Entradas Recientes:

Test Shellshock - Vulnerabilidad en Bash

¿Qué es Shellshock?
Shellshock es un problema de seguridad que lleva a razón de 20 años oculto en la terminal de los sistemas operativos Linux y Mac.

Afecta al intérprete de comandos Bash. Así, al abrir una terminal en el sistema y con la órden adecuada es posible conseguir el total control del sistema, accediendo así a toda su información.

Por otro lado, es común en los programas que ejecuten un intérprete de comandos Bash en segundo plano. Por su lado, el experto Robert Graham ha declarado que el problema de seguridad es mayor que Heartbleed, apuntando de nuevo al hecho de la interacción típica de los programas con la consola. 


Para conocer si nuestro sistema operativo es vulnerable o no, en el Blog de Red Hat han creado un test de uso muy sencillo. Para realizar dicha prueba solo es necesario abrir una terminal y ejecutar la siguiente orden.
env x='() { :;}; echo Su sistema es vulnerable' bash -c "echo Esto es un Test"
Si el sistema que usamos no es vulnerable, la salida será la siguiente.

Y en el supuesto caso que nuestro sistema fuese vulnerable, la salida sería esta otra.
Si el resultado del test ha sido "vulnerable", tocaría actualizar el sistema lo más rápido posible para evitar problemas a un corto plazo.


Jchierro
Leer más »

¿Qué es Foremost? - Caso Práctico

¿Qué es Foremost?
Foremost es una utilidad de línea de comandos para la búsqueda y recuperación de archivos borrados en función de su tipo. Es originalmente desarrollado para US Air Force Office of Special Investigations.

Descarga e instalación:
Es muy sencilla, en un terminal escribimos lo siguiente:
  • # apt-get install foremost
NOTA: Recomiendo actualizar los repositorios antes de instalar foresmot (# apt-get update).

Caso Práctico:
Tenemos en nuestro sistema una imagen descargada, pero por “error” la hemos eliminado y con foremost procedemos a recuperarla.

Imagen en el sistema “/home/smr/Imágenes” y procedemos a eliminarla.
Una vez borrada la imagen, ejecutamos un terminal y escribimos la siguiente sintaxis de la aplicación foremost. Recuerdo que con “foremost –h” podemos ver la ayuda.
  • # foresmot –t jpg –i /dev/sda5 –o /home/smr/Escritorio
Opciones:
  • -t --> Nos sirve para indicar el tipo de archivo a buscar.
  • -i --> Indicamos la unidad donde están los archivos perdidos.
  • -o --> Indicamos el directorio donde van a ir los archivos recuperados.
Concluida la búsqueda, se nos genera una carpeta donde están todos los archivos con extensión “*.jpg”. Solo nos queda identificar cual hemos perdido.

Jchierro
Leer más »

Recopilación de Prácticas sobre "Sistemas Operativos en Red" - Windows

Hace bastante tiempo que no traigo nada nuevo al Blog (3 meses), la principal razón son los estudios estoy totalmente volcado en ellos. En estos últimos días para acabar el primer trimestre del curso y el año, he observado que tengo bastantes practicas de "Sistemas Operativos en Red - Windows". Quizás estás prácticas no sigan el contenido de este Blog pero seguro que pueden ayudar a alguien con alguna duda, problema, etc. Por ello, la razón de compartirlas con todos ustedes. 

Las prácticas tratan los puntos mas interesantes de Windows Server 2003 como instalación de Active Directory, creación de usuarios y grupos, migración a Windows Server 2008, funciones de routing, etc. Todas explican los diferentes procesos paso a paso y con bastantes imágenes ademas de una elaboración propia.

Si tienen alguna duda sobre alguna práctica, algo que explicar mas detallado o bien algún error que corregir. Pido que lo comuniquen por aquí, twitter (@seguridaddelmal) o el formulario de contacto del Blog.

Mi idea es ir subiendo nuevas practicas que realice durante el curso. De momento, iré subiendo las que tengo.

Prácticas:

Jchierro
Leer más »

Capturar los credenciales de una sesión FTP - Wireshark

FTP (siglas en inglés de File Transfer Protocol, 'Protocolo de Transferencia de Archivos') en informática, es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.

El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al servidor y/o apropiarse de los archivos transferidos.

Nos ponemos en situación ... estamos conectados en una red local y queremos obtener los credenciales de una sesión FTP. Lo primero, sería lanzar un ataque MITM con Ettercap o similar ... recomiendo la lectura de las siguientes entradas.
Iniciado el ataque MITM en la red, comenzamos con la explicación referente a esta entrada. Desde Terminal inciamos Wireshark con permisos "ROOT" ... en Windows solo ejecutar.
En Wireshark lo de siempre, elegimos interfaz y procedemos a capturar el tráfico.
Llegamos a la parte crucial, donde vamos a capturar los credenciales ... la manera es muy sencilla con dos simples filtros en Wireshark.
  • ftp contains "USER" --> Obtendremos el usuario de la sesión ftp establecida en la red local por parte de algún Host de dicha red.
  • ftp contains "PASS" --> Obtendremos la contraseña.
Visto lo visto ... mejor no acceder a servidores ftp en redes poco fiables (restaurantes, aeropuertos, etc).


Jchierro 
Leer más »

FTP con acceso Anonymous - Shodan

Hace unas semanas atrás, comentaba en otra entrada ¿Qué es Shodan? ... dicha entrada acababa con con dos búsquedas "tontas" ¿Cuantos servidores Web's hay en España? ¿Y FTP?. En esta entrada, sigo con la segunda búsqueda pero buscaremos los servidores FTP con acceso "Anonymous" ... seguro que nos sorprende la cifra.

¿Qué es un FTP Anonymous?
Un FTP anónimo (Anonymous) es la forma convencional de llamar al servicio de transferencia de ficheros que las organizaciones dejan para acceso público. Se trata de un servicio muy común en la red, y si lo usamos y nos piden un identificador deberemos teclear "anonymous", esto hará normalmente que no nos pidan una clave, pero si lo hacen , la clave publica mas habitual es "guest".

Antes de nada, tenemos que conocer dos cosas sobre los servidores FTP:
  • Nº de puerto que usan --> Puerto 21.
  • Nº de código cuando un login (sesión) es correcto --> Por cada ejecución/orden que realizamos en un FTP, dicho nos responde con un código numérico. Buscamos en Google ... y localizamos ... en este caso nuestro código es el "230 - Usuario inicio la sesión".
Con todo lo necesario, procedemos a consultar en Shodan.
port:21 "230 ANONYMOUS"
La cifra es bastante alta, ya que son FTP públicos ... sean buenos.

Jchierro
Leer más »

Conocer el número de Host's de una Red - Nmap (TIP)

En esta entrada, les traigo un pequeño TIP donde podremos conocer el nº de Host's que existen en la red donde estamos conectados. Dicha tarea, la realizan a menudo administradores de Redes o incluso en el ámbito doméstico para tener un control de los Host's conectados.

¿Qué es Nmap?
Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (más conocido por su alias Fyodor Vaskovich). Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. Más Info.

Empezamos ... instalando Nmap en nuestro sistema. Para ello, abrimos el terminal y pegamos lo siguiente:
  • $ sudo apt-get install nmap
Instalado Namp en nuestro sistema, pasamos a mapear la Red en busca del nº de Host's. Solo tienen que entender la sintaxis que les muestro a continuación.
  • $ nmap -sP (Son parámetros que detallo más abajo) "IP de la subred"/"Nº de bits que tiene la máscara de subred"
En mi Red quedaría de tal forma:
  • $ nmap -sP 192.168.1.0/24
Para saber a detalle el "signifcado" de los parámetros aplicados en este caso "-sP", solo tienen que consultar en el manual/ayuda de nmap.
  • $ man nmap

Si quieren, tener un poco más de conocimiento sobre las máscaras de red ... les recomiendo que lean estos dos enlaces. Enlace1 | Enlace2

Espero que les sea útil este pequeño TIP ...

Jchierro
Leer más »