…  Dispositivos "mini", que llevan internamente un ordenador, con APs wireless levantados que permiten conectarse en remoto, piñas wireless camufladas en libros huecos, y un sinfin de ideas muy interesantes para llevar a cabo ataques basados en ingeniería social/wireless, y otras perversidades. La charla culmina con diferentes videos, en los que Jaime muestra los resultados de diferentes ejercicios, llevados a cabo en lugares públicos, consistentes en simular redes wireless abiertas.


"Software en Tiempos de Espías" por Roberto Olaya



Mi buen amigo ecuatoriano fue el protagonista de una excelente charla sobre un tema que actualmente está en boca de todos: las estrategias de inteligencia de diferentes paises, así como los diferentes sistemas utilizados (al menos los que se conocen). Sistemas de espionaje de comunicaciones como Echelon, Enfopol, Promis, Carnivore, etc,…  Agencias que se unieron en USA como la DEA, FBI, NGA, NRO, NSA, ODNI, US. Air Force, US ARmy, para formar un sistema de comunicación común….  Nos contó igualmente los avances implementados en elementos militares, como lo que llevan en el casco, traductores online, cámaras que emiten vía satélite "lo que el soldado ve", identificación humana a distancia mediante reconocimiento facial (incluso aunque se haya hecho cirugía estética) etc,…
Habló por supuesto de Prism, así como de una página muy curiosa, Prism-Break con herramientas que te resultan más recomendables si quieres mejorar tu privacidad.


"Sé el primero en auditar tu web"  por Jhon Cesar Arango [jcaitf]



Esta charla, la única que dio Jhon César, uno de los organizadores del evento, versó sobre diversas herramientas de auditoría web: Uniscan, W3AF, Nikto, Joomscan, plecost, sqlmap, zap, etc…. 
Hizo varias demos con las mismas, de manera que permite hacer ver de una forma bastante fácil, que con un poco de formación, es posible adelantarse a los "chicos malos", a fin de poder mitigar el riesgo de un montón de vulnerabilidades. Sólo con esto no aseguraremos que la web está segura al 100% pero siempre quedará menos por securizar.

"Robo de identidad digital" por Gustavo Nicolás Ogawa



En esta charla, el compañero Gustavo Ogawa hizo un caso de búsqueda de una persona, desde el principio, encontrando la identidad digital del objetivo a través de internet. A partir de ahí hizo varias demostraciones en las que usaba Facebook como medio de ataque, engañando a la víctima para explotar una vulnerabilidad de algún software (creo que fue un JRE no actualizado) con Metasploit, accediendo a su equipo.
Leer más...

20 agosto 2013

HTTPS, SSH y OpenVPN en un mismo puerto, ¿magia?

De vez en cuando uno encuentra una de esas herramientas que resuelve un problema de una forma tan brillante que realmente dan ganas de aplaudir.

Este es el caso de sslh, una herramienta que permite cumplir el sueño de todo aquel que ha tenido que lidiar en un entorno cuya salida estaba gestionada por un proxy.

Sslh permite multiplexar un único puerto y convertirlo en varios servicios a la vez. Lo que hace es recibir la conexión en el puerto indicado, analizar que tipo de conexión es (ssl, openvpn, ssh, xmpp) y en función de ese análisis, enviar la conexión al puerto indicado.

Por simple el concepto es brillante. Muchos nos hemos encontrado en un entorno donde un proxy solo facilita el método 'CONNECT' hacia el puerto 443. Si queríamos hacer uso de varios servicios era necesario usar túneles SSH que a la postre eran bastante engorrosos.

Además, el creador de la herramienta indica un método para lidiar con proxys 'inteligentes' que no solo restringen conexiones a puertos sino que también analizan que las conexiones sean efectivamente SSL.

Para instalarlo en Linux (para windows se proveen ejecutables) hay que hacer lo siguiente:

Descargamos el paquete:

wget https://github.com/yrutschle/sslh/archive/v1.15.tar.gz

Lo descomprimimos

tar -xvzf v1.15.tar.gz

Compilamos e instalamos

make install

Una vez hecho eso, tenemos que configurar sslh para indicarle como queremos que mueva las conexiones.

lo más fácil es usar el puerto 443 de la interface de red exterior para sslh y poner los otros servicios en localhost. De esa forma solo exponemos un puerto abierto al exterior y el resto de servicios están ocultos a miradas ajenas.

Un ejemplo de uso de sslh para escuchar en el puerto 443 de la interface de red y enviar el tráfico SSH al puerto localhost 22

sslh -p 172.16.183.139:443 --ssh 127.0.0.1:22

Si queremos mover tráfico openvpn, tan solo tenemos que añadir el flag --openvpn 127.0.0.1:1194

De esa forma estaremos moviendo tráfico SSH al puerto 22 y tráfico OpenVPN al puerto 1194 pero todas las conexiones desde el exterior irán contra el puerto 443
Leer más...

19 agosto 2013

Modding 'Crypters': el arte de la evasión

En el primer post de esta serie vimos en qué consisten los 'crypters'. En el segundo post  profundizamos en su funcionamiento y en el tercer post analizamos un elemento esencial, el 'stub'. En este cuarto post vamos a comenzar a estudiar las técnicas empleadas en la localización de firmas y evasión de Antivirus, en adelante AVs.

Medellín, Colombia
19 de julio
10:03 a.m.


Luis se levantó y se sentó frente a su computadora. Se puso los auriculares, y arrancó su playlist favorita de 'reggaeton'. Chequeó su consola de 'Cybergate', un RAT (Remote Administration Tool) o 'troyano' muy popular, y comprobó el log. La cosa había ido bien, 7 nuevas víctimas, sonrió. Ni siquiera sabía cuantas víctimas tenía ya, calculaba que unas 150 aproximadamente. La última campaña de pesca, como él llamaba a sus operaciones de obtención de víctimas, había sido un éxito. Había 'bindeado' (unido, juntado) el server de su troyano con un instalador de Office 2010, pero en el nombre puso 'Office-2012-all-languages-INSTALLER.exe'. También lo 'bindeó' con un video del último éxito de Shakira y un video porno. Creó unos archivos torrent y los subió a 'The Pirate Bay', después se pasó por youtube, buscó algunos vídeos recientes sobre la instalación de Office y Shakira y posteó algunos comentarios en los que incluyó los enlaces a sus ejecutables. Un par de días después ya tenía casi sus 150 víctimas.

Luis no era un chico muy popular en las escuela, más bien lo consideraban un bicho raro y obviamente las chicas no le hacían mucho caso, la mayoría de ellas solo tenían ojos para Juan, un cachitas que apuntaba a estrella de fútbol. Le constaba que a él le gustaba María y que ella le correspondía, poniéndole ojitos y contoneándose cuando pasaba por delante suyo. Pero por lo que se comentaba en la escuela, no habían ido más allá. 


Luis buscó entre sus víctimas y localizó la computadora que andaba buscando, busco la opción de 'Remote Tools' y pulsó 'Webcam Capture', al cabo de unos segundos, la imagen apareció y allí estaba ella, María, sobre su cama escuchando música.  Apuesto a que escucha 'Juanes', pensó. Conectó el audio remoto y efectivamente, comenzó a escuchar a 'Juanes', sonrió. Ese 'cachitas' de Juan va detrás de ella todo el día, pensó, pero aquí el único que ha visto a María como a él le gustaría he sido yo, y sonrió de nuevo. A continuación, buscó en su escritorio la carpeta con los archivos utilizados en su última campaña de pesca. Localizó el server y lo subió a su web de 'scanner on-line' favorita. Al cabo de unos instantes, apareció el resultado. Maldición, espetó. El informe indicaba que su server era detectado por cinco AVs. 

La cosa se ponía 'chunga', se le había quemado más rápido de lo previsto y eso que no se lo había pasado a nadie ni lo había publicado en los foros, lo había usado de forma privada. Es lo malo de las campañas de pesca de 'arrastre', pensó, se consiguen muchas víctimas pero siempre hay algún capullo que sospecha y envía alguna muestra a alguna empres de AVs o a Virustotal y a partir de ahí, empiezan las detecciones.

- Necesito una solución urgentemente o perderé un buen montón de víctimas, comentó. Chequeó el Messenger y vio que 'DiabloNet' estaba on-line.

- Estassss??, escribió
- ke pasa brother!
- necesito ayuda urgente
- ke necesitas?
- me detectaron el crypter, barias detecciones, me dejas uno FUD?
- hermano siempre igual, pero luego me los quemas
- te prometo que solo lo usaré para reemplazar mis servers, no para enviarlo de pesca
- OK, pero me debes uno y rapidito que ultimamente te estas columpiando
- vale colega lo prometo, me pongo ahora mismo con ello

'DiabloNet' le envió el enlace a un crypter FUD por email, lo descargó, lo descomprimió con la contraseña que siempre utilizaban y FUDeo su server de 'Cybergate' con el nuevo 'crypter'. Verificó que estaba indetectado y rápidamente se puso a reemplazar el server de sus víctimas online para no perderlas. Cuando terminó, busco la carpeta 'Modding' en su escritorio y empezó a trabajar en el crypter que le había prometido a 'DiabloNet'

Preparando el Modding


Para 'modear' un 'stub' determinado lo que se suele hacer en primer lugar es aplicar el 'crypter' a un ejecutable ligero para poder comprobar de forma rápida si éste funciona a medida que se van alterando los offsets. Puede hacerse con el 'notepad' o la 'calculadora de Windows', pero es más práctico utilizar unos ejecutables especiales denominados 'anotadores de offsets' o 'bolita' (ya que muchos de estos anotadores tienen forma circular). Estos archivos simplemente muestran o anotan en un archivo de texto el nombre del propio ejecutable. Esto resulta muy útil en el proceso que a continuación se explicará, dado que permite localizar, entre muchas variantes, cuál es el ejecutable funcional.

Antes comenzar el proceso de 'modding', es necesario escanear el ejecutable cifrado o el 'stub' mediante un scanner on-line para saber cuantas detecciones tiene. Lo ideal es empezar con un 'stub original', es decir, que no haya sido 'modeado' con anterioridad. Seguramente, tendrá más detecciones que un 'stub' retocado y reciente, pero es mucho mejor modear desde cero, desde el original, ya que es un ejecutable mucho más estándar y más fácil de 'modear'. Uno retocado puede contener un montón de 'retoques' del anterior 'modder' que pueden hacerlo realmente complicado de manejar. Una vez se obtiene el informe del scanner on-line, hay que comenzar el proceso por algún AVs en particular, generalmente por uno que tengamos a mano, o con el que se tenga mucha experiencia o que consideremos relativamente sencillo. Obviamente algunos AV son muy sencillos de 'modear', sus firmas no son complejas y salen con cierta facilidad con la técnicas básicas, como 'DSPLIT/AVFUCKER', que explicaremos próximamente.

Instalación de Antivirus

Para cada AV que detecte el 'stub' habrá que aplicar el proceso de 'modding' y eso implica que tendremos que disponer de múltiples AVs en nuestro ordenador. Una cosa es segura, la mayor parte de los AV no va a permitir que haya otro AVs instalado en la máquina y por tanto nos obligará a desinstalarlos. Una opción es instalar y desinstalar cada AVs para cada proceso de 'modding' que se desee abordar, lo cual es un poco pesado ya que implica, además del tiempo de instalación y desinstalación, reiniciar el ordenador en varias ocasiones. Otra opción es utilizar, siempre que existan, las versiones 'portables' y/o versiones 'command line' de los diferentes AVs. Además de estas opciones, si disponemos de software de virtualización (y suficiente potencia en el ordenador para moverlo con soltura) podemos utilizar los 'snapshots' para tener diferentes antivirus instalados en cada 'snapshot', pero en cualquier caso tendremos que instalar y desinstalar cada AVs al menos una vez.



Por último, una opción muy interesante es utilizar un programa que nos permita gestionar copias de seguridad del registro, como por ejemplo 'Registry Workshop'. Mediante este programa podemos 'engañar' a los AV y que piensen que están ellos 'solitos'. El procedimiento es sencillo. Se instala el programa, y se hace un 'backup' del estado del registro del ordenador sin ningún AV instalado, podríamos llamarlo 'backup-sin-AV'. Se instala un AV y se hace un backup que podríamos llamar 'backup-AV-1'. A continuación, se restaura el 'backup-sin-AV'. Al instalar el siguiente AV, éste no localizará ningún AV instalado puesto que hemos restaurado un backup anterior a la instalación del AV-1. Instalado el AV-2, haremos un backup, al que llamaremos 'backup-AV-2' y así sucesivamente. La cuestión es que todos los AV estarán instalados juntos, y cada vez que queramos utilizar uno de ellos tendremos que restaurar el backup correspondiente.
necesario disponer de dichos AVs en el ordenador.

A partir de este punto tenemos todo listo para comenzar a localizar firmas mediante la técnica 'DSPLIT/AVFUCKER', que comenzaremos a explicar en el próximo post.


Artículo cortesía de Abraham Pasamar

Leer más...