Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...

martes, 26 de julio de 2011

Cyberwarfare, Counter-hacking appliance de Mykonos Software

¿Cuántos de nosotros nos hemos encontrado con una infraestructura bajo ataque? ¿Y cuales son nuestras herramientas actuales?

Bien, una vez nos encontramos con un cliente con problemas de denegación de servicios o con un ataque deliberado de forma inteligente contra sus recursos, ¿que solemos hacer? Mitigación del problema o activar contramedidas de medio pelo.


1.-Activar restricciones en las conexiones nuevas (TCP Syn), inicialmente para todos los usuarios.
2.-Detectar las redes origen, y a poder ser las regiones parar incluirlas en una lista negra.
3.-Activar, las firmas IPS de los sistemas intermedios y activar el registro de los servicios atacados.
3.-Avisar a la operadora, para que a su vez, limite ese tráfico.


Pero todo esto, al final es como recibir una bofetada en la cara y apretar los dientes. 


Existe un producto de Mykonos Software que, es el primero que empieza a recorrer el camino de la autodefensa en al red. Es un appliance que permite, reconocer los atacantes y sus métodos y en principio, defenderte activamente. No obstante, en los siguientes días espero conocer algo más que el datasheet. http://www.mykonossoftware.com/appliance.php


Sin disponer de este appliance, existen servicios de emergencia de respuesta temprana que pueden realizar estas tareas por ti. ¿Pero en que se fundamentan estos servicios?


En las leyes que nos rigen, si eres atacado puedes defenderte. Es el mismo concepto de autodefensa que se utiliza habitualmente fuera de internet.
Bien, pues actualmente se están desarrollado diferentes plataformas que permiten exactamente eso. Defender tu infraestructura de forma activa, o dicho de otra manera. Atacar a las redes o equipos que te atacan, pero previamente se tienes que poder demostrar que tu has avisado a los administradores de la infraestructura de tu defensa con un correo o notificando el ataque mediante tu CERT.


Esta defensa puede pasar, por principalmente inyectar cambios es sus DNS de forma que la mayoría de ordenadores zombies, controlados remotamente, ataquen al atacante. También para que el atacante, pierda el control sobre los zombies o para simplemente, ambas cosas.
Otra acción, es inundar la red de la operadora que permite ese tráfico con tráfico simulado. De forma que por sus propias políticas de QoS, al llegar al máximo permitido de conexiones o ancho de banda corte el ataque.


Y como última opción, automatizar el proceso de detección y explotación de vulnerabilidades y hacer caer sus sistemas.


Seguro que las empresas, que tienen todos sus activos en la red, empiezan armando sus defensores con herramientas de defensa activa, como la que os comentaba.
HTH,
Robclav













0 comentarios

lunes, 25 de julio de 2011

Hacking Facebook, 100€ por contraseña




No, no estamos ampliando nuestro catálogos de servicios, es algo que todo el mundo sabe que se hace, pero nadie explica como.  Esto sin tener las facilidades de tener el usuario en tu red, y utilizar "kain" o sniffers generales.
Es verdad, que antes las estrategias eran más sofisticadas, como crear una aplicación para facebook. Esperar  que la gente se agregase tu aplicación y mediante las condiciones ya te autorizaba a conseguir la   información, otra vía era aprovechar un fallo de seguridad de una de estas aplicaciones y obtener esta información.

Ahora es mucho más sencillo, engañas al usuario: 
  1. Te bajas el frontal de la web entera de Facebook.
  2. Haces un par de modificaciones en el código, para que te envíe la información de la cuenta. Publicas la web, con una cuenta "anonyma".
  3. Le envías al usuario objetivo, un correo de parte de FB con tu enlace.
  4. El usuario se valida en tu web, obtienes su usuario y password, y luego lo rediriges a la web correcta como si se hubiese equivocado la primera vez.



Ahora el paso a paso for dummies. Este contenido solo es para prevenir a nuestros conocidos de este mecanismo, bajo ninguna circunstancia es para que lo utilicéis.


Enlace de la web de donde he obtenido la información:

1.-Te bajas el frontal de la web entera de Facebook.

2.-Haces un par de modificaciones en el código, para que te envíe la información de la cuenta. Publicas la web, con una cuenta "anonyma".


First of all open www.facebook.com in your web browser, from “file” menu select “save as” and type “Facebook” in file name and select “web page complete” from save as menu. Once done you will have a file named “Facebook.html” and a folder named “Facebook_files”. Folder will have several files in it, let them as it is and open Facebook.html in notepad or word-pad. From edit menu select find, type action in it and locate following string.





Now save it as mail.php and create an empty log.txt file. Now you'll need a free web hosting service that supports PHP. Go to http://www.100best-free-web-space.com/ and select service and plan that suits you. Now in root folder of your website create Facebook_files folder and upload all files in Facebook_files of your hard disk to it. Come back to root folder and upload Facebook.html, mail.php and log.txt in it. Change permission for log.txt that it can be seen by administrator only. Once done make Facebook.html your index page and make site live.



Now sign up with http://www.hoaxmail.co.uk/ it provides spoofed email service. 

3.-Le envías al usuario objetivo, un correo de parte de FB con tu enlace.
Now create a message from support@facebook.com to your victim.

Sub: Invalid activity on your facebook account

Body:
Dear facebook user (victim's facebook user name),
Recently we saw some suspicious activity on your account, we suspect it as a malicious script. As a valuable user to us we understand this might be system error, if the activity is not generated by you then please log-in to your account by following link,
Failing to log-in within next 48 hours Facebook holds right to suspend your account for sake of privacy of you and others. By logging in you'll confirm it is system error and we will fix it in no time. Your inconvenience is regretted. Thank you.

support@facebook.com,
Facebook, Inc,
1601 S.California Ave
Palo Alto CA 94394
US

4.-El usuario se valida en tu web, obtienes su usuario y password, y luego lo rediriges a la web correcta como si se hubiese equivocado la primera vez.


If your victim is not security focused, he/she will surely fall prey to it. And will log-in using phished site handing you his password in log.txt file. Pleas note that you must use that email id of victim which he/she uses to log in facebook. If you are in his/her friend list then click on information tab to know log-in email ID.

Facile e divertente
RobClav
0 comentarios

jueves, 7 de julio de 2011

Preparando el CCIE R&S Parte II

Una vez tenemos claro a que nos enfrentamos, ¿por donde empiezo?:
  1. Entiende y aprende al 120% a nivel teórico el blueprint. Puedes empezar con la guia oficial CCIE Routing and Switching Certification Guide (version 4 o superior)
  2. Apúntate al grupo de estudio de CCIE, www.groupstudy.com. Y contesta a todas las preguntas que seas capaz. Esto te dará una métrica objetiva de tu conocimiento. Si no puedes contestar a todas las preguntas, no estas preparado.
  3. Compra las guías de estudio y laboratorios de ejemplo de www.ine.com. Son los mejores, pero también hay otros muy buenos como ipexpert.com, o micronicstraining.com.
  4. Alquila laboratorios online, y complementa tu formación con la emulación de hardware dynamips.
  5. Haz un par de laboratorios evaluados por alguno de estos centros de formación. También conocerás lo que se puntúa y lo que no.
  6. Recuerda, en el examen, no hay puntos parciales si un apartado se puntua con 4 puntos, y te equivocas en un subapartado, significa 0 puntos. 
  7. Por otra parte, si te equivocas en un ejercicio inicial que impide la conectividad básica, como se corrige por script, el resto de ejercicios pueden ser correctos desde el punto de vista de configuración, pero serán 0 puntos, y examen failed.
  8. Busca un blueprint expandido, y estudia directamente de la web o de jeffs doyles, todo aquello que no entiendas y no puedas configurar de memoria.
  9. Prueba todos los comandos y opciones. Aprende a validar las configuraciones con debugs o cualquier otra herramienta.
  10. Acostúmbrate a reiniciar los equipos cada 4 horas y guarda compulsivamente.
  11. Antes de iniciar cada lab, comprueba las configuraciones iniciales y guardalas en un notepad.
  12. Importante, los cambios sobre el blueprint anterior parecen mínimos: IOS firewall yMPLS , pero no lo son. Se ha restructurado todo el examen, de forma que la parte considerada como core antes 60% , ahora es un 20 % del examen.
Es un juego, un tipo de puzzle donde todo encaja. Disfrútalo.
robclav
0 comentarios

miércoles, 6 de julio de 2011

Preparando el CCIE R&S Parte I

Estos días estoy recibiendo consultas relacionadas con la preparación del examen práctico(Laboratorio) del programa de Cisco Certified Internetwork Expert.


Antes de nada comentar unas cuantas cosas, yo preparé la versión 3 del "LAB" correspondiente con routing y switching.
Pero sigo en el foro de estudio y tengo colegas que están preparándolo. Así que os los comentarios que os dejo son para la versión del 2011 (v4), para el camino clásico del CCIE, routing y switching.


Conceptos básicos para entender el examen:

  • No existen formulas mágicas ni atajos, se trata de estudiar, estudiar y estudiar.
  • La certificación de CCIE esta compuesta de dos partes:
    •  Examen teórico clásico de prometric o VUE, donde entra el 80% del contenido requerido para la parte de laboratorio. Así que no se trata de aprender los timers, pero si entender todo al 120%. Se puede hacer desde vuestro centro habitual de certificaciones.
    • Examen práctico, que no tiene nada que ver con ningún examen convencional de certificaciones.  Se realiza en una sede de CISCO, en Europa se realiza en Bruselas, junto al TAC.
  • La parte práctica es un examen divido en dos partes, dos horas de resolución de problemas en un entorno desconocido de hasta 40 equipos interconectados de cualquier forma. Aquí, los equipos están previamente configurados y tiene 10 problemas a resolver o tiquets.
  • La segunda parte del laboratorio dura 6 horas, en las que nos pedirán que configuremos 10 equipos, con todo lo que incluye el actual Blueprint.www.cisco.com/go/ccie
  • No existen requisitos previos a cumplir, como disponer del CCNA o CCNP. PERO, si no tienes los conocimientos consolidados de un buen CCNP, olvídate.
  • La gestión del tiempo, es tan importante como el conocimiento.


  • El exámen empieza a las 08:00, así que te levantas a las 06:30 y tienes una hora para estar en CISCO. Te identifican como estudiante del CCIE, y a las 07:45 el PROCTOR sube a todo el mundo a la sala. Allí pasan lista, y te asignan ordenador(y conjunto de lab). Antes de daban un dossier con tu examen. Ahora comentan que todo lo tienes en el ordenador, diagramas, preguntas, acceso al LAB.  Te proporcionan unas cuantas hojas para realizar tus diagramas, apuntar las preguntas con dudas o hacer cálculos. Se tienen que devolver todas.
  • En la misma sala, hay gente "atacando" el ccie de R&S, de seguridad, service provider, wifi o TELEFONIA IP.
  • Eso implica muchas cosas, pero la más importante es que hay mucho ruido en la sala. La gente teclea como locos desde el principio(estos no aprueban), el proctor va comentando aspectos como los 30 minutos para la comida o la listas de cosas permitidas y no permitidas. Por ejemplo, no se puede utilizar direcciones nuevas si no esta permitido explícitamente pero si se permite reutilizar la ip de otra interfaz mediante ip unnumbered.
  • La documentación de CISCO está disponible en todo momento, así como la posibilidad de ir al servicio y el acceso a la comida y la bebida gratuita. Os recomiendo, no tomar redbull....
HTH
robclav
0 comentarios

domingo, 3 de julio de 2011

OT: La verdad de la SGAE, porque la red tiene memoria.

Para aquellos de vosotros que no conozcáis la Sociedad General de Autores y Editores SGAE(España) haré una pequeña introducción.
La SGAE es un organismo de defensa y representación de un grupo de artistas:músicos, compositores, guionistas y pintores. Es una empresa privada, dotada de herramientas de organismos público para requerir impuestos por la utilización de las obras. Evidentemente, este tipo de organizaciones tienen que existir como cooperativas o soporte a los artistas.

  • Donde está el problema?

Hay muchos y muy variados, y existen cientos de páginas que explican al detalle los mismoswww.internautas.org. Simplemente tres o cuatro aspectos controvertidos serían:

  1. Se erigen en representación de todos los artistas y solo tienen un porcentaje del total.
  2. Sus estatutos son oscuros y orientados a una oligarquía que se reparte el 80% del beneficio. Y parece que de formas no conforme a la ley.
  3. Extorsionan para cobrar sus tributos sin ningún tipo de miramiento. De los conciertos benéficos, de las representaciones teatrales de los niños de los colegios, de una peluquería con una radio a pilas, vamos son capaces de quitarse el biberón a un bebe....
  4. Cobran 5x por el mismo concepto. Una canción, se paga por la descarga, por el ordenador, por el cd, por el mp3 que lo reproduce y finalmente al local donde se escucha. Es como si nosotros por un diseño de una red, cobrásemos por hacerlo, por imprimirlo, a quien lo envía por correo y a quien lo lee. 



Bien, pues ocho de su principales dirigentes han pasado la noche en prisión. Parece que les acusan de apropiación indebida y administración fraudulenta.La denuncia la interpuso la asociación de internautas.
Así que parece que la red, a día de hoy, representa una democracia real.


buenas noches y buena suerte,
robclav




0 comentarios
Suscribirse a: Entradas (Atom)