Cracking de contraseñas con hashcat

En esta entrada, he querido hacer una recopilación de los distintos métodos de ataque para la obtención de contraseñas mediante la herramienta Hashcat, posiblemente la herramienta más extendida y eficaz para este propósito, al alcance de cualquier persona interesada en el tema.

Para ello he decidido utilizar la versión 3.00 de la misma, ya que a partir de esta versión se deja de lado la separación entre ataques basados en la potencia de la CPU(antiguo Hashcat) y los ataques basados en la potencia de las tarjetas gráficas (HaschatOCL), para unir en una sola herramienta ambas opciones, aunque la mayor parte de los ataques que se explicarán en este artículo son válidos en versiones anteriores de esta herramienta.

Una de las tareas más importantes a la hora de crackear contraseñas cuando no disponemos de tiempo infinito (que suele ser bastante a menudo), es la planificación del propio ataque. Para ello, deberemos medir el tiempo que tenemos para el mismo, y en función de éste, limitar nuestras opciones de crackeo a aquellas tipologías de contraseña que creamos más probables de obtener en el tiempo que disponemos. Ésta no es una tarea sencilla, ya que la tipología de las contraseñas utilizadas puede depender de muchos factores entre los que se encuentra, por ejemplo, el país y el lenguaje de los usuarios de esas contraseñas o la edad media de los mismos, por lo que cuanta más información de contexto tengamos más podremos afinar en nuestra planificación.
[Read more…]

Una introducción a Responder

Muchos de los lectores de este blog ya habréis utilizado, o al menos tanteado, la herramienta de la que voy a hablar hoy. Se trata de Responder, una herramienta de pentesting creada por los genios de SpiderLabs para hacernos la vida más fácil a la hora de realizar auditorías principalmente en entornos Windows; su objetivo principal es la obtención de credenciales de usuario y hashes.

Se trata de una herramienta bastante sencilla de utilizar y que no necesita de profundos conocimientos técnicos para obtener resultados, pero también puede tener consecuencias inesperadas en el funcionamiento normal de la red si no se conoce como pueden afectarle las distintas funcionalidades de Responder.

Por ello voy a explicar a grandes rasgos el funcionamiento interno de algunas funcionalidades de Responder, así como enumerar las diferentes opciones básicas que presenta la herramienta.

[Read more…]

Denegación de servicio a un PLC Omron con comandos legítimos en FINS

Hace poco leí un artículo en el blog de Shodan titulado “Why control systems are on the Internet” escrito por John Matherly (fundador de Shodan), en el que comentaba un párrafo de la documentación oficial de Omron donde se explica porqué la conexión a internet de los PLCs de esta marca es completamente segura.

Su robusta teoría se basa (o se basaba, desconozco si han cambiado su punto de vista) en que sus PLCs no tenían un sistema operativo basado en Windows ni se comunicaban a través de un puerto conocido con un protocolo estándar de Ethernet, lo que los haría invisibles a los malvados ojos de los atacantes.

Según esta curiosa pero extendida manera de concebir la seguridad, sería extremadamente extraño que, por ejemplo, alguien se descargara la especificación oficial del protocolo FINS (protocolo industrial de Omron) de la página web oficial e intentara comunicarse con un PLC.

Para ponernos en contexto, la manera legítima de configurar y trabajar con los componentes industriales de la marca Omron es con el software de esta marca CX-One, que comprende distinto software como el CX-Programmer, diseñado para la configuración y programación de los PLCs.

Aunque estos PLCs pueden disponer de diferentes módulos de comunicación como Ethernet, están diseñados con la idea de que bajo cualquier problema que surja, siempre sea posible una conexión en serie de manera física.

[Read more…]

Algunas conclusiones del #CyberCamp: S2 Cibercity

Como muchos de vosotros sabréis, hace unas semanas se celebró la primera edición de CyberCamp, el evento de ciberseguridad organizado por el Instituto Nacional de Ciberseguridad (INCIBE). Este evento se diferencia de los existentes congresos dedicados a la ciberseguridad en que pone en el punto de mira tanto a los expertos en seguridad como a las familias, gastando gran parte de esfuerzos en concienciar al «ciudadano de a pie» sobre las ventajas y peligros de Internet.

Como no iba a ser menos nosotros estuvimos allí, y con nosotros, nuestra preciada maqueta: S2 CiberCity.

En un mundo como el nuestro lleno de terminales con fondos negros y letras blancas (o verdes para los más retros), no es de extrañar que desde el primer momento causara gran curiosidad en los asistentes, y aunque eran pocos los que se atrevían a preguntar, eran muchos los que se acercaban lenta y sigilosamente intentando descubrir cuál era la función de semejante artefacto.

Como toma de contacto, decidimos adoptar el papel inverso y preguntar nosotros a un curioso técnico de sonido que curioseaba:

—¿Sabes lo que es?

Como informático, la primera respuesta me dejó de piedra:

—Estáis generando electricidad por ósmosis del agua destilada.

Tras un largo silencio y después de preguntarle “por lo bajini” a mi compañero Armand (Ingeniero Industrial) si tal respuesta tenía algún tipo de sentido, le explicamos por primera vez qué era aquella maqueta y por qué la teníamos allí:

—Esta maqueta representa procesos de control industrial críticos para el buen funcionamiento de nuestra ciudad, como es el sistema de suministro de agua o el sistema de generación y transporte de energía eléctrica. Aunque como podéis ver la parte de los arbolitos es una maqueta, toda la instrumentación y el sistema de control industrial es un sistema real como el que podemos encontrar en instalaciones reales. Esto nos permite utilizar esta maqueta como campo de pruebas de ataque y diseño de estrategias de defensa sobre sistemas de control industrial, así como poder visualizar las consecuencias.

Teníamos preparada una pequeña presentación al estilo clásico, con sus Powerpoints y su ronda de preguntas, donde combinábamos mis conocimientos como informático y los conocimientos de mi compañero sobre procesos de control industrial para atacar nuestra ciudad, pero debido al goteo constante de grupos de personas interesados en saber más sobre la maqueta y a la gran diversidad entre ellos, acabamos optando por hacer explicaciones más directas y personalizadas a cada grupo que se acercaba.

El perfil de estos grupos los podemos dividir según la profundidad de la primera pregunta que hacían:

¿Esto qué es?
Esto es un SCADA, ¿no?
¿Qué protocolos tenéis implementados?
¿Aquí regaláis bolis? (Es lo que tienen los eventos gratuitos y en fin de semana)

Después de una explicación adaptada a cada perfil (cuando era posible) y de demostrar cómo éramos capaces de atacar el sistema de bombeo de agua o de provocar un mal funcionamiento en la red de transporte de energía, venían las preguntas, que nos ayudaron a evaluar el nivel de interés y de concienciación en la materia de ciberseguridad industrial, sacando las siguientes conclusiones:

  • Los menores y las familias, ajenas al mundo de la seguridad, van tomando conciencia de que muchos procesos necesarios para el buen funcionamiento de una ciudad o infraestructura son vulnerables a ciberataques, y que hay gente que se dedica a ver como se puede atacar para saber defenderlos.
  • Respecto a los estudiantes de Ingeniería industrial y profesionales de los sistemas industriales, os remitiré a las conclusiones mi compañero Armand (cuya entrada publicaremos en unos días), que fue quien más intimó con los de su especie (con todo el cariño).
  • Profesionales y aprendices de la ciberseguridad: debido a las nuevas oportunidades laborales que ofrece el crecimiento de la ciberseguridad industrial, se ha incrementado el interés en este sector, y aunque la mayoría eran conscientes de la escasez de seguridad de estos sistemas pocos lo habían visto aplicado a un sistema real.

Como demostramos, ataques muy sencillos que hoy en día no son funcionales en los sistemas en nuestros ámbitos informáticos, sí lo son en estos sistemas, pero muchos no somos conscientes de que las soluciones típicas a los problemas de seguridad aplicadas al ámbito de las TIC no son directamente aplicables en el ámbito industrial.

En conclusión, tanto los profesionales de la seguridad como los profesionales de los SCI, tenemos que aprender los unos de los otros. Es imposible aplicar soluciones estos sistemas sin conocer en profundidad la manera de trabajar de quien los utiliza, cuáles son sus necesidades o sus limitaciones.

Lo de los “buscabolis”, un tema mucho más complejo y profundo, lo dejaré para otra entrada.