domingo, 21 de mayo de 2017

Famosa !!! muñeca o celebrity. Opiniones...

Estimados amigos de Inseguros !!!

Llevamos unas semanas más ajetreadas de lo normal con la exposición de la gente a los medios y después del tonteo del otro día de Wannacry sospecho que va a dar para varias entregas.


Aunque ya he expresado mi opinión al respecto en varios foros, me apetece escribir por aquí lo que quiero sin las restricción de los 140 caracteres o la app. móvil.

Para centrar un poco mi opinión voy a hablar de otras dos de mis pasiones aparte de la informática, que he vivido como algo más que un hobby, como un estilo de vida, pero que al final pasó como lo que está pasando ahora mismo con la infosec.

Era 1993 o así. Estaba metido de lleno en la cultura hip hop. Si estás o has estado sabrás de lo que hablo, una cultura reivindicativa, antisocial, transgresora, con varias facetas de expresión artística como el graffiti, el break dance y el rap.

Estábamos en la movida, escribí un fanzine de graffiti en el que pegaba fotos sobre un a3, escribía al título con la máquina de escribir y lo pegaba debajo. Luego se fotocopiaba y se vendía por 300 pesetas. Recuerdo con ilusión como de mano en mano, fotocopia en fotocopia, recibimos cartas, si cartas con sello, de gente de TODA España felicitándonos por el trabajo.




Mis mejores amigos cantaban Rap, muchos amigos. De repente, salió en la prensa un grupo de Madrid, los poetas violentas. Eran todos una banda, vestidos igual, rapados igual, gente con dinero que pudieron acceder a grabar un disco, cuando los demás estábamos con las cintas.


No se lo merecían, no eran los mejores, no eran lo únicos, pero fueron los primeros en sacar un disco de rap en España. Los medios escribieron soberanas tonterías gracias a la desinformación. Apareció el príncipe de bell air... años más tarde Eminem, las batallas de gallos y todo se fue a tomar por culo.

La cultura desapareció, y el hip hop se convirtió en un baile de un talent show, y el rap se conviritió en cualquier persona que rima sobre un 4x4 rimando los finales.

Ahora de los 1000 grupos que salen de rap, me gusta 1. Pero me da igual que hayan 999 malos. Es una opinión seguramente de abuelo cebolleta, y lo que durante un tiempo me molestó, ahora me la suda.

Ahora voy a seguir unos cuantos años más 1998/2000. Otra de mis pasiones, el SkateBoard.

Ya sabes, Sk8 or die. Todo el dia en la calle lleno de mierda con la tabla partiendome el cuerpo para sacar el truco más guapo. Aquí la cultura era esa, patina o muere. Era otro estilo de vida, en el que reivindicamos nuestras inquietudes deportivas, de manera de vivir, al margen de la aficiones "normales" que tenían las personas de nuestra edad: salir a ligar.

Cuando el skate salió a los medios MASIVAMENTE, con el juego de la playstation de Tony Hawk, hubo una revolución mediática. Las empresas de toda la vida que NO APOYABAN el skate, como Nike, Adidas, etc empezaron a contratar gente para vender sus productos. Los profesionales del skate.

Cuando Nike o Redbull ficha a un talento con la tabla, creeis que contratan al mejor, al que más trucos hace, al que más estilo tiene, al que más años llevan patinando, al que más se lo merece? PUES NO. Contratan a una mezcla de lo anterior, y alguien con "carismas" con "posse" con aspecto guay, que convine con su marca. Imaginas a un tipo gordo y feo patrocinado por Nike, por muy bueno que sea?

Después de vivir todo esto qué crees que pienso cuando veo a un tipo más parecido a un módelo anorexico que a un chaval de 18 años, vestido de moda, con la tablita de longboard? o a la misma figura en chica que lleva el longboard bajo el brazo porque quiere ligar con el tipo del skate... Como con el hip hop. hubo un tiempo en el que me reventaba, ahora, me la suda...

AQUÍ EMPIEZA LA PARTE DEL HACKING.


Al igual que el skate, el hiphop, el surf hace 40 años, el rock hace 50, el hacking ha cambiado. Ahora está en los medios, y te guste o no, es lo que hay. No chochees con una cultura que nació hace 30 años con unos motivos, con la lucha contra telefónica y la tarifa plana, con el acceso a internet universal, con el afán del conocimiento libre y accesible. El hacking de ahora lo hacen gente que ha estudiado su carrera con matrículas de honor, que ha hecho un master no se donde, y que de lunes a viernes trabaja 50 horas haciendo test e informes.

Si tu eres de los de antes, ole tus huevos. Si eres de los de ahora, ole tus huevos. Todo es válido, y precisamente gracias a la lucha de muchos por esa libertad en internet, ahora están las nuevas generaciones. Qué quieres, que te paguen? que te admiren? NONONO, esto no va así.

Queridos haters, prefiero ser el tonto del BMW que el listo que no tienen para pipas. Quizás tú vayas al cielo hacker, o quizás seas un perdedor hobbit de la tierra media, enano criticón, jaajajaja.

Espero que hayas entendido mi opinión. Hay gente que sigue anclada a un pasado, pero porque el pasado les venía mejor. Yo miro siempre hacia un futuro mejor, y lucho por ello. Mirar hacia atrás es bueno, pero solo para tomar impulso. no para anclarse.

Se que no me voy a ganar muchos amigos de la cultura hacker, pero lo dicho, OS ENTIENDO, lo he vivido con otras pasiones mías, pero la realidad al final es la que es. El tiempo pasa, y si no creces, envejeces.

Respecto a los rankings, méritos, títulos, conferencias, incidentes, de todo eso paso de opinar. Al final cada uno lucha por lo suyo de la manera que cree oportuna. Por supuesto que no iría nunca a ninguna ciberguerra con la bandera del pp por 2.000€, pero respeto a mis amigos que salen en la entrevista por el trabajo que hacen, aunque el tonto del periodista los haya metido en un embolao. A TODOS. no vale decir que unos sí y otros no, porque son tus amigos unos o los otros, TODOS los mencionados son grandes en lo suyo, unos técnicamente, otros en la divulgación, etc, pero TODOS aportan.

OS KIERO.

miércoles, 10 de mayo de 2017

Ventana de auditoria 2am-7am. ¿Me levanto o lo dejo programado?

Estimados amigos de Inseguros !!!

Hace unos días un cliente comentaba el caso de una auditoría de sistemas perimetral, de una organización none-stop, 24/7 etc. No conozco a ninguna empresa que no se venda asi :-) Todos son la NASA.

El caso es que pedía que las tareas de automatización con herramientas se lanzarán en horas de baja actividad, lo típico. Lo de esta empresa era que lo típico no eran las 19:00 o los fines de semana, era la madrugada.


Claro, si cobramos el precio hora a precio de noche, 5 veces más caro, la auditoría la va a hacer Rita la bailaora...

Hay tipos de empresas en las que la respuesta es " SISISISIS, por supuesto" y en otras debe ser así.

Dentro mi filosofía de trabajar poco y rendir mucho pensé en que si Dirbuster y Zap, que son dos herramientas que suelo usar ,tienen línea de comandos, tengo el asunto hecho.... pues nada, vamos a ello.

Dirbuster, localizo el jar dentro de mi linux y pruebo con esto:

java -jar /usr/share/dirbuster/DirBuster-1.0-RC1.jar -u http://www.google.es -H -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e asp,aspx,php,txt,doc,docx,xls,xlsx,* -t 90 -v

Con un -h tienes toda la ayuda.

En mi caso instale el paquete AT y hago lo siguiente: at 11:59 AM Thu -f /var/dirbustar_google.sh

Más claro agua, a las 11:59 ejecuta el script con la ejecución de dirbuster...



Ahora el turno es para Zap, otro de mis habituales.

Sin muchas complicaciones, me bajo el git del proyecto https://github.com/garethr/zapr que hace realmente lo que quiero, mediante una api de zap permitirme acceder a uno puñao de comandos.

Instalo como el autor indica con gem install zapr

zapr --debug --zap-path /usr/bin/zaproxy http://127.0.0.1

De esta manera lanzará un spider básico sobre el target y un attack por defecto.

Si necesitas más granularidad, como por ejemplo autenticación, elegir políticas, etc puedes usar https://github.com/Grunny/zap-cli que nos permite un poco más configuración..

Bueno creo que ha quedado clara la reflexión de tener que hacer tareas en horas raras y que podemos jugar con la línea de comandos y con at para ejecutar las órdenes previamente configuradas.

Eso si, no olvides cobrar las horas como si realmente te hubieras levantado :-)


Gracias por leerme !!!

martes, 2 de mayo de 2017

Burp +CO2 extension: Sql Map más fácil

Estimados amigos de Inseguros!!!

Hoy voy a comentar un pequeño truco que espero que os sirva para vuestras tareas de auditoria.

Vamos a ver la extensión CO2 . Muy sencillo, nos proporciona una especie de front end para sqlmap.

Lo primero es instalarla. O bien nos bajamos el jar o desde el propio Burp, extender, buscamos e instalamos.

Vamos a imaginar el típico caso de una aplicación que estamos auditando manualmente y que encontramos un parámetro vulnerable a inyección. Queremos usar SqlMap para automatizar la extracción de base de datos y demás. Hasta aquí normal.

El caso es que tenemos que usar la cookie de sesión en SqlMap porque la aplicación así lo requiere.

Aparte, queremos usar las típicas preguntas y configuraciones que nos proporcionar SqlMap, hasta el Wizard !!!, pues dale.

Navegamos por la URL que queremos comprobar, botón derecho, enviar a sqlmapper.


Graficamente tenemos todas las opciones a configurar y un bonito comando listo para copiar y pegar ( en mi caso sqlmap está en otro sistema) en SqlMap y realizar el ataque.

Por supuesto que esta extensión no solo nos ofrece esta posibilidad. Nos ofrece ayuda para subir shells, manejar wordlist y algunas cosas más. Muy intuitiva.

Espero que os guste este pequeño truco.

Gracias por leerme !!!

jueves, 27 de abril de 2017

Nunca uses un id en claro en una URL !!! Servicios de mensajería.

Estimados amigos de Inseguros !!!


Seguro que siendo usuario de Internet, y de páginas como estas, realizas compras On line. No? Qué raro eres xD

Llevo viendo durante mucho tiempo este fallo en casi todas las plataformas, y es que usan el id de pedido para hacer el tracking, siendo el id de pedido un número en claro, sin hash ni ofuscamiento de ningún tipo. En la URL.

Esta mañana esperando ansiosamente un pedido, ya sabes, rollo F5 compulsivo, me veo que el repartidor ha tenido la cara de ponerme como ausente. Ausente estaba en clases de pequeño. Ausente estaba cuando en casa mi madre me enbroncaba. Ausente estoy cuando entro en modo si-cariño, pero ausente esperando un pedido de ropa que he pagado?


Pedazo de ... el mal ha salido de mi, y aparte de llamar a la agencia, ablbalabl, he pensado en probar el ataque codo-comilla, en la versión "me apoyo en el pc y cambio un número por otro".



Por supuesto que no he utilizado ninguna herramienta automática para ver esto, es ilegal, nada de usar Burp o Zap en modo Intruder. sino que ha sido un accidente, al apoyarme, al pasar el gato por el teclado y luego el otro gato.

No son datos muy sensibles. O si, depende. Podría hacer una traza de por donde va el reparto, sabiendo poblaciones y horarios, adivinar la ruta del repartidor. Podría calcular el número de envíos que gestionan para este proveedor, siendo yo una agencia que quiere hacer una mejor oferta.
Como se el camión, puedo saber que mi vecino del edificio de enfrente pide todas las semanas, en fin, que es información no controlada que no tendría que ser accesible.

Aparte, si el cambio lo haces en el campo cliente y no envio, puedes ver la empresa que usa el servicio. 




La recomendación sería simple, usar un hash en el id de la URL, para que no sea consecutivo o predecible. Aparte, usar un captcha para evitar fuerza bruta. Usar un waf o bloquear el user-agent "gato-curioso" tampoco estaría de mas.

Es curioso porque esto suele pasar en MUCHAS agencias de transporte.

El problema es que muchas usan por detrás webservices en formato REST, que como la gente no conoce o no se ve en la web no se invierte en seguridad... en las que teniendo fechas-códigos usuario y códigos de envío, puedo poner incidencias, o puedo modificar destinos, esto ya si que se considera un fallo de seguridad grave.

En el borrador del Owasp 2017 ya se incluye la falta de medidas defensivas como un fallo de seguridad, en su categoría a7


Para los curiosos, esto me he comprado xDDDDDDD





miércoles, 26 de abril de 2017

Cracking NTLM hashes con Azure GPU por unos céntimos... o mejor... gratis !!!

Estimados amigos de Inseguros !!!

*Esto no es un post que pretenda aportar mucho sobre el cómputo,  CPU, GPU, cracking, comparativas etc. Aunque se mencionen, el propósito es iniciar al lector en la modalidad y dar a conocer la posibilidad de hacerlo en Azure. Si eres un experto en esta materia, gracias*



Uno de los primeros pasos que hacemos en un entorno de post-explotación, aparte de elevación de privilegios, suele ser el volcado de claves del sistema.

Lo normal es que en un sistema mas o menos modernos y bien implementado las claves se guarden de manera "cifrada" con un hash, con algoritmo mas o menos conocido, mas o menos seguro.

En el caso de los equipos Windows solemos extraer las credenciales de la SAM o de la red en formato NTLM, ya sabes:

Administrador:AAD3B435B51404EEAAD3B435B51404EE:ECC35EE867B405EF13B357DA0B0C0663

Lo habitual es acceder a alguna de las bases de datos online que hay con hashes pre-calculados para probar fortuna con nuestro hash. Si en la base de datos aparece tenemos la contraseña en claro.

Otra posibilidad es usar la debilidad de Pass The Hass en sistemas Windows pre-2016 (configurado) en la que podemos emplear el hash como token de seguridad, en vez de la clave. Psexec es la herramienta "by default" para usar el hash en vez de la contraseña en conexiones remotas, ejecución de comandos etc.

Muchas veces, el hash no es suficiente, porque el equipo de gerencia no encuentra esta información relevante, o porque tenemos un entorno en el que sospechamos que la clave de administrador se usa en distintos servicios ( diferentes equipos, servicios, webs, etc) y es un MUST conseguirla en formato claro.

Ahora vienen las opciones, ¿como desciframos un hash NTLM de muchos caracteres?

Tenemos varias aproximaciones:

Fuerza Bruta con un diccionario: Confiamos en el que la password aparece en un diccionario.ç
El diccionario puede ser de palabras, y generado por nosotros, con variaciones de años, nombre de empresa, recursos, 3 por e, 0 por o, todo este tipo de cosas. ¿Si no funciona qué?

Fuerza Bruta con Rainbow Tables: Las Rainbow tables son combinaciones de hashes/claves ya precalculadas que hacen mucho más rápido el descubrimiento de la contraseña.
El tema está en que esto pesa, pesa en disco. Yo he manejado Rainbow Tables del espacion ascii mayusculas/minusculas de 8 caracteres de longitud, de 40 gb. El de 9 caracteres, casi 400gb. Si quieres probar contraseñas de más de 10, lo tienes DIFICIL sin comprarte un montón de discos duros, montón es MUCHO.

Fuerza Bruta: Este es el caso que nos atiende hoy. Este caso es muy sencillo, empezar a probar todas las combinaciones posibles de letras, caracteres, números y longitud hasta encontrar la contraseña.

La operación de fuerza bruta consume primordialmente cómputo. Cpu.

Como muchas sabéis, para realizar grandes cálculos se utilizan las "cpu" de las GPU, las tarjetas gráficas. Estás presentando una configuración de procesador optimizado para el rendimiento de las imágenes, que también consumen mucho computo, por lo que suelen ser usadas y ofrecen un rendimiento mucho más alto.


Cuando digo mucho más alto, es MUCHO, no es el doble, triple, ni 10 veces más, es MUCHO mas.

Vayamos por partes. Lo primero que vamos a hacer es descargar la herramienta HASHCAT, disponible para sistemas windows y linux. Según preferencias. Tenemos que tener la última versión de nuestros drivers de video activos. Quizás nos pida algún driver relativo a OPencl para el paralelismo entre varios dispositivos....

Voy a hacer una prueba en la castaña de portatil que uso ahora mismo. Estos son los datos y rendimiento que arroja HashCat en modo benchmarking para hash del tipo NTLM.


La humilde tarjeta integrada de mi portátil ofrece 273,7 millones de hashes por segundo. No está mal. Si fueran céntimos de euro...

Vamos a compararlo con algo. Por ejemplo, con el espacio de hashes que hay NTLM de mayusculas/minusculas/caracteres especiales de 9 caracteres de longitud:

13,759,005,997,841,642

Si lo divides entre mi potencia de cálculo, tardaría más de 2 años en sacar el hash/clave.

Vamos a compararlo con algo más curioso, con la capacidad de minado de Bitcoins. Nos vamos a la web: http://tpbitcalc.appspot.com/ e introducimos los datos. 


Sin contar gastos, en un año, ganaríamos 11 céntimos. Ya se va viendo que la capacidad de cómputo de mi tarjeta de vídeo es de risa.

Después de esta introducción :-) Vamos al asunto.


En Azure podemos usar máquinas del tipo N dotadas con tarjetas gráficas, GPU´s, de gran capacidad, en concreto NVIDIA K80 (2GPU y 24gb ram) y NVIDIA M60 (2GPU y 24gb ram). A esto le sumamos 20 cores de CPU y unos 120 Gb de ram. Estas son las configuraciones disponibles..



Como puedes ver, el tamaño de las máquinas es bestial. Las tenemos desde 700€/mes hasta 1500€/mes.

La cuestiones ha plantearse son varias.

Las máquinas no las vas a tener todo el día funcionando, sino las horas justas que creas convenientes para realizar los cálculos.

Azure puedes contratarlo "gratis" en modo de pruebas con 150€ de crédito... En el momento que te pases, te dirá, quieres seguir o paramos, por lo que no hay riesgo de sorpresas en la tarjeta.

Yo para mis pruebas use la NV12. Para poder seleccionar estas máquinas, al crearlas en Azure, debes seleccionar tipo de disco HDD y zona centro-sur de EEUU. No están disponibles en todas las zonas.

Lo que tenemos que tener claro son los pasos antes de empezar, para ahorrar tiempo.

En mi caso tenía preparado los drivers,376.84-tesla-desktop-winserver2016-international-whql     hashcat https://hashcat.net/hashcat/ y OPENCL https://software.intel.com/en-us/intel-opencl

Bájalo primero !!! Una vez instalado todo:


Menuda máquina. Ahora vamos a ir probando configuraciones hasta dar con la tecla. Os paso dos capturas en las que la diferencia de un comando a otra dobla la velocidad del proceso.



hashcat64.exe -a 3 -m 1000 hash.txt --force -w3

Al final estoy rindiendo a 12.000 Mh/s... ¿recuerdas los 250 de la tarjeta del portátil?

Los dos años del espacio de 9 caracteres se han hecho en:


En una hora y cuarto. Esto es un poco relativo, porque la clave puede estar al principio de XXXXXXXXX o al final, pero para hacernos una idea, es suficiente.

En cuanto al minado de bitcoins, podríamos ganar dinero usando los 150€ gratis de Azure?


Hemos pasado de 11 céntimos a 5 €, sin meter costes claro !!!

Espero que te sirva de ayuda este post para realizar alguna prueba de concepto xD o simplemente para iniciarte en el mundo del Cracking y las GPU.

Tengo que dar las gracias a dos señores que dieron una master class el otro día en el Azure Boot Camp 2017 de Madrid sobre todo esto de la series N de Azure, el cracking, los vídeo juegos y demás.

Os recomiendo que los sigáis, sino lo hacéis ya, porque son unos máquinas en esto y mejores personas.

Carlos Milán: https://twitter.com/cmilanf
Alberto Marcos: https://twitter.com/alber86


https://channel9.msdn.com/Events/Microsoft-Spain-Events/Azure-Bootcamp-Madrid/Track-1-Sesin-4-GPU-Cloud-Computing-la-potencia-de-la-aceleracin-grfica-en-Azure

Gracias !!!


Related Posts Plugin for WordPress, Blogger...