Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producción es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar. Como son muchos aspectos los que hay que tener en cuenta para llevar a cabo esta labor, he querido hacer un recopilatorio de las principales tareas de bastionado en Linux.

Los siguientes puntos se van a centrar únicamente en la seguridad de la máquina, sin extenderse en los elementos externos que se pueden utilizar para securizar el equipo, como NIDS, IPS, firewalls, auditorías periódicas o cañones de fotones.

• Software siempre actualizado. Imprescindible mantener el sistema siempre a la última en parches de seguridad. No hacerlo es el método más sencillo para que te vulneren o tumben el equipo. La mayoría de malware actual se basa en vulnerabilidades conocidas de un servicio o aplicación para infectar la máquina.
• Configuración deficiente de las aplicaciones. De nada serviría un servidor altamente bastionado si uno de los servicios disponibles tiene una configuración que permita a un atacante vulnerar su seguridad. Como es imposible abarcar todo lo que esta implicación supondría, enumeraré algunas indicaciones generales, aplicables a la mayoría de aplicaciones:
(Leer el resto de la entrada…)

Nmap es una archiconocida herramienta de escaneo de red. Seguramente todos los que estéis leyendo esto la habréis utilizado alguna vez. Permite de forma muy sencilla hacer una enumeración de los equipos que hay conectados a una red, o descubrir los servicios disponibles en una máquina. Cuando hacemos esto de forma ocasional, y para un escaneo de una red pequeña, o para un solo equipo, no nos paramos a pensar en afinar la configuración, y escribimos la ristra de parámetros que nos sabemos de memoria. En mi caso suelo usar:

# nmap -T4 -A ip-host

Esta configuración hace un escaneo TCP de tipo SYN scan, que es el tipo por defecto si no le especificas de otro tipo. Utiliza una plantilla de tiempo bastante agresiva (-T4), y además ejecuta detección de sistema operativo, de versión de servicios, uso de scripts, y traceroute (-A) Todo esto, como ya hemos comentado, puede ser adecuado si el escaneo se lo realizamos a una única máquina. Pero cuando estamos hablando por ejemplo de hacer un escaneo a una clase B entera, se hace imprescindible optimizar el máximo posible la configuración del escaneo, ajustar al máximo los tiempos y lanzar únicamente las sondas que sean necesarias. Veamos como ajustar los rtt con valores personalizados.

El objetivo que se fija un pentester a la hora de hacer un test de intrusión se resumiría básicamente en intentar saber hasta donde es capaz de llegar. Por regla general, si conseguimos vulnerar una máquina que se encuentre seguramente en una DMZ, estaremos en una posición ventajosa para acceder a recursos que no están accesibles directamente desde Internet. Todo depende claro está de cómo de restringida se encuentre dicha máquina.

Una técnica que se suele utilizar y que sorprendentemente da buenos resultados es conseguir las credenciales de administrador del equipo vulnerado y comprobar si el resto de máquinas accesibles comparten la misma contraseña. En el caso de sistemas Windows, el sistema operativo almacena las contraseñas cifradas en el fichero SAM con los algoritmos LM o NTLM. En sistemas anteriores a Windows Vista o Windows 2008, el algoritmo de cifrado por defecto es LM. Desgraciadamente (o por suerte para el pentester) este cifrado es muy débil por su diseño: soporta un tamaño máximo de contraseña de 14 caracteres, no distingue mayúsculas de minúsculas, almacena el hash en dos mitades de 7 caracteres, y no añade “sal” en el almacenamiento para añadirle aleatoriedad, haciéndolo muy vulnerable a ataques por fuerza bruta o por tablas precomputadas.

En relación con el post de ayer que hablaba sobre los peligros que supone compartir fotos a través de redes sociales, hoy vamos a entrar en materia con una aplicación que recopila forma sencilla información sobre la geolocalización que la mayoría de smartphones almacenan en las fotos. Cree.py es un script en python con una interfaz muy sencilla. Le indicas la cuenta de twitter a la que quieres recopilar información, y listo. Puedes bajarte el programa, para Windows o Linux, en su web.

La aplicación recoge la información de las fotos colgadas en twitter, y de los “check-in” que haces con la aplicación foursquare. Una vez que creepy acaba con la busqueda, utiliza la API de Google Maps para situar cada posición encontrada en el mapa en forma de hitos. De esta forma podemos ver con un simple vistazo por donde ha estado nuestra “víctima”.

Como sin duda todos nuestros lectores saben, la semana pasada se celebró en Madrid la segunda edición del Congreso de Seguridad Informática Rooted CON. Tras el éxito del año pasado, esta vez se localizó en el salón de actos del edificio de la Mutua Madrileña, buscando así un mayor aforo. Aun así, las entradas se agotaron antes incluso que se confirmaran las ponencias, una muestra más del prestigio que ha conseguido el evento a nivel nacional e internacional. Todo ello gracias al nivel de las charlas que impartieron los ponentes y a la organización, que han hecho un trabajo estupendo junto a los patrocinadores de la talla como Telefónica, Alienvault o S21sec entre otros. Desde Security Art Work les mandamos nuestra enhorabuena por el gran trabajo realizado :)

Las charlas trataron sobre temas variados, tocando tanto reversing, bases de datos, malware, descifrado de contraseñas, y temas actuales como cloud computing, SCADA o dispositivos móviles. Las diapositivas de las charlas están disponibles públicamente, y les invito a estudiarlas porque sin duda encontrarán más de una sorpresa. La organización ha prometido además publicar en breve los vídeos de las ponencias. ¡Estaremos atentos!

Paralelamente a las ponencias, la organización, con la ayuda de los patrocinadores, publicó un concurso de tipo CTF. Están preparando para abrirlo a cualquiera que quiera apuntarse, aunque las plazas serán limitadas. A pesar de la dificultad de las pruebas, recomendamos participar puesto que es una forma muy divertida de aprender con este tipo de retos. Además, el grupo ganador Painsec tiene previsto publicar el whitepaper con las soluciones del concurso.

Como siempre, estos eventos siempre dejan con ganas de más. Esperaremos con impaciencia la tercera RootedCON.

Recientemente ha sido publicado en el foro de lampiweb un algoritmo que genera la contraseña de los routers Comtrend que despliega Movistar y Jazztel a sus clientes de ADSL. Esta vulnerabilidad es más grave si cabe que los famosos cifrados WEP con ssid WLAN_XX, puesto que este último usaba claves de 13 letras con 4 dígitos hexadecimales aleatorios, y era necesario generar un diccionario con las 65536 posibles combinaciones.

En este caso la obtención de la clave es directa y la forma de conseguirla es la siguiente:

• Dadas la ESSID y BSSID del router vulnerable, usaremos como ejemplo WLAN_ABCD y A1:B2:C3:D4:E5:06 respectivamente.
• Sustituimos las 4 últimas letras de la BSSID por las 4 últimas letras del ESSID, quedando: A1B2C3D4ABCD
• Concatenamos la BSSID original al final de la cadena: A1B2C3D4ABCDA1B2C3D4E506
• Concatenamos la cadena “bcgbghgg” al principio de la cadena: bcgbghggA1B2C3D4ABCDA1B2C3D4E506
• Calculamos el hash md5 de la cadena anterior: 302046464638ba887cb3d9afc11105a1
• Nos quedamos con los 20 primeros caracteres del hash resultante: 302046464638ba887cb3

(N.d.E. Tendrán que disculparnos por la prolongada ausencia de entradas, pero los compromisos navideños, los polvorones y los Reyes Magos nos han tenido ocupados más tiempo del esperado. Sea como fuere, retomamos la actividad habitual del blog esperando que tal interrupción no se repita, al menos, hasta el 30 de diciembre de 2011.)

La última semana de 2010 se celebró en Berlin, un año más, la 27 edición de la CCC, uno de los congresos de scene underground de más renombre y tradición de Europa. El evento tuvo lugar en el Berliner Congress Center, y ofrece cada año una gran variedad de charlas repartidas en cantidad de temáticas: comunidad, cultura, hacking, creación, ciencia y sociedad. Se pueden ver las conferencias y los slides en su wiki o en este otro enlace.

Security Art Work estuvo en Berlin (a pesar del frío y la nieve ;) para conocer de primera mano las últimas novedades que se hicieron públicas en el congreso. Destacable la charla de SMS-o-Death, donde demostraron los bugs que presentan la mayoría de los actuales smartphones a la hora de manejar SMS, donde debidamente modificados a bajo nivel, pueden dejar una terminal sin servicio, o incluso brickearlo, con sólo recibir un SMS. Otra esperada charla fue la Console Hacking 2010, donde el equipo fail0verflow (compuesto por entre otros el español marcan), dieron un repaso a las vulnerabilidades de la PlayStation3 y publicaron nuevos métodos de evasión de las protecciones hasta hace poco infranqueables.