Archive for Seguridad Informática

noviembre 10th 2016

Utilizando The Harvester para analizar el riesgo de la información pública

Número de lecturas: 1190
{lang: 'es-419'}

Uno de los problemas más habituales en empresas es la fuga de información. Pero cuando hablamos de ello no solamente nos referimos a filtrado de archivos o información confidencial; existen también, por ejemplo, direcciones de correo electrónico que no deben ser publicadasabiertamente. Esto permitiría a los ciberdelincuentes, de manera fácil y efectiva, enviar ataques personalizados por correo electrónico a todo el personal, aumentando la superficie de ataque y las probabilidades de éxito.

En este post veremos una herramienta que se vale de información pública en buscadores, para encontrar este tipo de información. The Harvester fue desarrollada por Christian Martorella, quien trabaja para la empresa Edge-Security.

Si bien ya hemos visto herramientas para recolección de información como Maltego, en esta entrada veremos otra alternativa libre y gratuita.

Esta tool viene incluida en las distribuciones de Linux tales como Kali y Bugtraq entre otras, y también se puede descargar desde su repositorio en GitHub para su instalación. Una vez realizada la instalación, basta con invocarla desde consola con su nombre para obtener el menú de ayuda.

A continuación pueden ver la ejecución del comando:

Comando: theharvester

01

Como se muestra en la captura de pantalla anterior, permite la ejecución de diferentes parámetros para refinar la búsqueda de información. No entraremos en detalle respecto a cada uno de estos parámetros, ya que el menú de ayuda posee la descripción de la función que ejecutan.

The Harvester puede ejecutarse de forma tradicional por consola, obteniendo resultado en la misma como se muestra a continuación:

04

Aunque una de las funcionalidades más interesantes es que permite exportar los resultados de cada búsqueda a archivos HTML y XML (esto lo realiza agregando el parámetro –f nombre_de_archivo) permitiendo la automatización en procesos de auditoría. Muchas de estas tools admiten importar este formato de archivos para usar sus resultados obtenidos en otras herramientas.

También es muy útil para la elaboración de informes al finalizar dicha auditoría. A continuación vemos una captura de un informe en HTML:

02

En este primer informe, puede verse que en la búsqueda realizada a modo de ejemplo (decidimos preservar la identidad de la empresa por motivos de seguridad) no se encuentran correos electrónicos públicos. Mientras que en la búsqueda que mostraremos a continuación, puede verse claramente que sí, y cuáles son:

03

Si bien hay direcciones que deben ser públicas, normalmente las que corresponden a servicios pensados para la comunidad, hay otras que no deberían estar al alcance de un buscador. El motivo es la seguridad de los datos, naturalmente, pero si todavía te sigues preguntando por qué y cómo el hecho de que sean públicas podría ser un problema, analicemos la siguiente situación:

¿Qué sucede si un cibercriminal decide realizar un ataque dirigido a una empresa?

Imaginemos que en su fase de reconocimiento y búsqueda de información, encuentra pública en Internet una lista con todas las direcciones de correo electrónico de la compañía víctima. Esto le permite crear una lista, a la cual luego podría enviar correo masivamente con algún malwaremediante Ingeniería Social. No olvidemos que el phishing y otras viejas amenazas siguen siendo una preocupación en las empresas.

La superficie de ataque y las probabilidades de tener éxito serán mucho mayores que en los ejemplos mostrados en las capturas, debido a que esto le llegaría a mayor cantidad de usuarios, convirtiéndose en una campaña que podría comprometer la red –solo con que alguien haga clic en el correo equivocado.

Entonces, repasando y resumiendo la situación, aparte de las soluciones de seguridad, políticas y recaudos, es completamente necesaria la proactividad de analizar el nivel y la superficie de exposición tanto de la empresa como de sus usuarios. Como siempre recomendamos, la educación a los usuarios facilitará que estos se conviertan en un aliado y no en el enemigo dentro de la empresa.


Para poner un ejemplo, vamos a buscar información sobre Microsoft, utilizando como fuente Google, para no obtener demasiados resultado, limitaremos la búsqueda a solo 10 emails, procederíamos de la siguiente manera:

Ejemplo de utilización de la herramienta The Hardvester

Ejemplo de utilización de la herramienta The Harvester

Consiguiendo los siguientes datos.

Obtener emails con The Harvester

Obtener emails con The Harvester

Una vez obtenidos estos datos, ya tenemos un punto de apoyo para empezar nuestro ataque (o seguir buscando otros datos de interés como veremos mas adelante), también podríamos buscar un poquito más, para intentar relacionar uno de los correos obtenido con un alto cargo en la empresa (LinkedIn nos vendrá muy bien, así que si no tienes cuenta create una) e intentar algo de ingeniería social.

Fuente:

welivesecurity.com

hackpuntes.com

noviembre 8th 2016

El troyano bancario TrickBot azota a Europa

Número de lecturas: 1337
{lang: 'es-419'}

TrickBot no es un troyano nuevo, ya lleva un tiempo con nosotros.
Y aunque comenzó teniendo como objetivo a bancos australianos, en
relativamente poco tiempo, se han hallado evidencias que apuntan a
bancos de la Unión Europea, incluyendo bancos irlandeses, británicos
y alemanes.

A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados, Entre los bancos afectados, se encuentran:
* Ulsterbank
* Banco de Escocia
* Co-OperativeBank
* RBSIdigital
* LloydsBank
* Barclays Wealth
* NationWide
* TSB
* HSBC
* Coutts
* Bankleumim
* Barclays
* TDCommercialBanking
* ASB
* Suncorpbank
* Commbank
* St George
* Banksa
* Banco de Belmourne
* BankWest
* Westpac
* ANZ
* PNBank
* CitiBank
* CIBC
* Commerzbank
* NAB

Como curiosidades de TrickBot cabe destacar que en vez de usar SHA256, utiliza la CryptoAPI de Microsoft. A diferencia de otros troyanos, no usa comandos desde el bot directamente sino que emplea un programador de
tareas (taskscheluder) a través de COM, de esta forma logra una mayor persistencia. Pero para la comunicación suele usar SSL.

Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.

A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.

Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.

Fuente:

unaaldia.hispasec.com

octubre 28th 2016

10 errores típicos en las auditorías de seguridad

Número de lecturas: 1040
{lang: 'es-419'}

En la actualidad los servicios de auditorías de seguridad ya se encuentran completamente instaurados en muchos procesos corporativos y, afortunadamente, en normativas que exigen a determinadas empresas realizarlas en forma periódica. De este modo, este peculiar segmento de la seguridad informática sigue creciendo y captando nuevos profesionales que se dedican a poner en jaque la seguridad de los sistemas adoptando distintas perspectivas.

Sin embargo, como en toda práctica, podrían cometerse algunos errores que podrían poner en riesgo la calidad de los trabajos. A lo largo de este post, haremos un top 10 de las problemáticas o errores más habituales a las cuales comúnmente se enfrentan las personas que realizan auditorías. Si eres nuevo en el mundo del pentesting, te serán muy útiles; en caso de ser un especialista veterano, seguramente te habrás topado más de una vez con un dolor de cabeza ligado a algunas de las situaciones que detallaré a continuación.

Los ítems no están ordenados por criticidad, sino que consultando con varios colegas fueron los puntos que mayor cantidad de coincidencias tuvieron.

1) Confundir el alcance

Es común que los auditores se encuentren trabajando en múltiples proyectos y, a pesar de que esto puede ser apasionante, puede ocasionar que se olviden agregar a las pruebas algunos equipos e inclusive sistemas. También puede ser el propio cliente quien excluya del pedido de análisis un equipo o sistema, por lo que el alcance se debe definir claramente entre ambas parte.

De lo contrario, cometer este error puede ocasionar pérdida de tiempo y recursos en la investigación.

2) Mala ejecución de las herramientas

Este error puede generar resultados imprevistos, como el cierre inesperado de una aplicación, que haría perder toda la información capturada. Por eso, habilitar las opciones de autoguardado es muy importante.

Además, lanzar herramientas sin parametrizarlas correctamente (out of the box) podría impactar en la performance o dejando fuera de servicio tanto al sistema objetivo como el propio.

3) Actualización de las aplicaciones utilizadas durante el análisis

De manera correcta, las herramientas son actualizadas periódicamente; sin embargo en muchas ocasiones una actualización que no haya finalizado de manera apropiada podría dejar inutilizable la aplicación. Es por esto que hacer una actualización en medio de una auditoría podría dejarnos con un reporte por la mitad.

Desde ya, es imprescindible tener las aplicaciones actualizadas, pero lo recomendable es hacerlo antes o después del estudio de campo.

4) Perder excesivo tiempo en busca de la explotación de una vulnerabilidad

Como sabrán, explotar una vulnerabilidad y obtener acceso remoto se siente como haber ganado el desafío. Sin embargo, muchas veces puede ser frustrante no lograrlo. En este caso te recomiendo no centrarte en solo un árbol sino mirar todo el bosque. Es decir, no te detengas demasiado en una falla en particular.

En muchas ocasiones hay más de un vector de ataque y no tanto tiempo para realizar las auditorías, por lo cual no debes centrarte solamente en una vulnerabilidad.

5) No salir de la zona de confort

Es lógico que te sientas cómodo con las herramientas que utilizas siempre, pero incorporar algunas nuevas o inclusive parámetros ignorados te hará encontrar diferentes vectores de intrusión que sumarán una mayor calidad a tus auditorías. No conocer bien las herramientas o ser inexperto en su uso se traducirá en una gran cantidad de horas del proyecto dedicadas a la investigación personal de cómo hacer las cosas.

Investigar con anterioridad acerca de todas las posibles opciones y las nuevas aplicaciones te mantendrá informado y actualizado, lo cual es un requisito fundamental para dedicarte a esta rama de la Seguridad Informática.

6) No evidenciar

Frecuentemente sucede que se dan las condiciones en las cuales podemos obtener el acceso remoto o escalar privilegios en determinado sistema, pero al intentar repetirlo para evidenciar la hazaña en una segunda instancia no se consigue. Como consecuencia, no se puede volcar este resultado en un reporte. No almacenar evidencia correctamente, teniendo solo logs parciales de lo realizado, no alcanzará para armar un reporte de manera efectiva.

7) Incluir directamente la salida de las herramientas en el reporte

A menudo visualizamos reportes de auditorías en donde simplemente se ha copiado y pegado de manera cruda y sin personalizar los resultados obtenidos en una herramienta. En muchas ocasiones lo vemos inclusive en otro idioma y, más allá de que a nivel técnico sea comprensible, es poco profesional, sin valor agregado y habla del poco tratamiento o validación que se le ha dado al resultado.

8) No asegurar la persistencia

Asegurar la comunicación entre el atacante y el objetivo es primordial, pero en ocasiones suele ser tentador intentar escalar privilegios sin antes asegurar la comunicación por medio de la persistencia. Podría pasar que no puedas volver a acceder al sitio al cual querías escalar; por lo tanto, antes de subir un nivel, es recomendable asegurar el acceso.

9) Hacer un reporte desordenado

Estaríamos de acuerdo en que generar el reporte es el proceso menos divertido. Sin embargo debemos entender que al fin y al cabo es nuestro producto final.

En este sentido, ser desprolijo o poco ordenado en los entregables se traduce en una baja calidad de auditoría, lo que ocasionará que el cliente dedique una gran cantidad de horas a tratar de entender lo que se le reporta, o que el auditor las dedique a explicarle todo al cliente.

Para ahorrar ese tiempo, mejor elaborar un informe prolijo y ordenado.

10) No dar referencias

Esta parte de la auditoría es una de las más importantes, principalmente porque podrá ayudar a mitigar el impacto de las vulnerabilidades encontradas, y permite sumar valor agregado al reporte. Sin lugar a dudas, no ayudar a arreglar malas configuraciones o no corregir vulnerabilidades mediante actualizaciones sería un gran error, tanto técnica como comercialmente.

Conclusión

Si bien el pentesting es una apasionante tarea, se debe estar preparado de forma adecuada antes de iniciar un proyecto, tanto con las herramientas técnicas como con las psicológicas, necesarias para tratar con un cliente enfadado por una intrusión en sus sistemas.

Además, se deben respetar ciertos protocolos, como ir vestido de manera formal si la empresa donde se desempeña el cliente tiene ese estilo (por ejemplo, una financiera). De lo contrario, se podría generar una incidencia negativa o despertar sospechas acerca de la seriedad del trabajo realizado.

A lo largo del post desarrollamos algunas de las tantas problemáticas con las cuales la gente de servicios de seguridad o los encargados de IT deben enfrentarse periódicamente.

Fuente:

welivesecurity.com

octubre 28th 2016

10 gadgets que todo hacker ético necesita en su arsenal de herramientas

Número de lecturas: 1460
{lang: 'es-419'}

En algunas ocasiones, en las auditorías de seguridad, es posible encontrarse frente a un escenario en el cual todo se gestiona correctamente, lo que significa que los parches de seguridad, las políticas, la segmentación de redes, el antivirus y la concientización a los usuarios, entre otros muchos cuidados, estén bien aplicados. Es entonces cuando, para continuar el análisis desde la perspectiva de investigador o consultor de seguridad, la Ingeniería Social y algunas otras herramientas como las que veremos a lo largo del post comienzan a tener un valor más importante, siendo quizá las únicas que permitirán penetrar al sistema objetivo.

Se trata de hardware mayormente diseñado para proyectos o investigaciones de seguridad. A continuación, te presentamos las 10 herramientas que todo hacker ético necesita.

#1 Raspberry Pi 3

Raspberry Pi 3 Model B

Raspberry Pi 3 Model B. Fuente: raspberrypi.org

Estamos ante la tercera generación de estas computadoras de bajo presupuesto, que pueden ser utilizadas con múltiples fines. Un clásico ejemplo en auditorías de seguridad es utilizar una Raspberry Pi con sus baterías apropiadas, una distribución como Kali Linux y aplicaciones como FruityWifi, que se convertirán en la navaja suiza del pentesting.

#2 WiFi Pineapple*

Este conjunto de herramientas para pruebas de penetración inalámbrica es muy útil para distintos tipos de ataques, como ejemplo el clásico Man-In-The-Middle. Mediante una interfaz web intuitiva, permite la conexión con cualquier dispositivo como smartphones o tablets. Se destaca su facilidad de uso, el manejo del flujo de trabajo, la información detallada que brinda y la posibilidad que brinda de emular distintos ataques avanzados, que están siempre a un par de clics de distancia.

Como plataforma, la WiFi piña permite numerosos módulos que se van desarrollando en la comunidad y que añaden características que amplían sus funcionalidades. Afortunadamente, estos módulos se instalan de forma gratuita directamente desde la interfaz web en cuestión de segundos.

Fuente: WiFi Pineapple

#3 Placa de Red Alfa*

Un clásico en cuanto a las placas de Wi-Fi utilizadas para la inyección de paquetes. Se destacan por la calidad de sus materiales, además de utilizar chipsets que permiten ponerlas en modo monitor, lo cual es un requisito para las auditorías inalámbricas.

#4 Rubber Ducky*

Este pendrive “especial” es un dispositivo que funciona como un teclado programado con forma de USB. Al conectarse a un equipo, comienza a escribir en él de forma automatizada para lanzar programas y herramientas que bien pueden estar en el equipo víctima o cargados en la memoria Micro SD que lleva incluida, para sacar información.

Si viste la serie Mr. Robot, recordarás que en la segunda temporada el Rubber Ducky es un aliado fundamental para Angela y la ayuda a obtener las credenciales de acceso de un ejecutivo de E Corp.

#5 Lan-turtle*

Este tipo de herramienta de administración de sistemas y pruebas de penetración proporciona acceso remoto de forma sigilosa, ya que permanece conectado a un puerto USB en forma encubierta. Además, permite la recolección de información de la red y tiene capacidad de ejecutar Man-In-The-Middle.

LAN Turtle

Fuente: LAN Turtle

#6 HackRF One

Esta herramienta implementa un potente sistema de SDR (Software Defined Radio o radio definida por software), es decir, en sencia es un dispositivo de comunicación por radio que implementa el uso de software en lugar del típicamente implementado hardware. De esta forma, es capaz de manejar todo tipo de señales de radio comprendidas entre 10 MHz y 6 GHz desde un mismo periférico, conectable al ordenador a través de un puerto USB.

#7 Ubertooth One

Este dispositivo basa su fuente en una plataforma de desarrollo de código abierto de 2,4 GHz adecuada para la experimentación en Bluetooth, de modo que se podrán apreciar los distintos aspectos en las nuevas tecnologías inalámbricas de este tipo.

#8 Proxmark3-kit

El Proxmark III es un dispositivo desarrollado por Jonathan Westhues que tiene capacidad de leer casi cualquier etiqueta RFID (identificación por radiofrecuencia), así como de reproducirlas o sniffearlas. Además, se puede manejar de modo autónomo, es decir, sin la necesidad de una PC mediante el uso de baterías.

#9 Lock picks (ganzúas)

Estas herramientas son los eslabones principales en materia de lockpicking, es decir, el arte de abrir una cerradura o dispositivo de seguridad física mediante el análisis o manipulación de sus componentes, lógicamente, sin tener la llave original. Existe un gran número de tamaños y formatos o kits, que en muchos casos ayudarán a poner en jaque a la seguridad física.

#10 Teclado keylogger

Un antiguo clásico en la captura de teclas. Este dispositivo se puede conectar vía USB o PS/2 y permite la conexión sigilosa entre el teclado y la PC, capturando todas las teclas utilizadas. Por supuesto, suele ser indetectable para la mayoría de sistemas de seguridad.

Si bien aún estamos lejos de la Navidad, quizá puedas darte el gusto de auto regalarte algunos de estos dispositivos, los cuales sin lugar a dudas te acompañarán en muchas horas de prueba. Pero, en tu próximo pentest, podrían ser la puerta de entrada a un objetivo que parecía impenetrable.

Por otra parte, si tienes en mente visitar el stand ESET en Ekoparty security Conference 2016, encontrarás varios desafíos que te permitirán ganarte algunos de los dispositivos de este listado, los que están marcados con un asterisco (*).

Si crees que hemos olvidado alguno, puedes contarnos en la sección de comentarios cuál es y por qué debería estar en este top 10.

Fuente:

welivesecurity.com