Hola a todos, en la entrada anterior hablamos sobre las jaulas de faraday y como lo prometido es deuda, anoche me puse en ello y a grabarlo entonces se tuvo un resultado, no es tan profesional pero se realizo la prueba respectiva, haciendo uso de papel estañado lo vemos a continuación la PoC.

-___- NO se porque hasta ahora Youtube no me da luz verde, cuando ande, arriba actualizo.
Al encontrarse bloqueado el teléfono no se realiza el cambio a modo Avión lo cual nos permitiría evitar la comunicación del teléfono así que en este caso para determinar que hizo Pepito debemos de romper el bloqueo del mismo, para ello es necesario conocer los diferentes tipos de bloqueo.

Tipos de Bloqueo

  • Bloqueo por Patrón


El bloqueo por patrón es el mas conocido y usado el cual debe de tener como mínimo 4 conexiones vi a algunos que hacen uso de todos :| si me sorprende, hasta note que se olvidaron dicho Patrón xD y toca probar y probar. La desventaja de esto es que tenemos 5 intentos de ahí nos da un tiempo de espera para intentar y nuevamente a lo mismo pero tras un numero de intentos el teléfono es bloqueado.

  • Facial


El bloqueo facial es el que los teléfonos de ultima generación cuentan, lo cual consiste en desbloqueo del dispositivo con tu mejor perfil, un poco complicado el de saltarnos este tipo de bloqueo no? .. A no ser con alguna foto del usuario ? :) se hará la prueba respectiva después.

  • Código PIN

El otro tipo de bloqueo es por medio de un PIN el cual cuenta con 4 dígitos, a si también el de una frase algo mas complicado por decirlo así.

Técnicas para evadir la protección

Bueno ahora debemos de conocer las técnicas para evadir la protección cabe resaltar que si conocen otras indiquen en los comentarios que ayudaran bastante!


  • Smudge Atack


Esta técnica es usada gracias al aceite que segrega nuestro organismo y al hacer uso del móvil se dibuja el patrón, quien no trato alguna vez de adivinar así el patrón?.

  • Ataque de fuerza bruta

Los ataques de fuerza bruta, es realizo contra los PIN no así con el Patrón de bloqueo debido a que contra este se hace de un match de Hash por decirlo así este punto veremos luego a mas detalle.


  • Screen Lock Bypass

Es por medio de una aplicación la cual realiza un ataque por fuerza bruta con el detalle que es muy intrusiva puede llegar a convertir el dispositivo en un pisapapeles.
  • Ataque a lo bruto y mensamente. 

Este lo llamo así por lo siguiente que consta en realizar un rm del gesture.key y obtener acceso, como los verdaderos forenses esto no vá quizas cuando  necesitemos quitar el patrón porque al amigo, familiar se le fue nos sirva ;).

Cabe resaltar que cada una de estas técnicas excepto Smudge Atack es necesario contar como root en el teléfono.

Aquí viene lo interesante y si no esta rooteado el teléfono que hacemos?  existe otra forma de realizar el análisis? eso lo veremos conforme se vaya avanzando ;). 

Validando el acceso root del dispositivo


Lo primero que haremos es que el dispositivo ande rooteado para ello procedemos a ir a una terminal e ingresamos el siguiente comando adb devices.

Nota: Ojo que tenemos que tener previamente instalado adb ;).

Listando los dispositivos conectados

En la imagen se observa quesi se tiene un dispositivo conectado, ahora procedemos a validar el acceso root, con adb root y nos debe de contestar que si se encuentra en modo root.

Probando.....



Pero WTF? No el dispositivo no se encuentra rooteado ???, en todo este trajin sucede algo raro la razón para mi es casi desconocida pero gracias a @neosysforensics que me lanzo el cable y según sus comentarios anda el problema en default.prop la variable debuggable=0 como accedemos al archivo se puede observar lo siguiente:

# cat default.prop
cat default.prop
#
# ADDITIONAL_DEFAULT_PROPERTIES
#
ro.secure=1
ro.allow.mock.location=0
ro.debuggable=0
persist.service.adb.enable=0

Este punto lo analizare mas a fondo... y vere exactamente la razón me ha dejado con la intriga.


Pero que sucede si tenemos acceso directo? sin problema alguno aqui un ejemplo realizado.


Es diferente no? ;).

En este punto andaba ya rendido, hasta que @neosysforensic me lanzo el cable necesario por lo cual paso a explicar a mi corto entender.

Todo listo para el ataque!

Rompiendo el patron de Bloqueo

Obteniendo gesture.key con netcat

Primero realizamos un adb forward por medio de tcp al puerto 5555 como se muestra a continuación.

[snifer@rizel ~]$ adb forward tcp:5555 tcp:5555

Ahora accedemos a una shell por medio de adb y nos ponemos en modo su ahora aquí viene la interactuación con netcat la navaja suiza, mandando el archivo gesture.key así:

# /system/xbin/busybox nc -l -p 5555 < /data/system/gesture.key

Tras esto en otra terminal lo bajamos :D

[snifer@rizel Desktop]$ nc 127.0.0.1 5555 > gesture.key

Una breve validación realizando un cat. y si lo bajamos!!!

[snifer@rizel Desktop]$ cat gesture.key 
Cr�Ka��@�s�g6���n �y

Ahora si toca ejecutar la herramienta Android Patern Lock Crack Pattern que solo necesita el gesture.key como parametro.

[snifer@rizel]$ python2.7 crack.pattern.py gesture1.key


BINGO!!

Bueno ya accedimos al celular de Pepito rompimos el patrón el próximo paso es el de ponerlo en modo avión!.

No nos iremos,sin romper más gesture.key!!! Aunque esto sea realizado como una prueba de Concepto para jugar pedimos ayuda de Waltico y StuxnetR00t los cuales me mandaron sus gesture.key.


La forma tradicional - Con acceso adb root

Para obtener el gesture.key es necesario ser root en el telefono  y realizar un pull del mismo que se encuentra ubicado en /data/system/gesture.key
[snifer@rizel]$ adb pull /data/gesture.key

Con ello obtendremos el gesture.key ahora toca hacer uso de cualquiera de estos dos scripts La primera es decode gesture la cual hace uso de un Diccionario  que es AndroidGestureSHA1 y con el hace la prueba basandose en los hashes el script es decodeGesture el repositorio aquí Se muestra en la siguiente captura la ayuda:


Y basta con poner el gesture.key y el diccionario que descargamos con anterioridad.

[snifer@rizel]$ python2.7 decodeGesture.py -g [ARCHIVO GESTURE.key] -d AndroidGestureSHA1.txt

El resultado es el siguiente, que tal?


La otra opción es hacer uso del script tambien desarrollado en Python que es Android Patern Lock Crack Pattern que solo necesita el gesture.key como parametro.

[snifer@rizel]$ python2.7 crack.pattern.py gesture1.key

Y miren en menos de 1 minuto tenemos el resultado, en las capturas observamos los resultados desde patrones de 4 hasta mas complicados.

Otra forma de acceder al telefono es el método que hablamos al principio del post que es a lo bruto para ello basta con realizar el borrado del patrón con el siguiente comando
adb shell rm /data/system/gesture.key

Y listo chau protección ;) el mismo caso se da cuando se tiene con password.key es decir eliminar el PIN de bloqueo, ahora toca dar de baja o mejor dicho obtener el PIN.

Rompiendo bloqueo por PIN

Ahora procedemosnuevamente a obtener el archivo password.key tal cual realizamos con ayuda de netcat.

[snifer@rizel ~]$ adb forward tcp:5555 tcp:5555
# /system/xbin/busybox nc -l -p 5555 < /data/system/password.key
[snifer@rizel Desktop]$ nc 127.0.0.1 5555 > password.key

Y por ultimo obtenemos el archivo settings.db que se encuentra en /data/data/com.android.providers.settings/databases.

# /system/xbin/busybox nc -l -p 5555 < /data/data/com.android.providers.settings/databases/settings.db
[snifer@rizel Desktop]$ nc 127.0.0.1 5555 > settings.db


Como se imaginarán el archivo es un sqlite, por ello haremos uso de un visor en este caso usaremos Sqlitestudio tras importar la base de datos setting.db que cuenta con 5 tablas.


El porque obtuvimos este archivo es para acceder a su salt


Desde este punto les dejo de tarea ;). androidpincrack


Ahora si vamonos!!! fue un dia bastante estimulante y aprendimos demasiado.


Gracias al grande @neosysforensics por la ayuda brindada, el dia de ayer aprendí del grande ;).


Recursos Usados

ANDROID PIN CRACK: androidpincrack
ANDROID GESTURE SHA1: AndroidGestureSHA1
Android_Forensics
ANDROID PATERN LOCK: Android Pattern Lock

Regards,
Snifer
Leer Mas
EL dia de hoy que es viernes, venimos en SniferL4bs con un video de seguridad informática el cual aborda el tema de GoLISMERO.


¿Que es GoLISMERO?

GoLISMERO es un spider web capaz de detectar vulnerabilidades y formatear los resultados de forma muy útil cuando se afronta una auditoría web. Cada vez que nos enfrentamos a una nueva URL, ¿no sería genial poder disponer de forma sencilla y rápida de todos los enlaces, formularios con sus parámetros, detectar posibles URL vulnerables y que además de que se presentasen de manera que nos permita hacernos una idea de la todos los puntos de entrada donde podríamos lanzar ataques? GoLISMERO nos permite hacer todo esto.

El video viene de la mano de ggdaniel Daniel Garcia por estos lares cr0hn, por mi parte tengo una cuenta pendiente U_U
con el, asi que estare en estos dias jugando con el, mientras les dejo con el video. 




Regards,
Snifer
Leer Mas

El otro dia andaba como siempre navegando en GITHUB viendo código  y demás detalles justo lo de forense a UN ANDROID, en ese trajin de realizar dichas búsquedas, di con Dorothy ojo que no es la de mago de Oz por si alguien se le ocurre, puse la imagen por mera coincidencia.

¿Que es Dorothy?

Dorothy es un framework creado  para el análisis de archivos sospechosos, su principal fuerte es que cuenta con un entorno de desarrollo flexible y modular teniendo una atención bastante especifica al analisis de red es decir las conexiones que realiza al exterior.

Capaz de identificar procesos en base a una base de datos previamente establecidos, análisis estático de los binarios. Dorothy2 hace uso de perfiles que son pre-configurados, a continuación una gráfica de como esta estructurada.



Para saber mas detalles de la instalación como características puedes dirigirse al repositorio en GITHUB   Dorothy2 por mi parte este amiguito, lo veo con mucho potencial para alguien como yo, espero que a otros les sirva.

Regards,
Snifer
Leer Mas
En esta cuarta entrega quiero  presentar estas dos distribuciones dedicadas por decirlo así al análisis de Malware bajo Android, especificando mas a detalle son distribuciones orientadas al analisis de malware en dispositivos Móviles, en el laboratorio que estamos realizando en SniferL4bs usaremos Santoku, cabe resaltar aquí un punto a tomar en cuenta la razón de usar estas distribuciones es por que todo se encuentra debidamente seteado, es decir no necesitamos configurar ni descargar ya que todo viene previamente, ya que si procedemos a configurar e instalar todo el entorno nos tomaría mas tiempo por ello tomaremos como base Santoku. 

A continuación las características y descargar de cada una de ellas. 



Santoku tiene bien definido cuales son sus objetivos del mismo modo a donde quiere llegar por  tal motivo solo cuenta con tres apartados principales que son:

  • Mobile Forensics
  • Mobile Malware
  • Mobile Security

Descargar Santoku: Aquí

Como se diría lo justo para lo que esta hecho!.

A su vez tenemos la otra distribución que nombramos la cual es Mobisec



Mobisec

Debido a que ya andaremos mas a fondo por estos lares, les recomiendo Santoku porque sera la distribución que usaremos tambien para Forensic en Android, seguiremos con el caso de Pepito.

Regards,
Snifer


Leer Mas
Otro Cheat Sheet, despues de la entrada de Forense :), les hablo sobre este que es de Windows Incident Response de la mano de packetlife espero les sirva y le den buen uso que por mi parte estará en el USB :).



Regards,
Snifer
Leer Mas
Hoy iniciamos la serie de entradas referentes al análisis forense en Android, ya que por sugerencia en twitter  y según los votos en la encuesta que se realizo el mes de septiembre, realizaremos un merge de Android y Forensic, no se cuantas entradas vendrían pero estaremos toda esta semana con ello, para esto lo que haremos es tener un caso el cual llegaremos a crearlo en su totalidad y hacer el tratado de la información y el análisis respectivo.


Caso SanSon

Hoy 2 de Septiembre del 2014 llega a oficinas de SniferL4bs un dispositivo móvil marca Samsung el cual fue previamente usado por Pepito, un ingeniero de Sistemas que estudiaba en la universidad de Compostela al norte de Cochabamba, se cree que Pepito realizo alguna modificación a sus notas de la materia de Grado, además de ello se lo acusa de hacer la filtración de fotos de los docentes de la universidad, los cuales son bastante comprometedores.

Para este análisis somos totalmente novatos, al no tener y carecer de herramientas forenses, comenzaremos a realizar una pequeña investigación referente a herramientas libres que podamos usar para nuestro cometido, aun no sabemos que datos ni que debemos de revisar del dispositivo movil, pero lo que si sabemos que al ser un Samsung existe la posibilidad de que tenga un Android como sistema operativo. (Hasta este punto solo estamos realizando teorias o hipotesis de lo que pueda ser el dispositivo, como tambien no tenemos conocimiento de las carácteristicas necesarias, por ello procederemos a realizar el proceso respectivo.)

Herramientas de análisis forense


Hey en este punto tenemos muchas dudas, sobre que herramienta usar, aquí debemos de considerar el hacer uso de herramientas para Windows, Linux multiplataforma.

Así tambien si seran gratuitas o de paga, ya que este es un proceso de investigación y su servidor Snifer no tiene recursos para comprar implementaciones de paga, usaremos en sus versiones triales o bien gratuitos priorizando el uso de herramientas para GNU / LINUX.

Primero como base usaremos ADB Android Debug Bridge (ADB). Despues veremos otras opciones pero si la duda te carcome y quieres conocer por tu cuenta tenemos el post de Conexioninversa en su blog Forensics Powertools el cual realizo una recopilación de herramientas de análisis forense. 

Es necesario para este cometido dos entornos de Sistemas Operativos Windows y Linux, tendremos a Windows virtualizado y Linux como SO principal.

No estaría de más tener un cargador, para el móvil para evitar que se vaya la batería  y perdamos información.

Algo que se tiene que tener en cuenta es que cuando se realiza un análisis forense a un dispositivo móvil es necesario que se use una Jaula de Faraday o una bolsa aislante de comunicación para el dispositivo, es la misma lógica que se usa para que un Disco Duro por ejemplo no entre en contacto con el polvo al que se le llama cámaras de vacio,una jaula de Faraday tiene como objetivo, evitar que el equipo se conecte a una red o reciba alguna llamada, envió de sms, bloqueo o algún factor del exterior se comunique y que la prueba se contamine.

¿Que es una Jaula de Faraday?

Una jaula de Faraday es una caja metálica que protege de los campos eléctricos estáticos. Debe su nombre al físico michael faraday, que construyó una en 1836. Se emplean para proteger de descargas eléctricas, ya que en su interior el campo eléctrico es nulo.

Para tener una mayor referencia los invito a leer el siguiente enlace de Wikipedia Jaula de Faraday

Lo correcto es lograr tener todo un laboratorio forense de ley, es decir, con las normas y medidas respectivas  para el análisis repectivo, pero como no tenemos de recursos para dicho cometido lo que hares es usar software libre y hacer nuestras PoC con material fácil de encontrar.

Ahora un ejemplo de material relacionado a una Jaula de Faraday tenemos en http://www.ramseytest.com/ como se observa en la imagen.

Esta caja cuenta con todo lo necesario, hasta un generador interno el cual le da al dispositivo energia no, se si es esta Jaula de Faraday la que cuenta hasta con un ordenador (portatil) interno para hacer la pericia de forma directa sin que salga del lugar.

Otra solución son las propias “Bolsas de Faraday”,  que tienen como objetivo la de evitar la conexión con el exterior

Se observa que tenemos para todo tipo ya bolsas mas específicas por si algún momento es necesario que se haga uso de ellas no esta de mas conocer.

¿Queda alguna opción más? Pues si…se puede usar también un inhibidor de señal, asegurándose previamente que bloquee las frecuencias que a nosotros nos interesa bloquear. Hasta donde es de mi conocimiento un inhibidor de señal causa graves problemas de cabeza dando jaqueka lo cual llega a ser insoportable, deberían de usar estos bichitos en los bancos xD asi no van jugando con sus moviles, pero ya saben porque no se hace :| necesito revisar la razón tanto en Bolivia como si en resto de los puntos del mundo se tiene algo o solo control policial tarea para luego. 
Imagen obtenida de MaztoR


Algo a tomar en cuenta en todos esto es que cuando el dispositivo no tiene conectividad, es decir no recibe señal incrementa su capacidad para poder recibir lo cual es un aumento en el gasto de la bateria, para ello lo mejor es o bien ponerlo en modo avión o evitar que se apague la batería haciendo uso de algunos medios adicionales como ser un cargador incluido, y demás detalles para esos puntos se tiene las Jaulas de Faraday incluidas con todo el set necesario. 

Pero señores como Snifer@L4b's no tiene los recursos para comprar ninguno de estos artefactos, ni mucho menos el tiempo para montar un circuito que actué como inhibidor de señal, en la próxima entrega de Análisis Forense a Android iremos viendo una forma casera de bloquear la señal del dispositivo del caso, del mismo modo romperemos la seguridad del dispositivo sacando una imagen forense un poco de diversión. Espero les agrade esta pequeña investigación que ire realizando, ademas de ello compartiendo herramientas y enlaces de interés que vaya identificando. 


Regards,
Snifer


Leer Mas
Por razones desconocidas ayer no hice el post! xD bueno me la pase trabajando con StateX y a la par andaba con un dolor de cabeza insoportable lo cual llevo a no realizar la entrada respectiva que aun anda en borrador toca ver con calma y notar que errores existen ya que la escribí medio zombie por ello en esta oportunidad venimos con este Cheat Sheet de Python.

El cual nos ayuda con la tarea de recordar funciones :) saben de lo que hablo heee ;).



PD: Gringuin @State_X tenemos que usar esto en lo que andamos haciendo..

Regards,
Snifer
Leer Mas
Sabado y volvimos nuevamente esta es otra entrada mas referente a Reversing con PowerShell el cual es una charla de principio de año, espero les agrade heee! buscare luego la presentación.



Tras esto noto algo interesante, que cada vez me meto en territorio hostil, y el tiempo es el que me consume, esto lo dejare para una visión posterior ya que Reversing no lo ando viendo demasiado. 

Regards,
Snifer
Leer Mas
Ando en el aeropuerto como unas 3 horas, esperando a que digan pasajeros del vuelo 6666 porfavor pasar a la zona de abordaje, pero no U_u así que en este trajin me puse a realizar algunos juegos del hambre por estos 3 dias que estuve sin publicar ando, maldito con el 3! jajajajaja. Cuando indico que me puse a realizar juegos  me refiero que comenze a revisar, entradas pasadas, ideas de post y en ese trajin encontre uno que decía PowerShell Reverse Engineering.



No supe porque estuvo ah o cual fue la razón así que me pico la curiosidad y pude encontrar  lo que venia en el título y les hablo de este repositorio de GitHub PowerShellArsenal el cual cuenta con varios módulos dedicados  al reversing, aquí la muestra de los módulos que trae:


  • Disassembly

Disassemble native and managed code.


  • MalwareAnalysis

Analyze potentially malicious .NET executables.

  • MemoryTools

Inspect and analyze process memory
  • Parsers

Parse file formats and in-memory structures.

  • WindowsInternals

Obtain and analyze low-level Windows OS information.

  • Misc

Miscellaneous helper functions

  • Lib

Libraries required by some of the RE functions.


Las entradas anteriores referentes a Reversing aquí

Repositorio de GITHUB: PowerShell Arsenal

Regards,
Snifer
Leer Mas
Si señores sobrevivimos!! a estos 3 dias y esta oportunidad venimos para difundir el Hangout de @JsiTech en el cual veremos como hacer uso de la herramienta desarrollada por Eugenia Bahit días atrás lo trajimos al blog, ahora con este Hangout sabremos mas a continuación les dejo de forma directa al Hangout. 



Y para terminar un comentario de JsiTech.

Que veremos?
– Qué es JackTheStripper
– Corriendo el Deployer de seguridad en un servidor con Linux CentOS
– Auditando el Nivel de Seguridad con Lynis

No se lo pierdan..

La cita es el Viernes 21 de Noviembre 2014 a las 8:00pm.

Servidor Web Seguro en Linux CentOS con JackTheStripper – Auditando la Seguridad con Lynis

Estaré documentando cada paso del deployer e intentaré tenerlo listo el dia del Hangout para que tengan el PDF a mano y lo puedan consultar cada vez que lo deseen.

Para preguntas durante el Evento pueden hacerlo via Twitter con el HashTag#HangOutJsiTech o por los comments en YouTube.

Regards,
Snifer
Leer Mas
Hola a todos, que tal hoy es un día de frutas para mi, hace un frió!!!  como quizás sea esta semana también, porque toca acelerar para la entrega de un informe y eso tomara tiempo. Pero no es la razón de la entrada, si no que quería comenzar renegando saben como soy, al hablar de cambios en el título del post es porque tome la decisión el día Domingo propiamente después de mucho pensar y ya llevaba tiempo desde que hice el tuit respectivo sobre el cambio de los foros y las burradas que algunos preguntan, ya no es lo mismo que antes, me dirán que todo cambia que la decadencia de los foros y demás es cierto! pero me doy cuenta que los nuevos que ingresan se pasas de brutos! (disculpen si no les agrada esta forma de pensar pero lo diré). 

Algo breve que lei xD y arme esta imagen idetando el HTML

Porque se pasan de brutos? Ya no tienen la lógica o mínimamente la idea de realizar una consulta en GOOGLE desean todo mascadito y listo para servirse, el otro día sin ir muy lejos una persona preguntaba como ingresar a un equipo que esta detras de un firewall, se puede con metasploit, lanzar un exploit y listo?. Se le dio la respuesta respectiva comienza analizando puertos, luego servicios que se encuentren expuestos y de ahí ver si alguno es vulnerable tras esto, vino la respuesta puedo acceder al router y quitar el firewall? con nmap -F ip ya puedo saltar el firewall?


DAFUQ! Que le cuesta revisar un poco de bypass de Firewall,   hacer pruebas  y ver que tiene de resultado, probar antes de lanzar otra pregunta.

Del mismo modo, pregunto uno algo sobre Troyanos y decia al final algo mas o menos así: "El tiempo y la vida es corto, la familia e hijos hacen que recurra a preguntar."

Esto si que me mató!! si uno quiere crecer lo hace y punto! por mas difícil y complicado sean las cosas el que quiere puede y me quedo sobre este punto con la siguiente frase de Ron White.

“La vida es muy corta para las excusas. Define tus metas y ve tras ellas” - Ron White

Ya viendo mas profundo uno trata de tirar para adelante, pero a veces se da que la gente no quiere, si uno esta en un foro es para compartir guiar y ayudar no darle el estudio  y el análisis de lo que necesita, pronto se resolverán tareas de kinder en los foros de seguridad  (Hacking).  A momentos soy recontra odioso con los nuevos tratando mal, quizás hasta con insultos porque no se veía una evolución en el aprendizaje. Volvian y preguntaban con lo mismo o simple no escuchaban a los demás.

"Es bonito estar en una Comunidad pero una que va de picada y solo hay montón de personas no :)!, generar tráfico por generar tampoco."

Ahora solo me queda seguir con este blog, y los proyectos personales que por ahora tomare un descanso de los foros de (Seguridad Informática) Hacking, andaré por el mundo Linux del pinguino que sabemos que es un ingrato como lo dijo Yoyo (la horda me ataca!). Respecto al post de Pentesting con Kali Linux, seguire con el hilo del mismo en el BLOG, cambiando un poco el camino trazado, pero lo seguire ya que en la siguiente entrada les hablare del porque del Taller con Kali Linux, un poco de recordatorio.


Y para despedirme que ya voy al trabajo, "al que le entre el guante que se lo chante" digo lo que pienso cuando debo de hacerlo, si lo hago lo hago y ya ni modo no hay vuelta atrás, casí seguro que vendrá una horda a comentar defendiendo su posición, quizás tenga un pensamiento mediocre quien sabe solo el tiempo dirá. 

Regards,
Snifer
Leer Mas
Seguimos Cazando,esta vez con los HoneyPots, en la entrada veremos algo de teoría referente a los Honeypots que son cuantos tipos existen, características, debilidades, fortalezas y recomendaciones. ya que las proximas entradas de Atacando al Atacante iremos explotando este lado. 
Que es un Honeypot

Es un recurso  (servidor, aplicación, servicios) que esta creado e implementado para que un atacante pierda su tiempo, tratando de buscar algún fallo o bien entreteniéndose en el equipo, sin tomar en cuenta el equipo real imitando características de uno real.


¿Un honeypot puede ser usado en mi contra?

Si, puede ser usado en tu contra, en realidad si el atacante lograría acceder al equipo y este esta en la misma red, podría realizar un pivoting y escalar a otros equipos, aclarando que todo depende de la correcta configuración previa que se realize al honeypot, en un (Jailed enviroment).

Que se dice cuando hay varios Honeypots ¿MultiHoneyPot?

Cuando tenemos mas de un Honeypot adquiere el nombre de Honeynet, dichas honeynet puede contar con múltiples sistemas operativos es decir Solaris, Unix, Windows, Cisco, TPLINKS etc... todo lo que se nos venga a la mente.

Que hace al final un Honeypot

Pero aqui no acaba ya que, como se indico en el principio no solo es para los atacante si no tambien para otros yuyos como ser malware,  la identificación de nuevo malware para el estudio posterior, perfilamiento de los atacantes conocer que es lo que hacen mayormente a donde atacan por un simple muestreo que se puede realizar.  O bien como simple y loca idea de aprender y practicar!!

Los honeypots tienen dos clasificaciones principales que son por:

  • Ambiente de implementación
  • Nivel de Interacción
Entonces en este punto podemos determinar lo siguiente, segun el ambiente de implementación se llegaría a dividir en producción (entorno real) o investigación. En el nivel de interacción en dos estados bajo y alto nivel de interacción.


Recomendaciones y algunas cosas a tomar en cuenta.


Es recomendable que el honeypot cuente con mecanismos de protección para evitar que sea explotado en su totalidad.

Un honeypot no es un IDS/IPS no es, ni sera la solución perfecta a los problemas de la red.

La función de un Honeypot es para comprender y aprender lo que hace un atacante y que mitigar en un entorno real.

Debe forzar o incitar a un atacante que entre a la red, el nivel de dificultad debe de ser entre bajo a medio no tan complicado para no dejar que se vaya y además ofrecer premios ;).

No dejar el Honeypot a su libre albeldrio, siempre tiene que existir una persona responsable que monitoreo y analice no dejarlo ahí recopilando data y ya.

En esta primera entrega conocimos un poco de lo que es un Honeypot que hace, que tiene y por donde va, en la próxima vendra un breve listado de Honeypots como montarlos y detalles de por medio ;). Espero les agrade y disfruten del mismo.

Regards,
Snifer

Leer Mas
En estos días estaba iniciando mi aprendizaje en el tema de Google Hacking y probando con los operadores lógicos y palabras claves que se pueden usar es este motor de búsqueda para obtener información más específica, encontré un error que es muy común en los sistemas de información: el uso de claves por defecto que traen los productos de fábrica o de claves que son muy comunes para la autenticación en un sistema u otro servicio al que se esté registrado.

Basta con buscar información sobre todo lo que se puede hacer con Google Hacking y empezar a probar. No intenté nada complicado, valga aclarar que este es mi primer intento.


Todo comenzó por ir probando las palabras claves, e ir revisando aleatoriamente los resultados que Google me arrojaba para ver que se podía conseguir con cada búsqueda.


Al abrir aleatoriamente algunos de los resultados me encuentro con los archivos *.php que utiliza la página para su funcionamiento. El primer archivo que intento abrir me muestra un formulario donde podía crear algo dentro de su sistema de información, lo cual es raro que deje pasar como ‘pedro por su casa’ a cualquiera. Así que pruebo con otros archivos *.php me arrojaba el mensaje esperado, ‘acceso denegado'.

Entre todos los archivos estaba el ‘login.php’ que dirigía al formulario donde el administrador del sitio web se autentica.

La curiosidad me lleva a probar con datos por defecto, así que hago el primer intento.

Ingreso en usuario 'admin y en la contraseña admin y ¡Eureka! Ingrese al módulo del administrador.

Una vez adentro tenía la posibilidad de realizar cualquier cosa en el sistema, crear, actualizar, eliminar registros. También visualizar los usuarios de ese sitio web, tenían almacenada sus nombres, apellidos, email, usuario y la contraseña que estaba sin cifrar.

Si eso puede hacer un novato en su primer intento utilizando está técnica gracias al descuido del webmaster al utilizar esos datos de autenticación tan fáciles de adivinar, imagínense lo que puede hacer una persona más experimentada.

Nota Importante: La información mostrada en el artículo se expone con fines estrictamente educacionales para ser utilizada como ayuda en la mejora de la seguridad de las aplicaciones web. No nos hacemos responsables del uso indebido de esta información por parte del lector. No se realizó ninguna acción dentro del sistema. Esto fue producto de la casualidad y no se usó para fines malintencionados.

Realizado por Johann Smith.
Twitter: @Joh4nn_
Leer Mas
Buenas a todos se que no es la hora casual que se publica en el blog, pero buehh detalles que a veces se nos van, en esta oportunidad quiero dar las gracias a todos los que nos apoyarón en los premios Bitácoras este año en la clasificación final nos encotramos en el puesto 10 para mi (Snifer) es una locura,ya que motiva, para seguir con las entradas diarias continuar con cada uno de los proyectos que tengo en  mente, y las entradas en borrador que los escritores del blog, las pueden ver ya saben por donde quiero lanzarme.

A su vez darles a todos las mil gracias nuevamente me sorprendió estar ahí, existen blogs que deberían de estar ahí pero no entiendo por donde va el rumbo o que paso :|. 

Gracias a todos por dar ese apoyo! y a seguir adelante.
Leer Mas
Ya en fin de semana bueno casi casi, y como saben todo color de rosa a descansar un poco y de que manera jugando un poco con programación este post es una entrada de facunfagio un amigo de UC el cual lo posteo y pues venga para aqui!, asi que los creditos a el ;).

CodinGame

Gente hoy les traigo un dato que me ha parecido muy bueno, ya que lo he recibido de un Alumno de la Facultad en donde doy clases.

Me han comentado de una pagina llamada CodinGame, en donde se juega programando, la verdad no lo conocía y pido perdón si ya la conocen, y para lo que no , ya saben ahora.

Como buen curioso, no dude en en ingresar y registrarme, (http://www.codingame.com) y ver que pasa.

Una vez adentro vi que tiene soporte para casi 20 lenguajes (Python, JS, C, C++, C#, Bash...entre otros)


y varios juegos que están buenos.



Bueno se los dejo que vean ustedes si les gusta!!!!

Buen fin de semana heeee! 
Regards,

Snifer
Leer Mas
Todos los que andan en el mundo de las pruebas de pentesting Web se cruzan a diario con WebShells  y aveces o bueno hablo en lo personal uso una shell cualquiera o bien la descargo, y ya! siempre y cuando no use una previa que tengo, el otro dia de ello estuve hablando con DragonJar Jaime Restrepo, me hizo la consulta que web shell uso, a lo cual respondi la c99  ok, todo bien hasta que me pregunto tiene Backdoor? esta limpia? de la charla de kuackers que tuve con el por medio de MP en tuiter me quede con esta frase:

"no puedes meter cualquier cosa a un website de un cliente"


De ahí me puse a pensar nunca, llegue a revisar una shell a fondo, por tiempo y demás detalles así que tome la decisión de hacer uso de una sola la recomendada por Jaime :), porque no me comentan que shell usan y recomiendan alguna que hagan uso. 

Tuve el grato gusto de toparme con este video en Yotube que es de Veneno  en el cual explica como identificar backdoors en una WebShell, los pasitos para auditar ;).


Espero les agrade, y a cazar backdoors :D!!

Regards,
Snifer

Leer Mas
Buenas lectores, hoy les traigo un pdf del proceso de normalización de base de datos creado por el blog std-io, se transformó casi en una costumbre el hecho de pasar todas las entradas finalizadas de un tema a un formato pdf agregando ajustes, correcciones y extras para deleite de nuestros lectores, la idea es que les sea más cómoda la lectura de entradas relevantes de forma ordenada.

Esto no quiere decir que todas las entradas del blog esté en formato pdf ni que las mejores lo estén, simplemente que los hilos de entrada más relevantes (como calidad de software, bases de datos, próximamente patrones de diseño, y programación, si lo están).

Sin más preambulos les dejo los temas que abarcan y las entradas relacionadas a un click de distancia.

Introducción
Primera Forma Normal (1FN)
Segunda Forma Normal (2FN)
Tercera Forma Normal (3FN)
FNBC 
Cuarta Forma Normal (4FN) 
Quinta Forma Normal (5FN) 


Un saludo lectores y espero les haya gustado la entrada del día de hoy.
Leer Mas
Esta segunda entrada ya viene con la base y el conocimiento necesario para la elaboración de un script desarrollado a medida, con Python valga la redundancia conociendo mas de los términos a ser usados y afianzando nuestro conocimiento algo que aclarar que como hablaremos de Forense, estaré dando mi pequeño punto de vista sobre los términos ya saben que para mas información un poco de research no viene mal ;).

¿Que es un Hash?

En la entrada de ayer vimos algo de lo que es un Hash pero hoy ampliaremos un poco mas el concepto y detalles adicionales.




Es una huella digital, de un archivo, texto, documento cualquier medio digital, el cual es único. Dicha huella digital no varia siempre y cuando el fichero no sufra cambio alguno.

Para realizar esta huella por decirlo así, se hace uso de algoritmos que tienen características propias a continuación veremos una tabla de los algoritmos más populares.

Algoritmos Hash Populares

¿Para que sirve un Hash?

Para identificar la legitimidad integridad de un archivo.

¿Que tan importante es tener el Hash para que sirve?

Ya que nos vamos por todas estas preguntas, nos iremos un poco al lado aboganster xD, lo siento si alguien se ofende, lo digo con cariño. heeee!

Si realizamos un hasheado (el nombre es un denominativo personal) el hash de un archivo digital a ser presentando ante un juez mitigamos que la contraparte indique que hubo algún cambio con el archivo original es decir nos iremos a un ejemplo práctico que en esto solo nos andamos complicando.

Se tiene una fotografia la cual se ve como Pepito esta robando un auto, el cual se solicito que las contrapartes realizen el análisis de la imagen, analizando si pertenece al auto por el tono de color un análisis de la mano del sospechoso y un largo etc, que se nos venga a la cabeza,  como se muestra en la siguiente imagen es la original:


El hash de la imagen es:  EAAF4C190627A40E59A6153F16993118FA33CCD4

Ahi se ve una mano que esta forcejeando el cerrojo de un auto color azul patito!, al generar el Hash de la imagen validamos la autenticidad de la misma, pero que sucede si viene otra persona e indica que no es el auto robado ya que el color es diferente y el tiene la imagen original?


El hash de la imagen es: 6878662DC5F3FFD516D3CB853581DADCE029DC85

Ahí viene un problema si podemos notar ambas son "idénticas" pero una de ellas fue tratada previamente con alguna herramienta específica o bien ambas fueron modificadas, para ello se realiza la suma de verificación del archivo original y se hace un match entre ambos dando como resultado cual de las dos imágenes es la correcta.

Ahora aquí viene un detalle actualmente MD5 ya no es un algoritmo tan robusto por sus problemas de colisiones que algunas ocasiones podría ser manipulado generando una colisión MD5.

Ya con estos datos, podemos tener una base de lo que es un Hash y para que nos sirve entonces en un proceso de obtención de datos seria bastante facil automatizar dicha tarea recorra todo el directorio y nos saque el hash de cada archivo y  al final comprimir y ese mismo hashearlo.

Se nos viene, algo interesante, que cosas llevara en la siguiente entrada de mañana nos vemos. Ya saben observaciones, recomendaciones sugerencias bienvenido!!

Regards,
Snifer


Leer Mas