Susto o muerte: Hacking ético o Intrusión

Habeis realizado alguna notificación a terceros de una vulnerabilidad de su web, su

aplicación o servidor ? En mi caso, lo he hecho en dos ocasiones. La primer vez fue tras visitar la web de un grupo de música. Lo primero que me llamo la atención fue la tienda online. Esta tienda permitía comprar productos del grupo ya que la música es gratuita.

Al ver el formulario, ya vi que la seguridad no era su fuerte. Permitía sin casi conocimientos de hacking:

• Fijar tu el precio de los productos mediante manipulación de parámetros (Proxificando).
• Revisar las compras de terceros.
• Ver los pedidos anteriores
• Manipular todo el código de la web para inyectar 

Bien, vista la gravedad de los problemas identificados pensé como notificarlo. Evidentemente no había ninguna opción para notificar un problema de seguridad. De forma que decidí enviar un correo que me respondieron sorprendidos pero agradecidos.

La segunda vez que he notificado vulnerabilidades graves, mi sorpresa ha sido identificarlo en una organización grande con reputados expertos. Evidentemente estos expertos no han participado en el ciclo de desarrollo seguro, ni han realizado ninguna auditoría de seguridad de caja gris.

El asunto es bastante grave porque la información que gestiona tiene precio en el mercado, existe una canal B donde venderla y la impunidad para hacerlo es absoluta. Por otra parte, las diferentes brechas permiten acceder a información critica por una parte pero sobretodo a información especialmente protegida por la agencia española de protección de datos. Aspectos como personas que han sufrido violencia de género, bajos ingresos, minusvalias... Etc.

La respuesta a la notificación, que moralmente debía hacer, pero que sabia que iba a causar malestar en la organización, fue políticamente correcta inicialmente. No proporcione los posibles vectores de ataque y el resultado hasta que estuve seguro que proporcionaba la información a personal interno y no a una tercera empresa que gestionaba el contacto center.

La respuesta a este segundo mensaje tardo en llegar. Además de la respuesta institucional, incluía un aviso para navegantes. En concreto me recordaba la política de uso y que existían sanciones para los infractores. Supongo que era una forma de solicitar que no comprobase ningún vector adicional. En uno de esos paragrafos hacia mención de que tenían identificados los vectores menos importantes y minimizaban los graves con un argumentaría propio de tertulianos de un canal de entretenimiento.

http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted

Resumen: Es cuestión de tiempo que tengan un incidente grave de seguridad al tener muchos atacantes con motivación económica que pueden acceder a sus plataformas y en segundo lugar, por la gravedad de las brechas y la facilidad de explotarlas (5 minutos).

Hacker de película

Un compañero me habló de esta web, pero la verdad es que la idea es muy divertida.  Emular el comportamiento de un hacker de película. Por supuesto con final feliz.

http://hackertyper.net
Prueba la web, hay varios trucos, como por ejemplo: Intento de hacking detectado!!!!
Robclav

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

Core Security: Comparativa 2012 de Vulnerability Assesment(Hacking)

¿Qué sistemas automátizado de Hacking ético es el mejor del mercado? ¿Es Core Impact un buen producto? Bien, pues contestando a un buen amigo que me pide opinión del producto VA Core Security, sí, es un buen producto. Es más se trata del segundo fabricante de un producto orientado a la auditoría de seguridad automatizada. El segundo (ficticio) es McAfee, pero hay que aclarar que es la suite de assement integrada con el Policy orchestrator. Vaya que lo mismo que te hace el inventariado y te desplega políticas de antivirus, te analiza el estado de los dispositivos. Dicho de otra forma, es una orientación para el departamento informático de un cliente final y no para integradora.

El número uno Qualys, ya lo conocemos en modo appliance y en modo SaaS. En las dos integradoras Gold Parnter de Cisco que trabajaba, se utilizaba. Como todo depende de como lo configures, pero un buen producto.

Por otra parte, Qualys y Core security, comparten una orientación a integradora. Pero leyendo el informe de Gartner y viendo las funcionalidades del segundo parece que está más enfocado a la parte de móviles que no el primero. Diferencia muy importante.  Y segundo parece una empresa con un perfil más agresivo-intrusivo, de forma que sus objetivos en la auditoría son más ambiciosos.

Comparativa VA Gartner

Resumen, Core Impact es un visionario tipo Paloalto en los NGN, y Qualys sería un producto maduro y poco más conservador.

hth,

Robclav

Juniper compra el mejor WAF según mi clasificación 2011

Hace casi un año que hablaba de este producto con un concepto disruptivo. LA MEJOR DEFENSA ES UN ATAQUE. Pues eso, a continuación dos LINKS a mis entradas donde lo posicioné como el mejor waf y la descripción de producto.

1. Descripción de Mykonos software 
2. Mi clasificación de los mejores WAF 2011

La introducción a la tecnología según el MIT:

mykonos software by tecnology review


RobClav

Explicación de Hacking hoy, como si lo hiciera Buenafuente

Es el mejor vídeo(y más divertido) que he visto desde la canción de IPV6. Chema Alonso, especialista en seguridad informática explica de forma sencilla y mordaz las claves principales del hacking hoy. Desde quién realiza los trabajos, a quién lo paga, quién los recibe, como se hace...IMPECABLE. Si no tienes mucho tiempo empieza a partir del minuto 11.

Os recomiendo el trozo donde disecciona la estructura del negocio, gobiernos y la explicación de la operación Aurora, y la infección de los sistemas SCADA que controlan las infraestructuras críticas del país.

Por cierto, esta captura de imagen, me recuerda a Messi  el día de la celebración de liga que iba "contento" Gracias Manel Saperas por el vídeo. UPDATE 9-02-2012:Otras presentaciones buenas de seguridad
Robclav

Objetivos de Anonymous: Low Orbit Ion Cannon

Hace unos días que un "grupo de Anons" han vuelto a reivindicar su malestar mediante la revelación de información de personas asociadas a la ley SINDE (hermana pequeña de SOPA). En todo esto, se ha fijado una serie de objetivos consecutivos vía IRC, y nombrados en la WEB oficial de Anonymous que podéis ver en su blog: Blog oficial de Anonymous .
Con todo esto han publicado datos personales de personas como primera fase se los ataques previstos para "los objetivos".Cyberresistencia o Error
La pregunta es obligada, ¿quién influye en este grupo? ¿Qué pasa nada si alguien daña a menores que vivan en esas casas? ¿Y si detrás de los miembros más activos hubiesen servicios de inteligencia diversos con otras finalidades?


No negaré que he utilizado MegaVideo como el 90% de los usuarios activos de la red, y considero que es un abuso la publicación indiscriminada de contenidos. Ahora bien, hemos llegado a esta situación por el abuso de algunas empresas. Pero estoy convencido que se puede llegar a un punto medio sin llegar a movilizar a ejércitos de Anons con LOIC para atacar con DDOS a organizaciones. 


Volviendo a la parte técnica, comentar que LOIC no deja de ser un trojano zombie, para realizar DDOS dirigidos desde un IRC. Contramedidas recomendadas, Balanceadores de carga con comprobación de inversa de camino, IPS con firmas anti-DDOS en función de patrón y en caso de operadoras, cortar las aplicaciones de IRC.


Así que, como nota mental apuntar que si toda esta gente se dedicase a sacar una aplicación tipo spotify pero en vídeo, ayudarían más a la difusión de la cultura que publicando información privada.
Por otra parte, esta gente que esta siendo atacada protege en cierta medida el arte, a diferencia del objetivo de las agencias de calificación, bancos o brokers.  Sea como sea, ciertas supuestas acciones buenas, quizás no lo son tanto.
Behave,
RobClav

Cyberwarfare, Counter-hacking appliance de Mykonos Software

¿Cuántos de nosotros nos hemos encontrado con una infraestructura bajo ataque? ¿Y cuales son nuestras herramientas actuales?

Bien, una vez nos encontramos con un cliente con problemas de denegación de servicios o con un ataque deliberado de forma inteligente contra sus recursos, ¿que solemos hacer? Mitigación del problema o activar contramedidas de medio pelo.


1.-Activar restricciones en las conexiones nuevas (TCP Syn), inicialmente para todos los usuarios.
2.-Detectar las redes origen, y a poder ser las regiones parar incluirlas en una lista negra.
3.-Activar, las firmas IPS de los sistemas intermedios y activar el registro de los servicios atacados.
3.-Avisar a la operadora, para que a su vez, limite ese tráfico.


Pero todo esto, al final es como recibir una bofetada en la cara y apretar los dientes. 

Existe un producto de Mykonos Software que, es el primero que empieza a recorrer el camino de la autodefensa en al red. Es un appliance que permite, reconocer los atacantes y sus métodos y en principio, defenderte activamente. No obstante, en los siguientes días espero conocer algo más que el datasheet. http://www.mykonossoftware.com/appliance.php

Sin disponer de este appliance, existen servicios de emergencia de respuesta temprana que pueden realizar estas tareas por ti. ¿Pero en que se fundamentan estos servicios?

En las leyes que nos rigen, si eres atacado puedes defenderte. Es el mismo concepto de autodefensa que se utiliza habitualmente fuera de internet.
Bien, pues actualmente se están desarrollado diferentes plataformas que permiten exactamente eso. Defender tu infraestructura de forma activa, o dicho de otra manera. Atacar a las redes o equipos que te atacan, pero previamente se tienes que poder demostrar que tu has avisado a los administradores de la infraestructura de tu defensa con un correo o notificando el ataque mediante tu CERT.


Esta defensa puede pasar, por principalmente inyectar cambios es sus DNS de forma que la mayoría de ordenadores zombies, controlados remotamente, ataquen al atacante. También para que el atacante, pierda el control sobre los zombies o para simplemente, ambas cosas.
Otra acción, es inundar la red de la operadora que permite ese tráfico con tráfico simulado. De forma que por sus propias políticas de QoS, al llegar al máximo permitido de conexiones o ancho de banda corte el ataque.


Y como última opción, automatizar el proceso de detección y explotación de vulnerabilidades y hacer caer sus sistemas.


Seguro que las empresas, que tienen todos sus activos en la red, empiezan armando sus defensores con herramientas de defensa activa, como la que os comentaba.
HTH,
Robclav