Information Gathering en auditorías. Parte II

Como ya vimos en la primera parte un primer paso para auditar una empresa es la recolección de información mediante los buscadores como Google, Robtex, etc.
Es decir, intentar buscar la mayor cantidad de información disponible sin necesidad de utilizar ninguna herramienta. Lo que conoce por Ingeniería Social.
El segundo paso sería la utilización de algunas herramientas para esta labor.
Intentaremos obtener información de la empresa a la que estamos auditando sin llegar a realizar un ataque. El ataque se hará a posteriori una vez tengamos toda la información necesaria.

Como desde un primer momento nosotros como auditores externos y posicionandos como un atacante sin ningún tipo de privilegios vamos a ver como se podría obtener la información de los subdominio de la empresa haciendo una búsqueda de DNS con el fin de poder encontrar alguna vulnerabilidad en alguno de sus servidores.

Una de las herramientas que se suele utilizar para esto es Know-scan, con la que podremos enumerar los subdominios.

Como muestra hemos lanzado esta aplicación contra Facebook. Y tal y como podemos ver en la imágenes se obtiene un gran número de subdominios. Que además son bastante descriptivos.

 

 

Img 1: Enumeración de Dominios.

En un entorno empresarial este método nos descubriría subdominios tan atractivos como el webmail, una extranet y algunos servidores de preproducción los cuales suelen tener bastantes vulnerabilidades por estar en constante desarrollo.

¿Está la gente realmente concienciada de lo importante que es la Seguridad Informática?

Gran parte de los ataques Hacker se hacen a empresas, y por lo general suelen ser empresas grandes y con mucho nombre. Se habla de lo importante que es tener los sistemas bien securizados por parte de los administradores. Pero, ¿Como de concienciada está a gente de lo importante que es la seguridad informática en el día a día?.
Hemos de tener siempre presente lo importante que es la seguridad en todos los aspectos. Instalar un antivirus en nuestro ordenador no es suficiente para evitar ataques.
Hoy en día tanto virus, como troyanos o como cualquier tipo de ataque son más sofisticados. Capaces de eludir a los sistemas antivirus, Firewall, etc.

Dato

Con la llegada de los dispositivos móviles de 3ªGeneración más del 50% del tráfico de internet se hace sobre éstos. La gente tiende a pensar que para los dispositivos móviles a penas existen virus o ataques que vayan a dejar a un terminal vulnerable.
Sin embargo los hacker también han cambiado sus objetivos a la hora de atacar, y ya se van viendo como existen virus y troyanos para Android e iOS.

Google y Apple constatemente lanzan actualizaciones a sus sistemas en gran parte es para parchear problemas de seguridad.

Cuando un usuario medio/avanzado decide aplicarle el Jailbreak a su dispositivo iOS o el Root a su Andorid, no se dan cuenta que están dejando las puertas abiertas a atacantes.

Ya que éstos toman ciertos permisos sobre el sistema los cuales el usuario no tiene posesión y que un Rootkit podría aprovechar.

Otro dato curioso es que en las comunicaciones 3G o GPRS se puede llegar hacer un MITM (Man in the middle).

Sin hablar de que los propios dispositivos móviles no son sólo las victimas de los hacker sino que además cada día se crean más herramientas de auditorías capaces de trabajar sobre ellos.

Casos como el de Metasploit en iOS, Wififorum, dsploit, etc, son utilizados para realizar ataques igual de efectivos que en un ordenador portátil, teniendo la ventaja de pasar desapercibido.

No sería nada raro estar en el McDonnals de turno y tener al lado un señor con su móvil auditando la red wifi que nos ofrece el establecimiento.

Suplantación de identidad de emails en iOS

Es curioso la cantidad de aplicaciones que se pueden encontrar por la AppStore, sobre todo cuando se busca algún escáner, un sniffer o algo relacionado con la seguridad. De casualidad me tope con esta aplicación (y con un montón más) capaz de hacer una suplantación de correo. O bien enviar un email desde una cuenta inexistente o anónima.

Desde esta pequeña y simple aplicación podemos enviar emails haciéndonos pasar por cualquier otra persona. Ideal para la gente que quiera hacer una broma a sus amigos y hacerse pasar por El presidente de empresa -por ejemplo.

Img 1: Formulario para hacer el Fake.

Img 2: Suplantando identidad.

Lo bueno de esto es que es totalmente funcional y que al menos los servidores de Gmail no lo detectan como Spam. Independientemente del correo que pongas desde el destinatario que lo envía o el asunto. Se lo traga todo.

En la prueba que he hecho no le han importado palabras como "cuenta", "suplantación" y "Hack". Además mirando el código fuente del mensaje vemos como se envía desde unos servidores de "Microsoft".

Img 3 : e-mail recibido en la bandeja de entrada

Al igual que esta aplicación para los emails hay cientos de ellas para los sms/mms, haciéndote pasar por otra persona. Para la geolocalización pudiendo publicar en Facebook o en twitter una ubicación falsa.

Supongo que si encontramos una de estas aplicaciones denominadas "fake" capaz de hacer fotos y suplantar la identidad y la localización, podremos saltarnos la manera de ser descubiertos por los metadatos de los archivos que son analizados por programas como FOCA.

Information Gathering en auditorías. Parte I

Cuando se hace una auditoría de seguridad en una empresa la primera fase de todas y la más importante es la recolección o recopilación  de información. Cuanta más información obtengamos de nuestro objetivo más puntos tendremos donde atacar. Y aquí es muy importante destacar que cualquier mínimo detalle puede ser una vía por la que conseguir acceso a los sistemas más críticos.

Pongamos un ejemplo, un banco nos contrata par hacer una auditoría, a través de una serie de herramientas podríamos enumerar los sistemas operativos, los puertos y encontrar posibles vulnerabilidades. En el caso de estar dentro de la misma red, podríamos obtener acceso a un sistema de un usuario sin privilegios, y sobre éste atacar a alguno de los servidores más críticos.
Si nuestro intento de intrusión se hace desde fuera de la red, no tenemos que dejarnos escapar ningún detalle ya que podría encontrar una vía por la que entrar a los sistemas, como puede ser un Backend, un panel de control, o un LDAP con información sensible.

Hace tiempo publiqué un artículo donde se mostraba información sensible del MIT. A través del LDAP con conexión Anónima pude encontrar un Listener de la ruta donde se almacenaban los perfiles de los usuarios, sabiendo así el nombre del PC, el del usuario, y la ruta física de las carpetas. Además algunos perfiles contenían archivos con más información de otros servidores.

Esto lo descubrí buscando la palabra LDAP en Robtex. Pero no es lo único que existe. También tenemos páginas como Shodan, o hasta incluso el mismo Google y Bing.

Para el caso de las auditarías internas, se suelen utilizar herramientas que automaticen nuestro trabajo, como pueden ser SSS (Shadow Security Scanner), Acunetix, Vega o w3af. Con ellas se puede sacar gran información de las máquinas. Algunas de estas herramientas permiten, una vez localizada la vulnerabilidad, explorarla, mediante algún tipo de ataque como pueden ser un exploit, fuerza bruta. etc.

The pirate bay - El documental

Img 1: Portada del Documental TPB-AFK

El otro día disfruté de algo de tiempo y aproveché para ver un par de documentales. El documental de Anonymous y el Documental de The Pirate Bay.
Y he de decir, que tras ver el documental de TPB, tuve que quitar el de Anonymous al poco tiempo porque me pareció un poco "lento" después de ver lo entretenido que estuvo el anterior.

El documental del The Pirate Bay  - Away From Keyboard me recordó bastante a a película de The facebook.

Por su similitud en cuanto a juicios y en cuanto a como ambos están relacionados con Hackear máquinas.

Aunque TPB está más relacionado con la industria del copyright...

El documental, digno de ver,  tiene su propia web para adquirirlo por 20$. Y como no cabía esperar de otra manera también se puede descargar por torrent desde la página TPB.

Si hay algo que me ha fascinado bastante de la historia que sucede es el hecho de ver como tres personas son capaces de en un principio controlar y gestionar unos cuantos servidores de manera casera, pero administrándolos como profesionales, para terminar teniendo una web que gestiona el 50% del tráfico torrent de todo Internet. Una media de 20 millones de conexiones activas al día.

The db_autopwn command is DEPRECATED

Metasploit ha decidido dejar como "obsoleto" su autopwn.Aun que para ser más concretos no está obsoleto, simplemente han dejado de implementarlo en Metasploit.
Los explicaciones que dan para haber tomado la decisión de no volver a incluirlo son sencillas:
Autopwn es una herramienta que se encarga de buscar y encontrar vulnerabilidades, una  vez que encuentra dichas vulnerabilidades se encarga de lanzar todos los exploits que podría explotarlas. Así hasta que se logra vulnerar la máquina con algún exploit.
Al lanzar todos los exploit disponibles sin tener un control sobre los mismo, esto producía que se hicieran DDos  tanto en la máquina objetivo como en la local.
Es por esa razón que autopown ya no está para las versiones más recientes.

Si que es cierto que autopown se puede descargar, o conseguir en distribuciones más antiguas y hacerlo funcionar para ganar tiempo en nuestro ataque.

Img 1: Logotipo de Metasploit Framework.

Aunque esta herramienta automatizada ha dejado de funcionar aún son muchos descuidos los que los desarrolladores, administradores, etc, los que cometen el error de no haber actualizado sus aplicaciones/servidores y máquinas. Por lo tanto, podemos utilizar una distro (por ejemplo) de Backtrack antigua, -sin actualizar los repositorios- y volver a realizar un buen pentesting.

Decir que para algunas personas el utilizar autopown es sinónimo de desconocimiento sobre lo que se hace, y en ocasiones se pone en duda si los que lo utilizan son realmente personas con conocimientos de que es lo que se hace, es decir, que un sector de hacker considera que utilizar esta técnica es de Lammers.

El arte de la Intrusión - Kevin Mitnick

Este es un gran libro de Hacker, y digo de hacker y no para hacker. Todos conocemos ya a Kevin Mitnick, gran hacker, y pionero entre otros de la época en la que empezó el mundo Hcker en la informática.

El arte de la intrusión fue su primer libro, en el que cuenta las historias reales de algunos de los hacker que ha llegado a conocer Kevin a lo largo de su vida, ya vien a sido en conferencias, en prisión, o simplemente en un IRC. No lo sabemos.

La historias son todas reales y dignas de admirar. Como el que ve una película de ciencia ficción, se puede encontrar con muchas peculiaridades.

Desde robos a casinos al más puro estilo 21 Blackjack a Hacker capaces de desmontar toda una empresa de seguridad.

El propio Kevin Mitnick se encargó de hacerles una entrevista personal a cada uno de sus amigos, y todos los relatos que se cuentan el el libro son tal y como han sido en realidad.

Img 1: Portado del Libro

En alguno de ellos el autor de los hechos ha querido permanecer en el anonimato, pero en la gran mayoría se conoce el nombre del autor.

Kevin deja claro que en dichos relatos él los ha expuesto tal y como se los han contado, y que si hay algo que pueda ser exagerado o incluso increíble, es porque el protagonista así lo ha decidido.

Sin duda alguna es un libro que engancha, ya que está contado con todo tipo de detalles sobre como da Hacker logró realizar sus hazañas.

Poco hay que decir si esperamos encontrar algún secreto más de Kevin. Creo que es una de las pocas personas (y además hacker) que tienen una película basada en él.

La Biblia Hacker y CEH

Desde hace pocos días me he propuesto sacarme la Certificación de Hacker Ético por libre. Mi intención era buscar los libros de Eccouncil y descargarlos ya que buscando por Google ya los encontré hace algunos años.

Me puse a Googlear y de nuevo encontré los libros oficiales de CEH, sin embargo me siguen pareciendo igual de "aburridos" que hace un par de años. Los materiales y manuales son unos CDs que se dividen en temarios, pero estos no suelen tener los típicos contenidos en PDF, si no que es posible que encuentres algunas instrucciones y unas practicas en algunos, y en otros, sí, los PDF de documentación. Es decir, que vamos a tener más un material de práctica que algo completamente teórico.

Como en mi caso no de los principales factores de importancia es el tiempo, -porque no dispongo de tiempo para poder hacer las prácticas de laboratorio.- he decidido, lo primero ver los test, para ver el tipo de nivel del examen, y a partir de ahí ir formándome en las materials que esté más débil.

Img 1: Logotipo de CEH

Haciendo el primer test, intenté buscar información sobre algunos conceptos en concreto. Pero lo que encontré todo estaba en Inglés, y creo que con hacer el examen en inglés ya es suficiente .-mi inglés no es precisamente fluido-.

Pero de repente me acordé de La Biblia Hacker, la cual me la había comprado desde hacia un año y no había terminado de leérmela entera. Pensé que quizás ahí pudiera encontrar lo que estaba buscando, y así fue.

Img 2: Portada del libro La Biblia Hacker

He retomado el contacto con La Biblia Hacker, en ella viene buena parte del contenido del examen del CEH con la característica de que está en castellano.

Si algo me gusta bastante de ese libro es que explican las cosas de tal manera que hace que lo comprendas con la primera lectura.

Libro Metasploit

Ya tengo en mis manos el libro de Metasploit para Pentester. De Pablo González, con la colaboración de Chema Alonso. Todavía no he podido ni si quiera echarle un vistazo, pero en el momento que leí que el autor era uno de los editores de Flu-Project, - que yo en aquel momento desconocía el blog- decidí a meterme y ver de que iba la web.

Img 1: Portada del libro Metasploit para Pentester.

Acto seguido pasé a querer comprarme el Libro, no solo por los artículos del Blog, si no porque también miré el índice del Libro y me parecía un Libro muy técnico pero muy necesario.

En sbd Alejandro Ramos hace un crítica buena sobre el libro, y eso ya es garantía de que es un buen libro.

Como yo aún no he podido empezar a leerlo, en el momento que lo haga os iré contando.

De momento nos quedamos aquí :)

Subgraph Vega: Escaner de vulnerabilidades web. Primera impresión.

He instalado Backtrack y me he puesto a explorar de nuevo las aplicaciones, ya que desde que he decidido volver a los mundos de la seguridad lo he hecho con la distro de Backbox. Además como ahora se habla mucho de Kali Linux, no está demás hacer un repaso por lo que es hoy en día Backtrack, ya que por lo visto va a cambiar de manera radical.

El caso es que haciendo un repaso de las aplicaciones para buscar vulnerabildiad me he encontrado con Vega. Un escaner de vulnerabilidades web con interface gráfica, y que me ha dado muy buena impresión.

Su aspecto está muy cuidado, es estable y por otra parte es potente. Al estilo de w3af no solo hace un escaneo muy completo si no que además también te muestra el fallo de seguridad, mostrándote una breve descripción, y el enlace al scritp que puede llegar a explotarlo.

Img.1: Resultados de un escaneo con Vega.

Algo que realmente viene bien para hacer un pentesting.Otra cosa que me ha gustado es la fácil configuración del proxy. Que además si nos lo curramos podemos combinar el SOCKS de Vega con el de TOR.

Destacar que es una herramienta Opensource.

De momento esto ha sido la primera impresión, pero podría decir que puede ser una muy buena alternativa a w3af.

SQL Injections for Dummies and Lammers

Haciendo referencia a el libro Hacking con Buscadores y a estos apuntes de HackxCrack, vamos a basarnos en los buscadores para realizar ataques de SQL injections en 2 pasos:

1. Buscar
2. Explotar

Algunos trucos para hacer búsquedas enfocadas a ataques de inyección en SQL son buscar páginas de Login en .ASP como por ejemplo:

inurl:admin.asp

inurl:login/admin.asp

inurl:admin/login.asp

Si probamos a hacer una búsqueda, Google nos devuelve miles de resultados, de los cuales la gran mayoría son vulnerables.

Img.1: Login de acceso a la administración de la web.

Luego con tal de probar una de las siguientes sentencias en el campo usuario y contraseña tendremos acceso total a la administración. Sólo es cuestión de encontrar la web que queramos e ir probando hasta que demos con el acceso.

Sentencias:

• ' or 1=1--
• " or 1=1--
• or 1=1--
• ‘or’’=’
• admin'--
• ' or '1'='1

Img.2: Dentro del panel de control de la web.

Como ya indica el título de la entrada esta es una técnica que utilizan la gente como Dummies o Lammers.

Ahora bien si queremos ir algo más allá podemos utilizar herramientas automatizadas como SQLmap. Aunque ésta también tiene un asistente para facilitar las búsquedas a Dummies dentro de una web con el fin de encontrar vulnerabilidades.

En este caso hemos accedido a una página web dedicada a las IVR. Hay que tener muy en cuenta el daño que se puede hacer con este tipo de vulnerabilidades. 

También quiero dejar claro que en Google puedes encontrar miles de manuales para hacer inyecciones SQL, pero de nada sirve si no sabes su funcionamiento.