Archive for Seguridad Informática

noviembre 11th 2016

Sistemas operativos para Ethical Hacking

Número de lecturas: 890
{lang: 'es-419'}

A medida que las profesiones relacionadas con la ciberseguridadse hacen más y más populares, aumenta la necesidad de aquellos de disponer de herramientas potentes para auditar la seguridad de los sistemas informatizados. Por eso he preparado una breve lista con sistemas operativos para Ethical Hacking, populares en la actualidad.

De entre los conjuntos de herramientas para operaciones de pentesting (test de penetración) y hacking ético, destaca sin duda Kali Linux, a día de hoy la preferida por la mayoría y sin duda la más usada.

Kali está desarrollado por los responsables de Offensive Security(baste eso para decirlo todo), pero como veréis hay vida más allá de Kali Linux/BackTrack (este último ya no está disponible de forma oficial, por lo que no hablaremos de él).

De hecho, no es la primera vez que la gente pregunta acerca de alternativas a Kali, así que lo que encontraréis a continuación es una breve lista de sistemas operativos enfocados al hacking, todos gratuitos y montados sobre el Kernel de Linux.

Sistemas operativos para Ethical Hacking

Kali Linux

Al César lo que es del César: Kali es la distribución (basada en Debian) más popular para pentester que quieran comprobar los fallos de seguridad en sistemas de todo tipo, así como recopilación de pruebas forenses.

Kali Linux

Este sistema evolucionó desde el otrora popular BackTrack(desarrollado por Offensive Security), mediante la evolución de su código relizada por Mati Aharoni / Devon Kearns. Podemos decir que es hasta ahora la distro mas versátil y avanzada para test de penetración.

Podemos encontrar Kali para funcionar sobre máquinas virtuales VMWare y con procesadores ARM, entre otras variantes. Además, se actualiza con regularidad.

ParrotSec OS 3.0

Hace poco hablamos de ParrotSec OS 3.0, la nueva versión de este popular sistema operativo dirigido a auditorías y test de intrusión. Parrot  está montado sobre el código Linux/Debian mezclado con el sistema FrozenBox OS, lo que asegura gran capacidad de generación de ataques y versatilidad en los test.

Parrot OS 3.0

Este sistema emplea repositorios para conseguir las últimas actualizaciones para casi todas las herramientas, pero también cuenta con repositorio dedicado, donde se mantienen todos los paquetes personalizados.

El aspecto del sistema ParrotSec OS está propuesto y diseñado entre los miembros de la comunidad y los de FrozenBox Network, una unión de fuerzas que está dando buenos frutos.

Es decir, no es un simple “mod” de Kali, sino un nuevo concepto que, eso sí, está basado en los repositorios de herramientas de Kali. Así, introduce un montón de nuevas características y ofrece capacidades de personalización elevadas.

Mediante el uso del entorno de escritorio MATE contamos con una interfaz ligera pero potente, derivada del conocido Gnome 2. Además, mediante FrozenBox y su capacidad de edición y llamativos iconos, temas adicionales y fondos, el aspecto es uno de sus fuertes.

BackBox Linux

Este sistema incluye algunas de las herramientas de seguridad y analítica más populares entre la comunidad Linux. Su objetivo es servir para diferentes propósitos, desde análisis de aplicacionesweb a redes y WiFi; desde test de estrés a sniffers, además de reportes de vulnerabilidades, labores forenses y uso de exploits.

BackBox Linux

La versatilidad de esta distribución viene gracias al repositorio Launchpad, constantemente actualizado a la última versión estable para todas las herramientas populares que incluye. La integración y desarrollo de nuevas herramientas en esta distribución sigue la iniciativa de la comunidad open source, sobre todo los criterios descritos en las Debian Free Software Guidelines.

DEFT

Deft es una versión personalizada de Ubuntu, al que se le han añadido diferentes programas forenses y documentación creada por diferentes personas de la comunidad, expertos y empresas.

DEFT sistema operativo

Este sistema operativo para Ethical Hacking es una opción a considerar si los principales no nos gustan, aunque hay que tener en cuenta que al incluir herramientas de diferentes desarrolladores, cada una de ellas trae diferentes licencias de uso.

Samurai Web Security Framework

La plataforma Samurai Web Security está basada en un entorno Live Linux con configuraciones previas que lo hacen funcionar como entorno de pentesting de aplicaciones web. El disco contiene lo mejor de las herramientas open source y gratuitas cuando se trata de atacar webs y ver sus vulnerabilidades.

Por supuesto, seguro que tú conoces más sistemas además de los que aquí comentados. ¿Alguna sugerencia??

Una recomendacion final CyborgHawk (World’s Most Advanced Penetration Testing Distro)

 

Fuente:

protegermipc.net

noviembre 10th 2016

Utilizando The Harvester para analizar el riesgo de la información pública

Número de lecturas: 630
{lang: 'es-419'}

Uno de los problemas más habituales en empresas es la fuga de información. Pero cuando hablamos de ello no solamente nos referimos a filtrado de archivos o información confidencial; existen también, por ejemplo, direcciones de correo electrónico que no deben ser publicadasabiertamente. Esto permitiría a los ciberdelincuentes, de manera fácil y efectiva, enviar ataques personalizados por correo electrónico a todo el personal, aumentando la superficie de ataque y las probabilidades de éxito.

En este post veremos una herramienta que se vale de información pública en buscadores, para encontrar este tipo de información. The Harvester fue desarrollada por Christian Martorella, quien trabaja para la empresa Edge-Security.

Si bien ya hemos visto herramientas para recolección de información como Maltego, en esta entrada veremos otra alternativa libre y gratuita.

Esta tool viene incluida en las distribuciones de Linux tales como Kali y Bugtraq entre otras, y también se puede descargar desde su repositorio en GitHub para su instalación. Una vez realizada la instalación, basta con invocarla desde consola con su nombre para obtener el menú de ayuda.

A continuación pueden ver la ejecución del comando:

Comando: theharvester

01

Como se muestra en la captura de pantalla anterior, permite la ejecución de diferentes parámetros para refinar la búsqueda de información. No entraremos en detalle respecto a cada uno de estos parámetros, ya que el menú de ayuda posee la descripción de la función que ejecutan.

The Harvester puede ejecutarse de forma tradicional por consola, obteniendo resultado en la misma como se muestra a continuación:

04

Aunque una de las funcionalidades más interesantes es que permite exportar los resultados de cada búsqueda a archivos HTML y XML (esto lo realiza agregando el parámetro –f nombre_de_archivo) permitiendo la automatización en procesos de auditoría. Muchas de estas tools admiten importar este formato de archivos para usar sus resultados obtenidos en otras herramientas.

También es muy útil para la elaboración de informes al finalizar dicha auditoría. A continuación vemos una captura de un informe en HTML:

02

En este primer informe, puede verse que en la búsqueda realizada a modo de ejemplo (decidimos preservar la identidad de la empresa por motivos de seguridad) no se encuentran correos electrónicos públicos. Mientras que en la búsqueda que mostraremos a continuación, puede verse claramente que sí, y cuáles son:

03

Si bien hay direcciones que deben ser públicas, normalmente las que corresponden a servicios pensados para la comunidad, hay otras que no deberían estar al alcance de un buscador. El motivo es la seguridad de los datos, naturalmente, pero si todavía te sigues preguntando por qué y cómo el hecho de que sean públicas podría ser un problema, analicemos la siguiente situación:

¿Qué sucede si un cibercriminal decide realizar un ataque dirigido a una empresa?

Imaginemos que en su fase de reconocimiento y búsqueda de información, encuentra pública en Internet una lista con todas las direcciones de correo electrónico de la compañía víctima. Esto le permite crear una lista, a la cual luego podría enviar correo masivamente con algún malwaremediante Ingeniería Social. No olvidemos que el phishing y otras viejas amenazas siguen siendo una preocupación en las empresas.

La superficie de ataque y las probabilidades de tener éxito serán mucho mayores que en los ejemplos mostrados en las capturas, debido a que esto le llegaría a mayor cantidad de usuarios, convirtiéndose en una campaña que podría comprometer la red –solo con que alguien haga clic en el correo equivocado.

Entonces, repasando y resumiendo la situación, aparte de las soluciones de seguridad, políticas y recaudos, es completamente necesaria la proactividad de analizar el nivel y la superficie de exposición tanto de la empresa como de sus usuarios. Como siempre recomendamos, la educación a los usuarios facilitará que estos se conviertan en un aliado y no en el enemigo dentro de la empresa.


Para poner un ejemplo, vamos a buscar información sobre Microsoft, utilizando como fuente Google, para no obtener demasiados resultado, limitaremos la búsqueda a solo 10 emails, procederíamos de la siguiente manera:

Ejemplo de utilización de la herramienta The Hardvester
Ejemplo de utilización de la herramienta The Harvester

Consiguiendo los siguientes datos.

Obtener emails con The Harvester
Obtener emails con The Harvester

Una vez obtenidos estos datos, ya tenemos un punto de apoyo para empezar nuestro ataque (o seguir buscando otros datos de interés como veremos mas adelante), también podríamos buscar un poquito más, para intentar relacionar uno de los correos obtenido con un alto cargo en la empresa (LinkedIn nos vendrá muy bien, así que si no tienes cuenta create una) e intentar algo de ingeniería social.

Fuente:

welivesecurity.com

hackpuntes.com

noviembre 8th 2016

El troyano bancario TrickBot azota a Europa

Número de lecturas: 797
{lang: 'es-419'}

TrickBot no es un troyano nuevo, ya lleva un tiempo con nosotros.
Y aunque comenzó teniendo como objetivo a bancos australianos, en
relativamente poco tiempo, se han hallado evidencias que apuntan a
bancos de la Unión Europea, incluyendo bancos irlandeses, británicos
y alemanes.

A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados, Entre los bancos afectados, se encuentran:
* Ulsterbank
* Banco de Escocia
* Co-OperativeBank
* RBSIdigital
* LloydsBank
* Barclays Wealth
* NationWide
* TSB
* HSBC
* Coutts
* Bankleumim
* Barclays
* TDCommercialBanking
* ASB
* Suncorpbank
* Commbank
* St George
* Banksa
* Banco de Belmourne
* BankWest
* Westpac
* ANZ
* PNBank
* CitiBank
* CIBC
* Commerzbank
* NAB

Como curiosidades de TrickBot cabe destacar que en vez de usar SHA256, utiliza la CryptoAPI de Microsoft. A diferencia de otros troyanos, no usa comandos desde el bot directamente sino que emplea un programador de
tareas (taskscheluder) a través de COM, de esta forma logra una mayor persistencia. Pero para la comunicación suele usar SSL.

Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.

A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.

Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.

Fuente:

unaaldia.hispasec.com

octubre 28th 2016

10 errores típicos en las auditorías de seguridad

Número de lecturas: 625
{lang: 'es-419'}

En la actualidad los servicios de auditorías de seguridad ya se encuentran completamente instaurados en muchos procesos corporativos y, afortunadamente, en normativas que exigen a determinadas empresas realizarlas en forma periódica. De este modo, este peculiar segmento de la seguridad informática sigue creciendo y captando nuevos profesionales que se dedican a poner en jaque la seguridad de los sistemas adoptando distintas perspectivas.

Sin embargo, como en toda práctica, podrían cometerse algunos errores que podrían poner en riesgo la calidad de los trabajos. A lo largo de este post, haremos un top 10 de las problemáticas o errores más habituales a las cuales comúnmente se enfrentan las personas que realizan auditorías. Si eres nuevo en el mundo del pentesting, te serán muy útiles; en caso de ser un especialista veterano, seguramente te habrás topado más de una vez con un dolor de cabeza ligado a algunas de las situaciones que detallaré a continuación.

Los ítems no están ordenados por criticidad, sino que consultando con varios colegas fueron los puntos que mayor cantidad de coincidencias tuvieron.

1) Confundir el alcance

Es común que los auditores se encuentren trabajando en múltiples proyectos y, a pesar de que esto puede ser apasionante, puede ocasionar que se olviden agregar a las pruebas algunos equipos e inclusive sistemas. También puede ser el propio cliente quien excluya del pedido de análisis un equipo o sistema, por lo que el alcance se debe definir claramente entre ambas parte.

De lo contrario, cometer este error puede ocasionar pérdida de tiempo y recursos en la investigación.

2) Mala ejecución de las herramientas

Este error puede generar resultados imprevistos, como el cierre inesperado de una aplicación, que haría perder toda la información capturada. Por eso, habilitar las opciones de autoguardado es muy importante.

Además, lanzar herramientas sin parametrizarlas correctamente (out of the box) podría impactar en la performance o dejando fuera de servicio tanto al sistema objetivo como el propio.

3) Actualización de las aplicaciones utilizadas durante el análisis

De manera correcta, las herramientas son actualizadas periódicamente; sin embargo en muchas ocasiones una actualización que no haya finalizado de manera apropiada podría dejar inutilizable la aplicación. Es por esto que hacer una actualización en medio de una auditoría podría dejarnos con un reporte por la mitad.

Desde ya, es imprescindible tener las aplicaciones actualizadas, pero lo recomendable es hacerlo antes o después del estudio de campo.

4) Perder excesivo tiempo en busca de la explotación de una vulnerabilidad

Como sabrán, explotar una vulnerabilidad y obtener acceso remoto se siente como haber ganado el desafío. Sin embargo, muchas veces puede ser frustrante no lograrlo. En este caso te recomiendo no centrarte en solo un árbol sino mirar todo el bosque. Es decir, no te detengas demasiado en una falla en particular.

En muchas ocasiones hay más de un vector de ataque y no tanto tiempo para realizar las auditorías, por lo cual no debes centrarte solamente en una vulnerabilidad.

5) No salir de la zona de confort

Es lógico que te sientas cómodo con las herramientas que utilizas siempre, pero incorporar algunas nuevas o inclusive parámetros ignorados te hará encontrar diferentes vectores de intrusión que sumarán una mayor calidad a tus auditorías. No conocer bien las herramientas o ser inexperto en su uso se traducirá en una gran cantidad de horas del proyecto dedicadas a la investigación personal de cómo hacer las cosas.

Investigar con anterioridad acerca de todas las posibles opciones y las nuevas aplicaciones te mantendrá informado y actualizado, lo cual es un requisito fundamental para dedicarte a esta rama de la Seguridad Informática.

6) No evidenciar

Frecuentemente sucede que se dan las condiciones en las cuales podemos obtener el acceso remoto o escalar privilegios en determinado sistema, pero al intentar repetirlo para evidenciar la hazaña en una segunda instancia no se consigue. Como consecuencia, no se puede volcar este resultado en un reporte. No almacenar evidencia correctamente, teniendo solo logs parciales de lo realizado, no alcanzará para armar un reporte de manera efectiva.

7) Incluir directamente la salida de las herramientas en el reporte

A menudo visualizamos reportes de auditorías en donde simplemente se ha copiado y pegado de manera cruda y sin personalizar los resultados obtenidos en una herramienta. En muchas ocasiones lo vemos inclusive en otro idioma y, más allá de que a nivel técnico sea comprensible, es poco profesional, sin valor agregado y habla del poco tratamiento o validación que se le ha dado al resultado.

8) No asegurar la persistencia

Asegurar la comunicación entre el atacante y el objetivo es primordial, pero en ocasiones suele ser tentador intentar escalar privilegios sin antes asegurar la comunicación por medio de la persistencia. Podría pasar que no puedas volver a acceder al sitio al cual querías escalar; por lo tanto, antes de subir un nivel, es recomendable asegurar el acceso.

9) Hacer un reporte desordenado

Estaríamos de acuerdo en que generar el reporte es el proceso menos divertido. Sin embargo debemos entender que al fin y al cabo es nuestro producto final.

En este sentido, ser desprolijo o poco ordenado en los entregables se traduce en una baja calidad de auditoría, lo que ocasionará que el cliente dedique una gran cantidad de horas a tratar de entender lo que se le reporta, o que el auditor las dedique a explicarle todo al cliente.

Para ahorrar ese tiempo, mejor elaborar un informe prolijo y ordenado.

10) No dar referencias

Esta parte de la auditoría es una de las más importantes, principalmente porque podrá ayudar a mitigar el impacto de las vulnerabilidades encontradas, y permite sumar valor agregado al reporte. Sin lugar a dudas, no ayudar a arreglar malas configuraciones o no corregir vulnerabilidades mediante actualizaciones sería un gran error, tanto técnica como comercialmente.

Conclusión

Si bien el pentesting es una apasionante tarea, se debe estar preparado de forma adecuada antes de iniciar un proyecto, tanto con las herramientas técnicas como con las psicológicas, necesarias para tratar con un cliente enfadado por una intrusión en sus sistemas.

Además, se deben respetar ciertos protocolos, como ir vestido de manera formal si la empresa donde se desempeña el cliente tiene ese estilo (por ejemplo, una financiera). De lo contrario, se podría generar una incidencia negativa o despertar sospechas acerca de la seriedad del trabajo realizado.

A lo largo del post desarrollamos algunas de las tantas problemáticas con las cuales la gente de servicios de seguridad o los encargados de IT deben enfrentarse periódicamente.

Fuente:

welivesecurity.com