martes, 12 de diciembre de 2017

Por qué ser hacker? Motivación

 Estimados amigos de Inseguros!!!


Voy a intentar expresar algo que considero fundamental para el entorno profesional en el que nos movemos, y por qué no, para cualquier ámbito de la vida. La motivación. En este caso, la motivación por ser hacker…

Seguramente haya escrito ni uno ni dos ni tres sino tres (guiño guiño) artículos sobre Cómo ser hacker, como comenzar en el mundo de la seguridad, o similar disparate literario cd…

Voy a retomar el asunto a los años 90. Voy a contar historias de abuelo que ya va siendo hora…

Era un joven de 10 años apasionado por el skate, Era un mundo UNDERGROUND. Ser skater era algo como de malote… encima apareció una seria de dibujos amarillos que reafirmaba esa idea ante las madres de barrio. Parece de risa verdad, era así. Mi madre asociaba el skate a la delincuencia… Ninguna marca famosa de deporte estaba metida en el negocio. Apenas una decena de marcas cebaban el mercado, recuerdo las Powell Peralta, las Santa Cruz, H-street etc…


Bajabas a la calle a patinar, a divertirte, a sentir el viento, a llenarte de mierda¡!!

Ahora los chavales salen a la callen guapos¡!! Vestidos de marca, y aunque no dudo de su pasión por el deporte, en todos existe el sueño de ser Profesional y que NIKE les patrocine por 10 millones de euros al año, como pueden hacer con grandes estrellas.

Es la misma motivación? Es igual de “puro” el sentimiento? La motivación?

Ahora voy a saltar unos años, pocos, 92/94. El rap. Mi madre tenía razón ¡!! Del skate pase al graffiti y al rap, es decir, callejero 100% XD.

Todos los que estábamos metidos en la movida sacábamos nuestras letras, nuestros raps. La ilusión era bajar a la calle y soltar unas rimas y que tus colegas fliparan con ellas.

No había mercado, no había industria. El rap era la música del príncipe de bel Air y como mucho el “ehí pijo” del Rapin Madrid…



Ahora los chicos empiezan a rapear soñando con algún día tener un video con millones de visitas y ganar pasta como cualquier de los muchos que la ganan…

Mismas preguntas, esto es auténtico? Existe la misma motivación cuando antes estaba toso en contra, y ahora todo a favor?

Ahora vamos a con el hacking. El deseo por romper cosas, por descubrir.

La sensación inmensa de felicidad/nerviosismo cuando consigues vulnerar un sistema, o descubrir un fallo, y no poder contárselo a nadie, a NADIE. Ni en la calle ni el IRC…



La ilusión por conseguir rular un juego con un crack que te hacías tú, que no bajabas de Internet… o si lo bajabas te costaba ciento y la madre…

Ahora hay algo parecido, están los CTF, Cada paso que das, cada punto que adquieres, te acerca esa posición de “líder” de “respeto” o como quieras llamarlo.

De una manera u otra se busca algo, reconocimiento, diversión, aprendizaje por supuesto, pero algo más. Quien me diga que SOLO hace CTF por aprender miente, es lógico ¡!!

Cuando algo se vuelve popular es inevitable que se vuelva menos autentico, mas comercial por decirlo de alguna manera, y esto hace que la verdadera motivación que debería haber por hacer las cosas a veces se difumine.

Hace unos años aparecer en una CON era síntoma de ser un crack. De tener algo importante que contar. Con el tiempo esto ha cambiado. Ahora puedes dar charlas, sin ser nadie relevante, como yo, y todo tiene cabida.

Con los CTF pasará lo mismo. Hay gente que SABE MUCHO y que “pelea” duro en ellos. Llegará el momento en que los CTF serán una “asignatura “más de la carrera, cuando personalmente creo deberían ser una parte de la formación. El mundo real, el hacking, a veces es más complejo, o a veces más sencillo… pero es más real…

Soltadas todas ideas, quiero resumir el post con eso, con la motivación, que cada uno debe encontrar en las cosas que hace. Para levantarse un lunes a ir a estudiar o trabajar, para ir al gimnasio, o para lo que sea, pero que ganar dinero no debería ser la principal motivación para ser hacker, si quieres ganar pasta hazte médico, que no te engañen los periodistas, ser hacker es algo muy difícil y costoso.

Yo llevo varios años intentándolo y aún no lo soy xD

PD: No he entrado en la parte del hacktivismo como motivación ya que no es mi caso, y hace muchos años que deje la “lucha” social por la lucha personal, después de ver que el que corría junto a mi delante de la policía era hijo de policía…

Como siempre, gracias por leerme.


lunes, 4 de diciembre de 2017

Relación con proveedores: Exige seguridad !!!

Estimados amigos de Inseguros:

A lo largo de mi trayectoria en el mundo de la seguridad, y por qué no, en la informática en general, he tenido que verme en la situación de delimitar la responsabilidad de socios, partners y proveedores de cualquier ámbito del trabajo.



No vale con echar la culpa a la señora de la limpieza, esto ya es viejo, hay que delimitar responsabilidades pero más que nada funciones.

En el mundo de las auditorías me encuentro todos los días con departamentos más o menos contentos con los resultados, casi siempre descontentos... No porque hayas encontrado pocos fallos la verdad...

En esta ocasión no voy a hablar de la seguridad "delegada" del servicio de hosting, pero si de esa seguridad en productos y servicios internos.

Cuando presentas una auditoría y encuentras un activo... el ERP con un fallo en el sistema operativo que te permite acceder al sistema remotamente, el cliente se apresura en justificar la carencia de control con que ese servidor se lo lleva "una empresa".

Lo mismo pasa con software base desactualizado ( Sistema operativo, bases de datos, servidores de aplicaciones, web, componentes, drivers...).

El proveedor suele rendir cuentas con actualizaciones de SUS sistemas, los que desarrolla o implanta, y no cree necesario actualizar un componente SSL o un servidor SQLServer.


El mismo caso para configuraciones inseguras, como usuarios/contraseñas por defecto, ausencia de mecanismos de seguridad, falta de política de parcheos, etc.

SIEMPRE, SIEMPRE, SIEMPRE me encuentro con que el departamento culpa a la empresa proveedora de lo desastres. En estas ocasiones recuerdo frases de mis padres en plan: Si tu amigo se tira al puente tu te tiras... O mejor dicho, si el no se tira, al final quien se tira.. bueno me he hecho un lío, la verdad es que mis padres sabían que siempre era yo el malo XDDDD

La cuestión es que en muchas auditorías se especifica en la parte ejecutiva de soluciones el mejorar las políticas de relación con los partners y proveedores, haciéndolos partícipes de nuestra política de seguridad. Esta política puede estar escrita o no, pero debemos exigir ciertos controles, al menos, en nuevas contrataciones, renovaciones y en momentos en los que podemos "apretar". Quizás no sea posible con todas las soluciones, pero ahí nuestro esfuerzo.



Dicho esto, como algún cliente me lo suele pedir, voy a intentar reflejar aquí unos mínimos, unas pequeñas cláusulas que podemos incluir en nuestros formatos para pliegos o diseño de especificaciones para nuevos servicios o productos.

Siendo la empresa cliente la organización:

  • El proveedor se compromete a cumplir todos los estándares de seguridad del sector de actividad de la organización y cualquier exigencia explícita de la organización en materia de seguridad informática y buenas prácticas.
  • El proveedor se compromete a realizar mantenimientos del software vinculado a su producto o servicio en el plazo que éste lo requiera, estableciendo un periodo máximo entre acción y acción de no más de 2 meses. Por ejemplo: Sistemas Microsoft: Mensual.
  • En el caso de que se produzca un incidente de seguridad grave relacionado con el software principal o relacionado, el proveedor se compromete a solucionar el incidente con la mayor celeridad posible. En el caso de que el equipo de la organización lo requiera, el proveedor deberá facilitar todos los procesos y herramientas para que la organización pueda remediar el incidente de manera ágil y segura. Por ejemplo: Claves del sistema, certificados, herramientas de control, etc.
  • El proveedor se compromete a entregar a la organización un sistema carente de fallos conocidos y con una configuración de seguridad que impida:
    • Accesos anónimos.
    • Accesos con cuentas conocidas.
    • Versiones de sistemas sin actualizar/fuera de ciclo de vida de producto.
    • Exposición de información no controlada.
    • Ataques de fuerza bruta.
  • El proveedor se compromete a entregar a la organización un sistema o servicio que sea compatible con la infraestructura vigente de la organización, por ejemplo:
    • Gestión de eventos centralizada.
    • Instalación de sistemas antivirus, agentes, monitorización, backups, etc.
  • El proveedor se compromete a facilitar a la organización cualquier información del producto relativa a su funcionamiento en materia de seguridad.
  • El proveedor se compromete a que la organización pueda realizar test de seguridad, auditorías o cualquier otro tipo de pruebas para garantizar la seguridad del producto o servicio, y que este cumple con los estándares de la organización.
  • El proveedor se compromete a realizar un plan de trabajo en el que se definan y se establezcan soluciones para fallos o deficiencias en materias de seguridad detectadas por auditorias de la organización o de terceros.
  • La negativa a cumplir cualquier de los citados puntos podría ocasionar la rescisión del contrato por parte de la organización por incumplimiento del proveedor, quedando la organización exenta de cualquier responsabilidad, indemnización o pago relativo con el cese del contrato.

Por supuesto que no soy abogado, y cualquier cláusula de este tipo debería ir respaldada por el departamento legal, ya sabemos que la redacción de estos artículos es más importante aún que el contenido, pero básicamente son los aspectos que se le podría pedir a un proveedor "medio" del ámbito de la informática.

Otra cosa es la necesidad de cumplir con normativas específicas, o que la empresa que contrata el servicio implemente su propio checklist de seguridad, algo cada vez más habitual en organizaciones internacionales, pero esta pequeña descripció seguro que os ayudará.

martes, 31 de octubre de 2017

Crawling DIrectorios web. Un buen diccionario.

Estimados amigos de Inseguros!!!

Una de las principales acciones que llevamos a cabo en los procesos de auditoría y test de seguridad es la de enumerar los activos que tenemos para atacar.

Lo más "guay" es encontrar un servicio y empezar a buscar la manera de reventarlo, pero hay que se metódico y realizar todas las fases del test de manera ordenada para no dejar nada en el tintero.

Es habitual enumerar los servidores web en busca de aplicaciones, pero no siempre accedemos a http://ip y aparece la aplicación. Según esté configurado el servidor web, los vhosts...


El crawling web consiste en recorrer una web, en hacer n peticiones a la web hasta encontrar el recurso. Las peticiones las hacemos en base a una lista. A diferencia del spider, en el crawling dependemos de la calidad de la lista. Con spidering simplemente recorremos las etiquetas del html buscando enlaces. Bueno, el fichero sitemap.xml si existe, robots.txt... depende de la herramienta.

El fichero que os traigo es una base del fichero de Dirbuster Medium un poco tuneado con el paso del tiempo y de varias auditorías. Hay muchas palabras en español de las que nos encontramos en la auditorías, típicos nombres de departamentos, proyectos, cms y demás.

El fichero lo puedes manipular haciendo pequeños cambios. Por ejemplo, imagina una situación en la que el proyecto web contiene elementos de objetos espaciales, o que el director de proyecto suele usar nomenclaturas de este tipo. Podemos juntar el fichero base de directorios con una lista descargada de Internet.

cat origen.txt origen2.txt > destino.txt

Podemos ponerlo todo en minúsculas.


cat origen.txt | tr [:upper:] [:lower:] > destino.txt

Podemos eliminar duplicados.

cat pass.txt | sort | uniq > pass-no-dulplicados.txt

Y con esto, si eres necio en bash como yo, tendrás una chuleta perfecta para poder manipular tus ficheros de crawling.

Que fichero usas tu? tienes alguno interesante?

Gracias por leerme !!!

martes, 17 de octubre de 2017

Señor panadero, gracias por contarme lo del Wpa2 !!!

Estimados amigos de Inseguros !!!

Voy a comentar algunos pensamientos que se me pasan por la cabeza durante estos días.

Realmente llevo tiempo con ellos, pero en estas ocasiones tan especiales de famoseo e intrusismo de los medios me salen a flor.


Hablo del populismo de los medios que se ha generalizado con la seguridad informática.

Creo que el famoso Wannacry ha hecho mella de una manera en las empresas como no se esperaba, o eso percibo...

El mismo día del incidente el "negocio" creció como la espuma. Muchos, muchos, muchos clientes, contactos, amigos y familiares se pusieron en contacto conmigo para asesorarlos sobre el incidente.

La semana siguiente pintaba bien, seguía el tema "de moda", algunos presupuestos, algún cliente concienciado en un poco de gasto de seguridad, eso, pintaba bien.

Nadas más lejos de la realidad, al menos de mi realidad cercana, las empresas SIGUEN sin invertir en seguridad. Puede que puntualmente hagan alguna inversión, dejándose aconsejar por algún vendedor de tres al cuarto, gastando 1.000 € en licencias de antivirus, 2.000€ en algún firewall físico, pero ahí queda la cosa. Eso en el mejor de los casos !!! la inmensa mayoría de las empresas siguen con el suspenso total, y en esto les va la continuidad... pero no lo ven así... Ni con el famoso Wannacry y el negro en antena3...



Esta semana comenzaba con WPA2. No voy a entrar para nada en detalles del ataque, ni en ninguno de los CVE, papers y demás informaciones que han salido, me voy a centrar en lo que estoy, en los medios.

Como dice el título, hasta el panadero que no sabe a qué me dedico, o igual sí, me habla del WP2. La culpa de esto la tienen medios televisivos nacionales, locales, periódicos y periodicuchos y ya las redes sociales. 

Vamos a ver amigos. El último CVE del WPA2 es CVE-2017-13088. Esto significa a que en 2017 llevamos 13.088 fallos de seguridad en distintos productos, de más o menos uso, clasificados por este sistema. MUCHOS otros productos o componentes no registran los fallos en el CVE y simplemente parchean. Recuerda las actualizaciones de Windows de todos los meses, las mayoría son de seguridad. Así con las del tu teléfono de manzana, de Android o cualquier dispositivo que usamos.

La manera de medir la "importancia" de la seguridad o del fallo no es solo la popularidad del sistema vulnerado, sino la facilidad por perpretar el ataque, el vector de compromiso del ataque, el tiempo que va a pasar desde que el fabricante haga el parche, la facilidad para que ese parche sea aplicado, etc.

Para el caso de WPA2, la mayoría de los fabricantes ha parcheado ANTES de que aparezca la herramienta que usa el fallo, el famoso exploit. Si sigues las recomendaciones  de seguridad de HACE 20 AÑOS, actualizas tus sistemas regularmente, y no pasara NADA con WPA2.

Volvemos a lo que hablaba, a los medios. Cómo ha repercutido esto en mi negocio? En la ciberseguridad? Aparte de clientes preguntando y preocupados, no se si has vendido más Access Point de "los buenos" en vez de los de oferta. O no sé si has recibido más trabajo de auditoría Wifi para que el cliente se quede tranquilo. De cara a la seguridad, creo que el "caso WPA2" solo ha dado más follón que beneficios, tanto al mercado de la seguridad como a la ciberseguridad en sí, ya que el investigador ha hecho un muy buen trabajo de investigación y sobre todo de revelación responsable. BIEN HECHO !!!

Creo que el caso wpa2 ha sido como Poodle. Después de Heartbleed y lo bien que lo pasamos, llegado Poodle, que parecía pero no era...

Al final veo que hay más gente queriendo sacar pasta por la seguridad.

Hay más gente trabajando en seguridad, pero con cifras de junior de sistemas.

Las grandes empresas quizás si estén aprovechando el tirón, porque le das argumentos a sus cazadores de clientes, a los comerciales.

Para autónomos como yo o pequeñas empresas que concentran sus activos en profesionales, en técnica, en su buen hacer, en sus ganas y pasión, a estos casos no les favorece en nada estos casos mediáticos infundados, indocumentados, y que al final solo hacen que esto llegue al caso del lobo, que tanto llamar al lobo, cuando venga no le vas a hacer caso.


No me mal interpretes, pero no me importa si el fallo es mayor o menor, si tal o si cual, si esto o lo otro, no estoy hablando de eso, estoy hablando de la moda de la seguridad y de lo que eso repercute en mi día a día.

Quizás el caso Wpa2 sí de problemas, o nuevos ataques circundantes, yo que se !!! pero lo que si se es que hay mucho medio desinformado que se apunta a la moda y solo crean falsos "lobos". 

Gracias por leerme !!!

viernes, 21 de julio de 2017

Mirando cosas en el DNS interno. Wireshark

Estimados amigos de Inseguros !!!

Uno de los servicios que suele ofrecer a mis clientes es la auditoría de red orientada a la seguridad.

No es una auditoría de seguridad, pero tampoco es una auditoría de red al uso, enumerando equipos, viendo tiempos de respuesta, identificando switches con 2 3 y hasta 4 bocas conectadas a si mismo y a otro switch, en fin, ya sabéis, redes !!!


Lo primero que hago es monitorizar o mejor dicho capturar paquetes de red en distintos horarios y en distintos rangos/redes/vlans o como el cliente tenga el tinglao.
Algunas cosas que hago es pasarle el pcap a una herramienta como Malcom, como vimos aquí,  y de esta manera analizar si hay equipos que se está conectando a fuentes maliciosas conocidas. Una buena fuente de inteligencia en Malcom y podemos detectar ordenadores comprometidos.

Este no es el propósito del post, que como siempre me voy por las ramas, como un mono, colgao !!!

La parte del DNS en las empresas no suele estar muy bien configurada. No al menos desde el punto de vista de la seguridad o mejor dicho el control, ya que esto no tiene que ver mucho con seguridad, sino con tener el IT organizado, pero al final redunda en incidentes.



La mayoría de vosotros teneis una red con Active Directory o una red basada en Dns Bind. Todos los equipos "buscan" su configuración dns para realizar las consultas. Estas van al servidor DNS, si son internas o están en Cache o existe el registro las resuelven, y si no preguntan a los reenviadores por esta información. Correcto, has sacado un 5 en redes del grado medio.

En caso de tener un incidente de seguridad, o sospechas de él, auditar las peticiones al Dns debería ser una buena idea. Imaginar un equipo preguntando cada 2s por un dominio .ru... Estas cosas las debería detectar el IDS pero bueno... Muchas veces no se habilita el log paras las consultas DNS, como vimos en el caso de Windows 2012 

En la red interna, bajo mi humilde punto de vista, TODOS los equipos deben apuntar al servidor Dns de la empresa, y solo este debe tener la capacidad a nivel de firewall de establecer conexiones salientes con destino udp 53 hacia fuera. La cámara de seguridad, el portátil de nosequien, el gadget de nosecuantos, todos, aunque no sean equipos que registremos ( que deberíamos hacer manualmente en el dns) deben apuntar al dns interno, y no al 8.8.8.8 porque como son "dispositivos" no pasa nada.

De esta manera, podemos evitar casos de compromiso en el que un malware usa su propio servidor dns para resolver direcciones. De esta manera si cortamos a nivel de firewall, podríamos evitar un contacto con C&C maligno.

Si queremos entrar un poco más en detalle, podemos analizar el tráfico buscando comportamientos raros raros raros. Hay casos en los que piezas de malware usan lo que se denomina Silent Ip para no revelar la dirección del C&C. Si el atacante no necesita iteración, para evitar ser detectado, cambia la ip real hacia una interna, menos sospechosa. Consultas DNS hacia direcciones ip de nuestra red tipo 192.168.o cosas así, que no correspondan a un servidor DNS, pueden representar este caso.

Para esto usamos la herramienta wireshark que tanto nos gusta. Si eres https://twitter.com/seguridadyredes quizas uses bro o tshark o cualquier de estas herramientas que tanto le gustan en formato "internet negro", pero yo prefiero el gráfico para este caso.

Aparte de visualizar y buscar dominios a priori peligrosos, podemos usar las opciones propias de DNS para mostrar una pequeña estadística de paquetes dns, malformados y algo importante, el tamaño medio del payload. Con este dato podríamos averiguar o tener indicios de un sistema comprometido realizando exfiltración de datos mediante el dns.



Por cierto, antes de que se me pasa, existe la posibilidad de consultar la wiki de wireshark sobre un protocolo pulsando sobre el con las opciones y accediendo a Wiki. Es muy útil cuando encuentras protocolos de red que no estamos muy acostumbrados, además, te da algun truco para filtrar por el, explicacion, está bien. 


https://wiki.wireshark.org/DNS?action=show&redirect=Protocols%2Fdns

Una de las opciones que suele marcar es el menú View, resolución de nombres, habilitar la resolución de nombres para la capa de red. Por defecto lo hace para la capa física, algo que para mi no tiene  mucho sentido ya que no suelo trabajar en esa capa, me refiero a la dirección MAC.


Recuerda que para ver la localización de una dirección debes hacer este pequeño procedimiento.

Estas son algunos de mis pequeños consejos y trucos que hago de vez en cuando en las redes que manejo para ver comportamientos raros.

Para el protocolo NTP suelo hacer lo mismo.

Como sabes, todo lo que vaya por UDP es muy susceptible a ser usado en ataques de ddos por la característica de la impersonalización y facilidad de hacer spoofing ( no handshake...) por lo que hay que estar un poco más "atento" a estos servicios, sobre todo si los exponemos hacia Internet. No es mi consejo, y prefiero tener dns externos para internet, pero si por culquier motivo lo necesitas, monitoriza los incrementos de ancho de banda con tu UTM o Nagios o similar, y establece una política de colas y QOS porque ya hemos visto muchos ataques usando udp para liarla, tipo cámaras IOT etc.

Espero que os sirva de algo todo esto. Vamos a la playa? xD



Related Posts Plugin for WordPress, Blogger...