viernes, 25 de febrero de 2011

Aplicaciones/Servidores para laboratorios de Pentest

En este post voy a presentar algunos recursos útiles para aprender sobre pruebas de penetración y donde utilizar las técnicas y herramientas de explotación en un ambiente legal y seguro. Esta lista contiene un conjunto de LiveCDs y máquinas virtuales deliberadamente inseguras, diseñadas para ser utilizadas como objetivos de ataques de enumeración, explotación web, rompimiento de contraseñas e ingeniería inversa.


Holynix
Similar a los CD's de De-ICE y pWnOS, Holynix es una imagen VMWare de un servidor Ubuntu, construida deliberadamente para tener huecos de seguridad para los propósitos de pruebas de penetración. Es mas una pista de obstáculos que un ejemplo del mundo real.


WackoPicko
WackoPicko es un sitio web que contiene vulnerabilidades conocidas. Fué utilizado inicialmente para la elaboración del paper Why Johnny Can't Pentest: Un análisis de Scanners de Vulnerabilidades Web de Caja Negra.


De-ICE PenTest LiveCDs
Estos LiveCD's son la creación de Thomas Wilhem, quien fue transferido a un equipo de pruebas de penetración en la compañía para la cual trabajaba. En la necesidad de aprender tanto sobre pentesting como le fuera posible, Thomas empezó a buscar tanto herramientas como objetivos. El encontró algunas herramientas pero no encontró objetivos que pudiera utilizar como práctica. Eventualmente, en un intento de reducir la brecha de aprendizaje, Thomas creó escenarios de pentesting utilizando LiveCD's.


Metasploitable
Metasploitable es una imagen VMWare 6.5 de un servidor Ubuntu 8.04. Se han incluido varios paquetes vulnerables, incluyendo una instalación de Tomcat 5.5. (con credenciales débiles), distcc, tikiwiki y un servidor MySQL desactualizado.


Owaspbwa
OWASP Broken Web Applications Project, una colección de aplicaciones web vulnerables.


Web Security Dojo
Un ambiente auto-contenido Open Source, para entrenamiento en pruebas de penetración de seguridad de aplicaciones web. Herramientas + Objetivos = Dojo


Lampsecurity
El entrenamiento LAMPSecurity se encuentra diseñado en series de imágenes de máquinas virtuales vulnerables junto con documentación complementaria diseñada para enseñar seguridad en Linux, Apache, PHP y MySQL.


Damn Vulnerable Web App (DVWA)
Damn Vulnerable Web App (Maldita Aplicacion Web Vulnerable) es en realidad una maldita aplicación PHP/MySQL vulnerable. Sus principales objetivos consisten en ser ayuda para que los profesionales de seguridad prueben sus habilidades y herramientas en un entorno legal, tambien para ayudar a los desarrolladores web a entender mejor los procesos de aseguramiento de las aplicaciones web y ayudar a los estudiantes/maestros en el aprendizaje de seguridad web en los ambientes del salón de clase.


Hacking-Lab
Este es el proyecto Hacking-Lab LiveCD. Se encuentra actualmente en versión beta. El liveCD es un ambiente cliente estandarizado para solucionar los retos del wargame Hacking-Lab mediante acceso remoto.


Moth
Moth es una imagen VMWare con un conjunto de aplicaciones y scripts web vulnerables


Damn Vulnerable Linux (DVL)
Damn Vulnerable Linux  es todo lo que una distribución Linux no es. Sus desarrolladores han invertido horas llenándola con software dañado, desactualizado, mal configurado y explotable, lo que la hace vulnerable a ataques. DVL no esta construida para correr en un sistema real, es una herramienta de aprendizaje para estudiantes de seguridad.


pWnOS
pWnOS también es una imagen VMWare, la cual crea un objetivo con el cual practicar pruebas de penetración; su objetivo final es lograr obtener la cuenta principal de administración (root). Ha sido diseñada para practicar utilizando exploits, con múltiples puntos de entrada. Video.


Virtual Hacking Lab
Un espejo de aplicaciones deliberadamente inseguras y programas desactualizados con vulnerabilidades conocidas. Utilizado para porpósitos de pruebas de concepto y entrenamientos en seguridad. Se encuentra disponible tanto en formatos standalone, imágenes virtuales e imágenes Live-ISO.


Badstore
Badstore.net se encuentra dedicado a ayudarnos a entender como los hackers aprovechan las vulnerabilidades de las palicaciones web y mostrarnos como reducir su exposición.


Katana
Katana es una suite de seguridad de multiple arranque (multi-boot) la cual ofrece muchas de las actuales y mejores distribuciones de seguridad y aplicaciones portables para ser utilizadas desde un dispositivo removible USB. Incluye distribuciones que se enfocan en Pen-Testing, Auditoría, Análisis Forense, Recuperacion de Datos, Análisis de Red y Remoción de Malware. Katana tambien contiene mas de 100 aplicaciones Windows portables; tales como Wireshark, Metasploit, NMAP, Cain & Able y muchas mas.

domingo, 20 de febrero de 2011

Hackers que convierten sitios web al lado oscuro

Tres familias de malware que abusan de la confianza de los usuarios en sitios web "seguros".

Los hackers rastreados por el fabricante de software antivirus Avast! han infectado los sistemas de aproximadamente cinco millones de usuarios que han visitado sitios web que consideraban como seguros.

"El peligro se encuentra en aquellos lugares conocidos y de confianza, esos que se visitan todos los días como parte de una rutina diaria, como el café que tomamos en la mañana", dijo Jiri Sejtko, analista senior de virus en Avast!.

"La gente nos envía denuncias sobre detecciones de falsos positivos, e incluso desactivan la protección de su antivirus para poder realizar sus actividades, luego se arrepienten de haberlo hecho."

Los tres tipos de malware que Avast! cree que hacen parte del "fenómeno de confianza" incluyen la familia III, Kroxxu y JS: Prontexi.

Todos son tecnológicamente diferentes, pero son muy eficaces para atrapar a los usuarios desprevenidos.

"Los chicos malos se mueven en ciclos, la creación de nuevas variantes con el conocimiento adquirido de las generaciones anteriores", agregó Sejtko.

"Cuando llegue un mensaje de alerta de su programa antivirus, no lo ignore."


lunes, 7 de febrero de 2011

Ataques de Ejecución Automática (Autorun) en Linux

Muchas personas piensan que Linux es inmune a los ataques de tipo de ejecución automática (Autorun) que han plagado con malware los sistemas Windows en los últimos años. Sin embargo, han habido muchos avances en la usabilidad de Linux como sistema operativo de escritorio, incluyendo la adición de funcionalidades que pueden permitir ataques de ejecución automática.

Esta presentación realizada en ShmooCon 2011 el pasado 30 de enero, por Jon Larimer de IBM X-Force, inicia con una definición de las vulnerabilidades de autorun y algunos ejemplos en Windows para luego saltar a mostrar el lado Linux de las cosas.

Larimer explica cómo los atacantes pueden abusar de estas funcionalidades para obtener acceso a un sistema en vivo utilizando una unidad flash USB. También muestra cómo USB, como una plataforma de explotación, puede permitir eludir fácilmente los mecanismos de protección como ASLR y cómo estos ataques pueden proporcionar un nivel de acceso que otros métodos de ataque físico no hacen.

La charla concluye con los pasos que los distribuidores de Linux y los usuarios finales pueden tomar para proteger los sistemas contra esta amenaza y evitar una ola de ejecución de malware en Linux.




Tomado de Help Net Security

jueves, 3 de febrero de 2011

Explotación de Redes con Loki en Backtrack R2

Loki es una impresionante herramienta de manipulación de redes a nivel de capa 2/3 creada por Daniel Mende, René Graf y Enno Rey de ERNW. Esta herramienta fué presentada el año pasado durante la realización de BlackHat 2010 (diapositivas aquí). Loki replica parte de la funcionalidad de Yersinia, pero lo hace en un paquete mucho más útil al tiempo que añade soporte para un montón de nuevos protocolos que se encuentran comúnmente en las redes corporativas (protocolos inseguros y vulnerables existentes en muchas redes empresariales).

En este post nos enfocaremos en cómo utilizar con eficacia la poderosa herramienta Loki para aprovechar las fallas de red comunes.


Introducción a Loki:

Loki provee una interfaz gráfica de usuario (GUI) para realizar múltiples ataques a protocolos, permitiéndonos manipular protocolos de red para realizar ataques MITM (Man-In-The-Middle) y otras actividades maliciosas. Los protocolos soportados son:

  • ARP
  • HSRP, HSRPv2
  • RIP
  • BGP
  • OSPF
  • EIGRP [aun no funciona por cuestiones legales]
  • WLCCP [aun no funciona por cuestiones legales]
  • VRRP, VRRPv3
  • BFD (Protocolo de Reenvio Bidireccional)
  • LDP (Protocolo de Diustribución de Etiquetas)
  • MPLS (re-etiquetado, interfaz de tunel)



Con una interfaz bastante fácil de usar, Loki se convierte en una herramienta preferida para la explotación de muchos de estos protocolos, pero más que esto, ofrece una interfaz fiable para la explotación de protocolos que no estan soportados por otras herramientas. Ahora disponemos de una herramienta para inyectar y manipular rutas en entornos OSPF, incluyendo una interfaz para configurar un ataque de diccionario (rápido) en modo offline para MD5.

Desafortunadamente el paquete de Loki aun no se encuentra en los repositorios oficiales de Backtrack,  pero podemos instalarlo de forma manual, en unos sencillos pasos, en cualquier implementación de Backtrack 4 R2 existente (incluyendo máquinas virtuales):

Update 02-07-2011:
Ya se encuentran disponibles paquetes .deb para instalar en Backtrack 4 R2 en la página de Loki


Instalación de Loki:

Para instalar Loki en Backtrack 4 R2 necesitaremos instalar algunos paquetes adicionales, y aplicar un parche al código fuente para hacer que Loki sea compatible con el interprete de Phyton 2.5 incluido en Backtrack 4. Primero, instalaremos varios paquetes requeridos desde el repositorio oficial de Backtrack:

root@bt:~# apt-get update
root@bt:~# apt-get install autoconf automake autotools-dev python-ipy python-libpcap

A continuación, descargaremos el código fuente de Loki y el parche para hacerlo compatible en Backtrack 4 R2. el paquete ya disponible para Backtrack 4 R2.

root@bt:~#wget https://www.c0decafe.de/loki/backtrack4-r2/loki_0.2.5-1_i386.deb


Luego, necesitaremos borrar un módulo de Python que viene incluido pro defecto en Backtrack pero genera conflicto con el módulo python-libpcap requerido por Loki:

root@bt:~#apt-get remove python-pypcap


Ahora debemos descomprimir el paquete y aplicamos el parche instalar el paquete como se muestra a continuación:

root@bt:#dpkg -i loki_0.2.5-1_i386.deb


No fue tan dificil!. Ahora podemos configurar el ambiente de desarrollo para compilar Loki y luego instalarlo:


Utilizando Loki:

Ahora que tenemos Loki instalado en nuestro sistema, podemos ponerlo en uso. Despues de invocar Loki (con el comando loky.py desde la shell), hacemos click sobre el boton de la esquina superior izquierda para invocar la funcionalidad de sniffing de paquetes. A medida que Loki husmea en la red, identificará los protocolos soportados que puede atacar mostrando un parpadeo en la pestaña correspoondiente al protocolo específico. De lo contrario, podremos navegar en las otras pestañas, tales como la pestaña ARP, y hacer click para activar la funcion de análisis (Network Scan) para descubrir objetivos de ataque, tal como se muestra en la siguiente figura:




La funcionalidad de Loki en verdad impresiona, funciona muy bien en la ejecución de actividades de pruebas de penetración (Pentesting) y aunque presenta algunas pocas fallas, estas pueden corregirse fácilmente editando algunos archivos de Python

Un agradecimiento especial para Daniel, Enno y René ({rgraf, dmende, erey}@ernw.de) por poner Loki a disposición de la Comunidad de Software Libre. Los autores de las herramientas no reciben el agradecimiento suficiente por su arduo trabajo, así que por favor consideremos dejar una nota y agradecerles por esta contribución a nuestro arsenal de herramientas de ataque.