lunes, 29 de diciembre de 2014

Saludos,

A todos mis lectores quería informarles sobre una modalidad en le blog, comenzaré a incorporar un vídeo de  youtube, donde estará explicado todo el contenido de la entrada. Esto se verá reflejado desde la primera entrada que se creó y las entradas que se vengan realizando.

Aunque el canal el youtube, será abierto a suscripciones, comentarios y demás, el link dentro del blog estará protegido por un sistema que me dará cierta cantidad de dinero por cada acceso a él.

Desde que me planteé este blog como proyecto personal, nunca ha estado en mis planes llenar de publicidad el mismo para generar lucro con ello, y no quiero que se interprete que busco ganar dinero a través de la difusión de conocimiento. Lo que si quiero dejar en claro es que considero que a cualquiera que dedica su tiempo libre a compartir sus conocimientos -no solo a mí- se le debe hacer algún tipo de reconocimiento, y he optado por este sistema, en el que no afectaré ni el contenido del blog, el acceso a él ni mucho menos la cómoda lectura con ventanas de publicidad por todo lado. 

Sin nada más que decir, felices fiestas y hasta una próxima.

domingo, 21 de diciembre de 2014

Como lo vimos anteriormente, el indexado de páginas, carpetas y archivos es bastante peligroso para una página web. Para disminuir este riesgo, hay un archivo, en la raíz de las páginas web llamado robots.txt. Este archivo aunque no obligatorio, es creado por el administrador de la página web, y en el incluye todas las carpetas y páginas que desea no sean indexadas por las arañas de los motores de búsqueda. Sin embargo, este archivo es de lectura pública y en él se pueden encontrar diversas rutas, entre ellas, direcciones de administradores de contenido entre otras. 

Es por eso que quiero hacer la salvedad que el archivo robots no es una medida de seguridad, es usado para mejorar posicionamientos de búsqueda. evitar el indexado indiscriminado de los enlaces web y disminuir el procesamiento del servidor. 

Veamos como podemos ver como se podría ver afectada la seguridad de un sitio web por este archivo, este es un claro ejemplo de como puede quedar comprometida la seguridad web, ya que se obtiene la url de administración de la página web y a su vez acceso a la administración de la página.
Verificamos el archivo robots.txt
 Y aquí vemos como de manera descarada tenemos acceso al panel de administración. Tal vez un exploit, o algún otro tipo de vulnerabilidad podrían dar privilegios de administración a esta página.


Sin embargo este tipo de cosas se pueden mitigar, por ejemplo, desde la configuración del servidor se puede bloquear el acceso desde internet, desde cierto rango de direcciones, o permitir solo el acceso desde la red LAN a carpetas o direcciones que puedan resultar en una posible intrusión ilegal.

Por ejemplo: 




Correcta configuración de acceso al panel de configuracióm


Espero haya sido lo bastante claro con esta entrada.

Saludos y hasta la próxima.

martes, 18 de noviembre de 2014

Existe un servicio que ofrecen los buscadores llamado "indexación", y su funcionamiento es bastante simple, los motores de búsqueda cuentan con "arañas" que van siguiendo vínculo tras vínculo de una página web, lo que permite tener un acceso fácil a todos los vínculos y documentos que se encuentran almacenados en un servidor web.

Sin embargo el desconocimiento de este tipo de cosas, llevan involuntariamente a malas prácticas de seguridad, muchos administradores web suelen dejar respaldos de información en el mismo servidor de producción, así como archivos de contraseñas, o incluso archivos con información de tablas SQL (Con usuarios y contraseñas incluidas). Todo esto queda indexado por el buscador y es de fácil acceso con las combinaciones de palabras correctas y el uso de comodínes, esto es conocido como un dork.

En este link dejaré un listado de comandos básicos en google e iremos manos a la obra con unos cortos ejemplos, para evitar que hagan tonterías.


Ejemplo práctico de como NO guardar información sensible en el servidor

Buscando páginas con algún formulario de login

Con ese dork podremos buscar inyecciones sql

Buscando hojas de vida de algún empleado

Por último, dejaré unos vínculos a hacking con Bing, y a un completo directorio de dorks aportados por muchos usuarios llamado "Google Hacking Database". 

Espero esta entrada haya sido de utilidad para que resguarden sus datos sensibles y eviten que caigan en manos equivocadas.

Saludos.



viernes, 12 de septiembre de 2014

¿Se sintieron atemorizados por los metadatos? bueno, pues hoy le abriré una ventana más a la paranoía; Así como un psicólogo puede crear un perfil de personalidad, agrupar metadatos puede ayudar a crear un perfil de una persona (véase xkeyscore) y también puede darnos información de un sistema que vayamos a auditar. Agrupar metadatos puede darnos nombres de usuarios, versiones de software o de sistema operativo, toda una cantidad de información importante.

La herramienta que usaremos será metagoofil, esta herramienta se encarga de recolectar los metadatos de archivos públicos en un dominio generando un informe con lo recolectado, así crearemos nuestro "perfil de personalidad" del dominio auditado.

Esta herramienta ya se encuentra instalada en Kali, así que nos dirigiremos allí y observaremos sus parámetros con el comando metagoofil:



Como podrán observar los parámetros son simples y los ejemplos están detallados al ejecutar el metagoofil, nuestro conejillo de indias será la página de una reconocida universidad en Colombia, así que acá está el comando

metagoofil -d unal.edu.co -t pdf,doc,docx,xls,xlsx -o unal -f informe.html -l 100 -n 20

Esto nos indica que se creará una carpeta llamada "unal" se generará un informe en html llamado "informe", 20 archivos de cada extensión dada, y el límite máximo de archivos son 100. Veremos como comienza el proceso y esperaremos a que finalice




Finalizada esta tarea, que demorará según su ancho de banda, podemos ver los resultados, ya sea en la consola (aunque puede ser bastante largo) o en el informe generado en html, también veremos los archivos descargados en la carpeta que se creó.



Ahora si le damos una ojeada al informe veremos cosas bastantes relevantes, y en primer lugar el informe de resultados de manera muy simple


En la sección de usuarios aparte de lo obvio, encontraremos una muy mala práctica, usar o permitir que se realicen labores cotidianas con un usuario administrador (espero imaginen porqué)




Otro dato interesante será el software utlizado,  ¿Por qué? Bastante simple, en la fase de "ganar acceso" se puede usar algún tipo de exploit o zero-day de alguno de estos programas.




Mis recomendaciones, como siempre. es no limitarse a lo aquí expuesto, sino que amplien esta idea, vayan más allá, generen nuevas combinaciones de archivos y que puedan imaginar como un atacante malicioso se podría aprovechar de todo esto.

Por último y no menos importante, mis agradecimientos a César, gran amigo, futuro psicólogo por ayudarme con el concepto de test de personalidad, para poder dar un ejemplo claro acá.

Saludos.

sábado, 21 de junio de 2014

Los metadatos son etiquetas que se utilizan en los archivos, con el fin de poder clasificarlos, agruparlos o brindar características o descripción de los mismos y son modificables o borrables.

Como ya es costumbre, las cosas que se ven extremadamente beneficiosas o útiles, se vuelven en nuestra contra o pueden ser perjudiciales, dejaré un link externo donde muestar como el análisis de metadatos han jugado una mala pasada.

Esta práctica la realizaremos con exiftool, herramienta para analizar metadatos, sobre su instalación en la página web encontrarán la forma de hacerlo y dejaré una foto que tomé hace un buen tiempo pensando en esta entrada en este link.

Lo primero que haremos será ubicarnos en el directorio donde descargamos la imágen y exploreremos sus metadatos, el comando a usar será:

exiftool 2013-03-24\ 16.36.01.jpg

Extraeré las Fecha partes más relevantes:

Nombre de archivo

 Última fecha de modificación

Dispositivo y modelo con el que tomé la foto para ese entonces

Versión del software del fabricante

Fecha de creación de la imágen

Información del GPS

 Como verán se extrajo una cantidad importante de información relevante, entre ellas, los datos del GPS. Si vamos a google maps e ingresamos los datos con el formato 4 42 37.00 - 74 6 41.00, si bien es cierto que en algunos casos no saldrá la posición exacta, si será bastante aproximada, veamos:



Ahora para no parecer una persona tan descuidada por haber tomado la foto desde hace mas de un año y publicar hasta ahora, procederé a realizar una pequeña modificación la fecha de creación apoyado en esta tabla para saber que campo alterar. El comando quedará de la siguiente manera:

exiftool -exif:DateTimeOriginal="2014:05:30 16:36:00" 2013-03-24\ 16.36.01.jpg





Por último, el comando para limpiar todos los metadatos, (en la próxima entrada comprenderán la importancia de esto)

exiftool -all= 2013-03-24\ 16.36.01.jpg




Esto será todo por hoy, la próxima entrada, espero haber podido contribuir con un concepto nuevo para ustedes.




domingo, 27 de abril de 2014

Saludos a todos,

En nuestra entrada anterior vimos unos parámetros básicos del comando DIG, y serán los que usaremos para mostrar como funciona la transferencia de zona.

Para lograrlo, he configurado un servidor DNS de laboratorio y realizar pruebas en un entorno controlado, en las versiones más recientes de cualquier tipo de servidor DNS (bind para GNU/Linux, Server para la familia Windows) la transferencia de zona viene deshabilitada por defecto, pero en realidad sigue siendo común encontrar sitios donde sin ser necesario la han activado, sea por error, por curiosidad, o en algunos casos -tristemente- algunos administradores de red comienzan a habilitar funciones al azar "solo por probar" cuando algo no funciona correctamente.

Para este ejercicio me he valido de otro equipo, diferente donde está montado el servidor, y que está conectado a otra red, lo que significa que tiene una IP diferente a la asignada al servidor. En este ejercicio verán que uso la dirección IP del servidor, en lugar de una dirección de dominio, esto se da porque no tengo un servicio contratado con mi ISP donde repliquen los DNS asociados a mi domino, mas sin embargo, el procedimiento es el mismo.

dirección IP atacante

dirección IP del servidor

Y bien, solo bastará con usar la secuencia de comando de la siguiente forma:

dig dominio @nombre del registro NS axfr

y el resultado es el volcado de la configuración de nuestro servidor, del cual también se podría deducir su función por su nombre:


Espero les sea de utilidad, y prometo cambiar el servidor DNS de windows, por uno en GNU/Linux.


domingo, 23 de marzo de 2014

A todos buena tarde, por fin pude volver, siento haber retrasado por tanto tiempo esta entrada, pero por múltiples cosas no había podido terminarla, espero sepan comprender, y continuando con nuestro apartado de recolección de información, nuestro siguiente paso será aprender algo acerca de la transferencia de zona.

Una zona es un conjunto de nombres de un dominio, y dentro de un servidor DNS es posible crear diferentes subdominios que puedan contener más zonas, o delegar a servidores DNS secundarios, pero para que no hayan problemas de resolución de nombres, o para brindar disponibilidad de servicio, la configuración de los servidores puede ser copiada entre sí, a esta copia se le denomina transferencia de zona. 

esquema de un DNS Primario y secundario.
Como vemos, hasta ahí todo parece normal, pero, las transferencias de zona están a la mano de todas las personas, y un error de configuración, puede comprometer los nombres de dominio alojados en el servidor, permitiendo ver el direccionamiento interno, y los host que pueden estar a la mano dentro de una red LAN.

Para realizar una transferencia de zona, necesitamos 4 cosas: 


  1. Consola de comandos: ¡Imprescindible!
  2. Dominio a auditar.
  3. Comando DIG: (Domain Information Groper) Este comando permite realizar consultas a un servidor DNS y sus tipos de registros, con este comando se podrán realizar consultas de resolución de nombres y direcciones IP.
  4. Name Server o registro NS: Esto es simplemente el nombre del servidor al cual se le harán las peticiones de resolución en un dominio específico, y se puede obtener a través de las consultas de resolución hechas al dominio que estaremos auditando. 
Aunque el uso del comando DIG es extenso y con múltiples funcionalidades, nos centraremos en identificar los diferentes tipos de registros y la resolución de direcciones IP. La sintaxis es sencilla, comenzarmos con "dig" seguido del dominio y finalmente una serie de parámetros que podrán ser consultados al escribir en la consola el comando dig -h
Comenzamos solciitando información básica del dominio con el comando dig eltiempo.com



Si quisiéramos consultar únicamente los registros NS del dominio usamos el comando dig eltiempo.com NS, como vemos en la imágen, también se encarga de resolver las direcciones IP de los servidores en cuestión.



Acá un ejemplo de consulta de todos los registros, con el parámetro ANY




Viendo esto nos bastará por ahora para conocer la funcionalidad del comando DIG y será lo que necesitaremos para nuestra próxima entrada, en donde montaremos un servidor DNS casero y haremos la transferencia de zona desde internet.

Espero les sea de utilidad esta entrada, ¡Saludos cordiales!


 
Copyright © 2011 Experiencias de un Newbie. Designed by Wpdesigner, blogger templates by Blog and Web