Revisión de: The TAO of Network Security Monitoring

Después de algunos meses termine de leer el libro "The TAO of Network Security Monitoring" escrito por Richard Bejtlich.

Debo decir que este es el mejor libro que he tenido la oportunidad de leer sobre seguridad de redes. Cuando lo compre tenía algunas dudas porque el foco del mismo apunta a armar una infraestructura de Monitoreo de Seguridad de Redes, y no trata exclusivamente sobre análisis de tráfico, el cual era mi interés.

Pero a medida que leía este libro, me di cuenta que para realizar un buen análisis de tráfico (orientado a seguridad) primero hay que lograr obtener el tráfico de la manera correcta. Bejtlich hizo un excelente trabajo detallando los procedimientos de captura, el hardware necesario, como se debe configurar las herramientas y por supuesto como utilizar el software de monitoreo.

Mas allá de que el grueso del libro este dedicado al NSM, también hay varios capítulos con numerosos casos de estudio en donde podemos ver como se realiza el análisis de una captura de tráfico para detectar patrones de ataques en la red.

El último capítulo dedicado a las herramientas y tácticas que un atacante utiliza contra una infraestructura de NSM es simplemente genial.

Richard Bejtlich fue miembro del AFCERT "Air Force CERT" de los EEUU, para luego pasar a la actividad privada. Es sin dudas uno de los profesionales más reconocidos en esta área y tiene un blog altamente recomendable: taosecurity.blogspot.com

Virtualizando Routers Cisco con GNS3

Para el lector de KungFooSion que pregunto sobre el emulador virtual de routers Cisco aquí le dejo unos breves comentarios para la instalación.

El emulador se llama GNS3 (www.gns3.net) y lo pueden descargar para Windows, Linux y hasta MacOSX. Por ahora solo lo probé en Windows.

La instalación es sumamente sencilla, los únicos comentarios que podría hacer es que WinPcap no lo instale porque ya lo tenía instalado.

Algo para tener en cuenta una vez que hayas completado la instalación, es que si te aparece el error de que no puede levantar Dynamips en el puerto 7200, edites las preferencias y verifiques el PATH de ese archivo ejecutable. A simple vista parece que el PATH es correcto, pero buscalo y seleccionalo porque por lo menos en mi caso apuntaba a otro lado.

Esta de más decir que el GNS3 no trae imágenes de IOS, pero hay cientos de torrents dando vueltas. Por supuesto que ahí se preguntaran ¿ esta imágen de IOS estará backdoreada ?

Si quieren saber más sobre cómo backdorear un IOS solamente tienen que asistir a la ekoparty ;-)

Preparando el Lab de Cisco

Hoy a la tarde estuve trabajando en el Lab "Hackeando Routers Cisco" del training que voy a dar en la ekoparty.

Tengo que agradecerle a Jerónimo, que me presto un rack con 4 routers Cisco para ir preparando la configuración del laboratorio. También estuvimos probando un emulador virtual de routers que directamente te levanta la imagen del IOS, pero me parece más divertido hacer las prácticas con equipos reales.

Este módulo del training incluye estos temas:

o Hackeando Routers Cisco
- Descubriendo Routers
- Explotando Vulnerabilidades de IOS
- Explotando Defaults de Cisco
- Fuerza Bruta de los Logins
- Pwned! ¿ y ahora que ?

Sin dudas esta será una de las partes mas entretenidas del curso. Generalmente se piensa que ya no hay routers vulnerables o que ganar acceso a un router no nos servirá para mucho. Nada mas alejado de la realidad! Cisco me ha salvado en mas de un pentest ;-)

Mas allá de las vulnerabilidades conocidas y de revisar las mejores estrategias de brute force de los logins, vamos a conocer algunas técnicas muy poco conocidas para descubrir una gran cantidad de routers rápidamente. También al final de este módulo, vamos a ver todas las cosas más que interesantes que podemos hacer una vez que ya logramos acceso al equipo.

Gracias Jero!

Más Info Sobre Mi Training

Para aquellos que me consultaron por el curso que voy a dictar este año en la ekoparty, llamado Network Security COMBAT Training, les cuento algunos detalles más.

Este año, la ekoparty Security Conference va a durar una semana entera, en donde los primeros 3 días van a ser dedicados a trainings y los últimos 2 días dedicados a la conferencia:

- Training Día 1: Lunes 29 de Septiembre
- Training Día 1: Martes 30 de Septiembre
- Training Día 1: Miércoles 1 de Octubre
- Conferencia Día 1: Jueves 2 de Octubre
- Conferencia Día 1: Viernes 3 de Octubre

Los trainings tienen 1 día o 2 días de duración, todavía no están las fechas definidas, pero van a estar incluídos dentro del Lunes, Martes y Miércoles.

Mi training, llamado Network Security COMBAT Training, tiene una duración de 2 días y se focaliza completamente en seguridad de redes, el primer día dedicado a Network Forensics, y el segundo a Network Discovery & Attacks. Aquí pueden ver el temario completo con una descripción del contenido.

Para asistir a este training solamente se necesita conocimientos básicos de TCP/IP y de redes en general, todo lo demás lo iremos aprendiendo a lo largo del curso.

Los siguientes posts tienen contenido que va a estar incluído dentro del curso, pero esto es menos del 10% de todo lo que vamos a ver:

- Ajusticiando con Scapy
- Cómo Contar Hosts Detrás de un DNAT
- Ventajas de Hacer un Traceroute con TCP
- ¿ Porque Nmap es Lento con Redes Muy Filtradas ?
- Nunca Confíes En Tus Herramientas
- Cómo Detectar Sniffers
- Evadiendo Snort con Paquetes Fragmentados

La siguiente es la lista completa de todos los trainings que tendremos en la ekoparty:

- Descubrimiento y Explotación de Vulnerabilidades Web, Andrés Riancho, CYBSEC
- Unethical Hacking (Version sintetizada), Pablo Solé, IMMUNITY
- Stack Overflows, Damian Gomez, IMMUNITY
- Hacking and Defending Oracle Databases, Esteban Martínez Fayó, ARGENISS
- Network Security COMBAT Training, Leonardo Pigñer

Muy Importante!

- Los costos de los trainings los pueden encontrar en la página de la ekoparty, tengan en cuenta que hay un descuento muy importante si se inscriben antes del 31 de Agosto.

- El costo del training INCLUYE la entrada a la conferencia! esto es muy importante, ya que si logran que sus jefes les paguen la curso, después ya tienen la entrada a la conferencia gratis ;-)

A Kaminsky se le Escapo la Tortuga

Finalmente termino el misterio sobre la terrible falla de seguridad que descubrió Kaminsky sobre los DNS que iba a destruir toda la Internet.

No postee nada sobre esto antes porque no me gusta postear sobre cosas de las que habla todo el mundo ¿ sino porque visitarían mi blog ? pero la verdad es que esto es buenísimo.

Brevemente esto fue lo que paso.

Kaminsky publica parcialmente su trabajo sobre los DNS prometiendo develar todos los detalles en su presentación de la Black Hat.

Mucha gente, incluyendo la empresa de seguridad Matasano, comienzan a especular de que tan serio realmente sean estos descubrimientos. Entonces Kaminsky se comunica con Matasano telefónicamente para darle algunos detalles técnicos, de manera confidencial, y que ellos comprendan la importancia del descubrimiento.

Mientras tanto Halvar Flake decide especular en su blog sobre los detalles técnicos del descubrimiento de Kaminsky y parece que se acerco bastante a la realidad :-)

¿ Que pasa entonces ? Por ERROR, la gente de Matasano publica en su blog todos los detalles técnicos que Kaminsky les había comentado telefónicamente de manera confidencial.

Inmediatamente, la gente de Matasano BORRA de su blog este post y decide disculparse por todo lo sucedido. Obviamente ya era muy tarde, si siguen el blog de Matasano por RSS lo van a poder encontrar el post ahi, por lo que los detalles ya son públicos.

A todo esto, hoy se publicaron las nominaciones a los Pwnie Awards, los premios a los logros y fallos de la comunidad de seguridad, y en la categoría "Most Overhyped Bug" (Bug Mas Exagerado) aparece Kaminsky con su trabajo de DNS.

En la categoria "Mass 0wnage" (Hackeo Masivo) aparece Luciano Bello con su descubrimiento sobre la falla criptografica de Debian. Felicitaciones para Luciano, y si quieren presenciar su charla solamente tienen que asistir a la ekoparty! ;-)

Claves Para una Presentación Inolvidable

Desde la ekoparty del año pasado comencé a investigar sobre el arte de dar buenas presentaciones, y en todo este tiempo aprendí algunas claves que pueden hacer que nuestras presentaciones sean inolvidables.

En toda presentación hay algunas cuestiones básicas que si se cumplen nos van a asegurar una presentación buena. Por ejemplo, que el contenido de nuestra charla sea de calidad y que la audiencia sea la correcta.

Si a esto le sumamos una buena oratoria y que el diseño de nuestros slides no sean los clásicos Powerpoint de la muerte, vamos a lograr una presentación muy buena.

¿ Ahora cómo hacer que nuestra presentación sea inolvidable ?

Transmitir nuestras emociones. Esto puede sonar muy cursi y mas si vamos a dar una charla técnica, pero no hablo de ponerse a llorar frente a la audiencia sino por ejemplo de transmitir entusiasmo. Si presentamos nuestra charla con mucho entusiasmo sin dudas vamos a lograr que la audiencia también se entusiasme.

Contar una historia. El ser humano en si mismo es un contador de historias, nuevamente es difícil hacer esto en una charla técnica, pero siempre vamos a poder dar un ejemplo de algo que nos paso a nosotros. La audiencia siempre valora muchísimo las historias o anécdotas que le pasaron al presentador.

Involucrarse con la audiencia. Esto es difícil de hacer y requiere de mucha practica, pero si no logramos involucrarnos con la audiencia por lo menos no debemos marcar una distancia del tipo "yo presentador" y "vos publico".

El año pasado en la ekoparty hubo excelentes presentaciones, pero en mi opinión una que puedo catalogar como inolvidable fue la de Domingo Montanaro.

La presentación de Montanaro no solo tenia un excelente contenido y el es un muy buen orador, recuerdo que me comentara que a esa charla ya la había dado como 30 veces ese mismo año, sino que aparte de todo esto hubo otros factores que hicieron la diferencia.

Una de las claves fue que logró involucrarse con la audiencia. Comenzó contando muy emotivamente que el es argentino pero vivía en Brasil desde hace muchos años, por lo que se sentía muy orgulloso y feliz de por primera vez tener la oportunidad de dar una charla en su país. Esto sin dudas genero mucha simpatía entre la audiencia y a partir de allí ya nos había comprado a todos.

Otras claves fueron el humor muy particular que tiene, y las anécdotas con las que fue relatando su experiencia como perito forense en Brasil.

Este año, Montanaro junto a otros excelentes Speakers, volverá a estar presente en la ekoparty así que no se lo pueden perder.

Post Relacionado: Cómo Mejorar Nuestras Presentaciones

Network Security COMBAT Training

Después de varios meses de trabajo, finalmente terminé de preparar el training que voy a dar en la ekoparty sobre Network Security.

DESCRIPCIÓN:

Este COMBAT Training tiene como objetivo que los asistentes puedan detectar y analizar patrones de ataques en el tráfico de red, y llevar la teoría a la práctica mediante técnicas de descubrimiento y ataque a una infraestructura de red.

Durante el módulo de NETWORK FORENSICS recorreremos las técnicas y herramientas necesarias para obtener tráfico de red, trabajaremos con Wireshark para aprender cómo analizar capturas de tráfico, y finalmente analizaremos y resolveremos en conjunto uno de los desafíos del Honeynet Project.

En el módulo NETWORK DISCOVERY & ATTACKS conoceremos técnicas avanzadas para el descubrimiento de una topología de red, atacaremos Routers Cisco, a los que muchas veces no se les presta demasiado atención, y comprometeremos la seguridad de la LAN mediante ataques que van mucho mas allá de los clásicos ARP Poisonings.

TEMARIO DEL CURSO:

NETWORK FORENSICS - (Día 1)

o Conceptos

o Introducción al NSM

o Accediendo al Tráfico
- Hubs
- Puertos de SPAN
- Taps
- Dispositivos in-line
- Wireless

o Engañando al Switch
- MAC Flooding
- ARP Poisoning
- Routing Games

o Capturando el Tráfico
- tcpdump
- tshark
- Snort

o Detectando Sniffers en la Red
- Análisis de DNS Lookups
- Estudio de Latencia
- Monitoreo de ARP
- Otras Técnicas

o Conociendo Wireshark
- Capture Filters
- Display Filters
- Stream de Datos
- Generando Estadísticas

o Caso de Estudio
- Honeynet Project (SotM Challenge)

NETWORK DISCOVERY & ATTACKS - (Día 2)

o Descubriendo la Topología

o Nmap Avanzado
- Estrategias de Host Discovery
- Port Scanning Desmitificado
- Scanning en Menos de 100 años

o Magia con Scapy
- Consumo de Tráfico con IP ID
- Diversión con DNAT

o Jugando con la TTL
- Traceroute Reloaded
- Firewalking
- TTL Analysis

o Hackeando Routers Cisco
- Descubriendo Routers
- Explotando Vulnerabilidades de IOS
- Explotando Defaults de Cisco
- Fuerza Bruta de los Logins
- Pwned! ¿ y ahora que ?

o Hackeando tu LAN
- Suplantando al Proxy
- Envenenamiento de Nombres
- Creando Servidores de Red Falsos
- Capturando la Información de los Usuarios

Cómo Detectar Sniffers

Sin profundizar demasiado voy a listar algunas de las técnicas conocidas para detectar sniffers que se encuentran capturando trafico en la red.

Verificar las Interfaces de Red

Muy obvio, ya lo sé. En Linux/Unix haciendo un "ifconfig", si logran ver la leyenda "PROMISC" significa que la interface se encuentra en modo promiscuo.

Para Windows, hay una aplicacion de Microsoft llamada Promqry que puede detectar si una interface de red esta en modo promiscuo ejecutando esta herramienta localmente en la PC o escaneando un rango de red remotamente. Siempre y cuando estemos en el contexto del grupo de Administradores.

PING con IP correcta y MAC incorrecta

Esto es viejo, pero la idea es enviar un ICMP Echo Request a la IP del sospechoso con su MAC address incorrecta. Si el sospechoso no esta sniffeando no deberíamos recibir ninguna respuesta ya que la MAC es erronea. En el caso contrario, como se encuentra en modo promiscuo y todos los paquetes son aceptados, deberíamos recibir un ICMP Echo Reply como respuesta.

Examinar los DNS Lookups

Muchos sniffers automáticamente resuelven los nombres de las direcciones IP que están escuchando, por lo que una PC que genere muchos pedidos de DNS podría ser sospechosa. También podríamos enviar un paquete a una dirección IP totalmente inexistente, cuando el sniffer intente resolver esa dirección IP podríamos descubrir al hax0r.

Analizar la Latencia

La idea seria primero estimar cual es la latencia que cada PC de la red posee, simplemente enviándoles unos PINGs, y luego generar mucho tráfico a ningún destino de la red, para mientras tanto volver a estimar la latencia de cada PC. La PC que se encuentra sniffeando debería aumentar su latencia 4 o 5 veces mas que el resto, ya que se encuentra manejando mucho más tráfico.

Escuchar la Actividad ARP

Usando una herramienta como arpwatch podemos monitorear la actividad ARP, en el caso de que se este realizando algún tipo de ARP Poisoning.

Estos son los métodos más comunes, ¿ a alguien se le ocurre otro ?

El Puente de los Remedios

Ayer decidí aprovechar el feriado nacional para instalar Leopard en mi MacBook utilizando los CD's originales de la MacBook que se compro Gesolmina hace poco. Muy mala idea...

Comencé haciendo un back-up de todos mis archivos, y fue allí que mientras resguardaba los albumes de iPhoto me encontré con esta fotografía que tomé hace un par de años en la ciudad española de Sevilla:

En Sevilla, hay una avenida que se llama "República Argentina" que en ese momento estaba cortada porque estaban construyendo el Subte, y el itinerario recomendado era tomar el "Puente de los Remedios". Irónico teniendo en cuenta la situación actual del país con esta eterna pelea campo-gobierno...

Volviendo a Leopard, no lo pude instalar porque los CD's originales que vienen con una MacBook tienen un build especial para el hardware con el que vinieron. Esto lo descubrí ayer, despues de haber hecho un back-up de toda mi laptop, y después de haber formateado el disco, porque siempre me gustaron los clean installs.

Tuve que volver a instalar Tiger, así que se imaginarán que pase el feriado a pura diversión... FUCK!

Los Mejores Wallpapers de EnCase

Para todos los fanáticos forenses que visitan este Blog, un regalito super-exclusivo de KungFooSion ;-)

PacketWars en la ekoparty!

Ya esta confirmado que PacketWars, el wargame para desafíos de hacking, estará presente en esta edición de la ekoparty!

Los mismos creadores de PacketWars vendrán desde Alemania y Estados Unidos para administrar todas las batallas y hacer ellos de referees. La idea es que diferentes grupos de hackers compitan entre ellos para adueñarse de diferentes objetivos.

Lo interesante de PacketWars es que posee un sistema visual que permite ver en tiempo real como se van hackeando los objetivos, lo que lo hace más divertido para quienes no se encuentran compitiendo.

En este video pueden ver algo de la dinámica de las batallas, pero obviamente la diversión esta en cada uno de los desafíos propuestos.

El equipo ganador no solo recibirá muy interesantes premios sino que tendrán el honor de ser los ekoparty Warriors que lograron vencer el primer PacketWars realizado en Latinoamérica. Preparense!! ;-)

Del website de PacketWars:

"PacketWars® is a sport like nothing you have ever experienced! Games known as Battles pit individual players and teams against each other in a race against time to achieve predefined objectives, win prizes and attain FAME. Operating in the shadows of the Internet beyond the rule of TCP/IP and devoid of compassion, a secret war rages. Sometimes spilling over into the “real” world, digital battles are waged to advance the will of the combatants. The combatants are as varied as their skills and motivation. Every engagement is unique. It is our duty to chronicle these events. Join us as we open a portal to extreme hacking. Do you have what it takes to survive?"

Cada Vez Falta Menos

Desde el año pasado que anda dando vueltas la noticia de que Fyodor publicará un libro sobre Nmap a mediados del 2008. Todavía no lo publico, pero parece que cada vez falta menos.

Igualmente no deja de asombrarme que después de tantos años de desarrollo de Nmap, recién a estas alturas el autor se haya decidido a escribir un libro.

- Tabla de Contenidos del Libro
- Algunos Capítulos Gratis del Libro