Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

Abr
07

Hace un tiempo atras lei sobre esta herramienta y me pareció interesante para analizar en cuanto tuviera un tiempito, y ese momento ha llegado…

Básicamente se trata de una herramienta escrita en Python que a través de la API del buscador de Microsoft, BING, intenta encontrar los múltiples Virtual Host que pueden coexistir en un servidor web, o incluso los dominios diferentes que pudiesen existir en el mismo.

Lo primero que debemos hacer, luego de descargar la herramienta del sitio de su creador ( WebSearch ), es asignarle permisos de ejecución al archivo de la forma que mas les guste y en teoría ya estamos listos para ejecutarlo, pero si lo hacemos nos encontraremos con un mensaje como el siguiente:

Picture 7.png

Esto sucede por dos motivos principales, nos esta faltando el modulo pybing y a su vez no hemos cargado nuestra API de Bing en la aplicacion. Veamos como se hace:

1) Conseguir la API de Bing,

La verdad no es para nada complicado,

– Acceder a http://www.bing.com/developers

– Seleccionar Create an AppID

– Esto último los llevara a un sitio de registro para el cual deben contar con una cuenta de Windows Live ID o crearse uno.

– Completar los datos de la aplicación que están “desarrollando”

– Aceptar los términos y finalmente en pantalla les aparecerá la API buscada.

Luego de los pasos en el sitio de Bing debemos editar el archivo de nuestra aplicación WebSearch.py, buscar ‘CHANGEME’ y reemplazarlo por el valor de la API que hemos obtenido dejando las comillas.

Picture 5=2.png

2) Instalar el modulo pybing

El modulo puede ser descargado de la web http://code.google.com/p/pybing/  pero realmente la forma mas sencilla de instalarlo es por consola ejecutar el comando:

#easy_install pybing

Picture 8.png

con estos simples pasos, la herramienta esta lista para ejecutarse en nuestro BT4 Final. La forma de ejecución es citando el rango de red deseado:

#./WebSearch.py 200.x.x.0-200.x.x.255

Picture 10-2.png

en ese momento la herramienta comienza a comprobar IP por IP todos los Virtual Host y/o dominios existentes para cada una de ellas

Picture 11-2.png

Algo que me produjo confusión en las primeras ejecuciones de esta herramienta, fue el numero entre ( ) ya que no coincida en muchas ocasiones con el numero de Virtual Host y/o dominios detectados, pero la explicación de esto se debe a que en realidad dicho numero representa la cantidad de entradas existentes en el Cache de Bing y no tiene relación directa con lo que queremos realmente averiguar.

Como en muchas ocasiones solemos encontrarnos con casos donde tenemos una IP pero no tenemos datos de los Virtual Host o dominios diponibles en ella, las herramientas de análisis de vulnerabilidades pueden no encontrar nada que testear mas que temas de infraestructura (sistema operativo, webserver, versiones, etc) pero al nosotros darles las url de cada una de las aplicaciones publicadas las pruebas cambian y mucho por los Webapp Testing. Muchas empresas utilizan los Virtual Host para publicar diferentes ambientes a Internet, pensando que no hay forma de descubrirlo, y creo que sobre este tipo de practicas basada en la seguridad por oscuridad en el 2010 no necesitan comentarios adicionales, no?




Mar
16

Aproximadamente desde que salió este Framework lo vengo siguiendo de cerca, asombrado con la evolución que ha tenido en tan corto tiempo y la eficacia lograda en el ataque.

SET es el Framework mantenido por la gente de http://www.social-engineer.org, escrito por David Kennedy, desarrollado para bajar a tierra una forma de ataque basada en la Ingeniería Social. Este Framework que puede descargarse desde el sitio mencionado o que ya se encuentra incluido en BackTrack 4.0 Final, se integra directamente con Metasploit para perfeccionar su ataque.

Al ejecutarlo, por linea de comando, nos aparece un menú dandonos una serie de opciones interesantes:

1) Spear-Phishing (e-mail) Attacks
2) Website Attack Vectors
3) Update The Metasploit Framework
4) Update The Social-Engineer Toolkit
5) Create a Payload and Listener
6) Helps, Credits, and About
7) Exit The Social-Engineer Toolkit

sin embargo, en este post solo nos concentraremos en segundo de los ataques. Esta herramienta nos permite de forma muy sencilla seleccionar un objetivo que atacaremos enviandole un correo, clonar el Sitio que puede resultar tentador para la víctima (o generar uno nuevo), y ejecutar código malicioso en la víctima al momento de ingresar.

Seleccionando la opción 2), nos encontramos ahora con un menú que nos ofrece la posibilidad de que el Framework cree el sitio con código malicioso por nosotros, clonar uno existente, o importar un website que hayamos diseñado para este ataque en particular.

Seleccionamos nuevamente la opción 2 (Clone and Setup a fake website), y a partir de ahora seleccionamos el tipo de ataque que deseamos realizar:

The Java Applet Attack Method: lo cual requiere que nuestra victima este ejecutando Java en su navegador, lo que implica que en la etapa de recoleccion de informacion, me haya encargado de detectar que este presente.

The Metasploit Browser Exploit Method: donde basicamente el framework ejecuta todos los exploits disponibles en el Metasploit para el navegador utilizado por la victima. Para esto debe tenerse instalado Metasploit en el equipo, actualizado obviamente y a su vez, la victima deberia estar ejecuntando una version del navegador vulnerable.

En nuestro caso, seleccionamos el método del Applet de Java, por lo cual el paso siguiente es crear los valores del Applet para que cuando la víctima acceda vea los datos de un Applet firmado falsamente por una empresa conocida, como por ejemplo SUN, Microsoft, etc. El wizard del Framework es realmente muy intuitivo.

A partir de allí se nos solicita un dato fundamental: la web que queremos clonar, para lo cual debemos colocar la URL completa. Luego seleccionamos el tipo de Payload a utilizar, al estilo Metasploit, por lo cual podríamos elegir por ejemplo Windows Reverse_TCP Meterpreter y a su vez el encoder con el que vamos a trabajar a fin de evadir los controles del Antivirus, en nuestro caso seleccionamos la opción 2 nuevamente, shikata_ga_nai y solicitamos que realice el proceso por 4 veces al menos.

Seleccionamos en que puerto queremos que el framework levante el sitio y quede a la escucha, por ejemplo el puerto 80

Seleccionamos si queremos que los Payload sean generados para Linux y para MacOS, y en caso de así desearlo, seleccionamos en que puertos escuchara para esas aplicaciones (por ejemplo 8080 para OSX y 8081 para Linux).

Luego, SET nos propone iniciar un servicio de Sendmail para enviar los correos a nuestras víctimas, pero si seleccionamos NO, nos aparece un nuevo menú que nos ofrece enviar ataques masivo o particulares. Si seleccionamos la opción particular (E-mail Attack Single Email Address), el framework nos solicita especificar la dirección de correo de nuestra víctima, y luego nos pregunta si usaremos Gmail para enviar el ataque o nuestro propio servidor de correo electrónico. En cualquiera de los casos, los próximos pasos serán completar los datos de nuestra cuenta, el subjet del mail y por el ultimo el texto del mail con el engaño y el link al webserver que hemos levantado para que nuestra víctima caiga en la trampa. Obviamente, en un ataque real, en vez de poner el link apuntando a nuestro webserver, por lo general lo ponemos a un dominio gratuito que primero redirecciona a la víctima hacia nuestro equipo para que nosotros le mostremos la web clonada y luego lo redireccionemos al sitio real.

Hecho esto, SET se conecta a nuestra cuenta, envía el correo y nos deja una sesión de Meterpreter a la espera de que nuestra víctima haga click… el resto es historia conocida 😛

Feb
15

Hace un tiempo abrí este blog un poco obligado por un amigo, lo cual se noto en el rápido abandono del mismo. La falta de tiempo por mi trabajo y por motivos personales hicieron que realmente no le preste atención a este recurso. Sin embargo, durante el 2009 pasaron muchas cosas que me han hecho replantear este blog, pensé en comenzar uno nuevo, pero finalmente estoy aquí enfrentando el viejo y abandonado para volverlo mas útil.
Por que empezar de nuevo? va… porque empezar a escribir en el blog? porque la experiencia de haber escrito un libro me gusto mucho, y me hizo pensar en lo útil que podría ser para con la comunidad escribiendo unas pocas lineas por semana. Por eso, he aquí mi desafío personal. Escribir al menos un post por semana, algo tranquilo pero útil. No se si podré lograr este objetivo, pero vale la pena intentarlo.
Espero que lo que escriba les sirva.
Saludos a todos y gracias por leer este post.

Jul
24

Junto a Eze escribimos hace un tiempito, el primero de nuestros articulos referidos a Seguridad en los Dispositivos Moviles,  en donde dimos una introducción sencilla a las distintas tecnologías y a algunos de sus riesgos.  Este articulo también fue publicado en Hakin9, y estamos esperando tener el tiempo suficiente para escribir la continuación de este articulo 😛

Espero que les guste,

Paper Seguridad en Dispositivos Moviles-Smartphone y PocketPC

Jul
24


Aquí les dejo un pequeño Paper referido a la Seguridad de las Smart Cards.   Este articulo fue publicado en la Revista Hakin9 hace un tiempo atras.  Espero que les guste:

Smart Cards Security

Jul
24

Hola a todos !!

Tengo un amigo que no me iba a dejar tranquilo hasta no postear mi propio blog, asi que acá estoy…

Realmente espero que este espacio sirva para colaborar con la comunidad de Seguridad de la Información y a su vez que pueda ser usado para transmitir un mensaje a aquellos que no estan relacionados a la tecnología.

Saludos y gracias por visitar este Weblog.

Claudio B. Caracciolo

CEH-MCSE-ASE-CATE