En la siguiente entrada les daré a conocer la implementación del método de autenticación por medio de CLAVES PÚBLICAS para SSH, si evitamos dejar la configuración por defecto, utilizando otros sistemas de comunicación y autenticación podemos aumentar la seguridad a un nivel más aceptable, ya que posiblemente si no tomamos medidas podemos ser vulnerados y otras personas no autorizadas pueden acceder al sistema con intención de hacer daños o extraer información remotamente; este protocolo es muy útil ya que facilita el trabajo a aquellos administradores que requieren y tienen la necesidad de hacer múltiples tareas en una máquina remota.
En la siguiente entrada pretendo dar a conocer una vulnerabilidad que tiene el Messenger atacando por medio de la distribución de Linux - Backtrack que contiene las herramientas etterfilter y Ettercap; realizando un Envenenamiento ARP o ARP Spoofing, está prática esta basada pricipalmente en la intervención de un Hombre en medio o “Man In The Middle”que en consecuencia este puede extraer cualquier tipo de información valiosa aplicando filtros determinados a los paquetes que el host malicioso va recibiendo del host origen para llegar al destino. Es muy importante que tengamos un conocimiento previo a este ataque, ya que podemos ser victimas del mismo afectando la seguridad de la informacion transmitida y recibida.
Como contramedida a este ataque podemos implementar en sistemas Linux la herramienta ARP Watch, esta detecta el uso de ARP Spoofing en nuestro sistema, podemos comprobar la correspondencia entre pares IPMAC (Ethernet). En caso de que un cambio en un par se produzca este software envía un correo de notificación del suceso a la cuenta root o administrador del sistema con un mensaje de tipo Change ethernet address". También podemos monitorizar la existencia de nuevos host (aparición de una nueva MAC en la red).
Existe otra herramienta llamada ARP Guard, que es un sistema para formar una protección activa contra los ataques internos a la red, este no interfiere con las aplicaciones internas de la red, y permite además reconocer posibles amenazas participando como observador, analiza constantemente todos los paquetes ARP y envía las alertas oportunas a los administradores de red indicando el origen del ataque.Nuevamente debemos resaltar que esta practica en un entorno real es ilegal, la hemos implementado internamente como prueba sin estar perjudicando realmente a ninguna persona; es muy importante estar informados en un contexto global de múltiples ataques que se pueden realizar y que en algun momento sin darnos cuenta podemos ser vulnerables y víctimas de los mismos.
En la siguiente publicación se pretende indicar dar a conocer los pasos que debemos seguir para la explotación de una vulnerabilidad en Metasploitable, dando una breve explicacion acerca de problemas frecuentes que se presentan en un sistema de Seguridad Informático, es decir, que un intruso ejecute un exploit y pueda acceder a una shell remota poniendo como principal objetivo una Aplacación Web (Coyote - Tomcan) obteniendo como resultado final un Meterpreter de plugins (opciones para obtener información) cargandolos en la memoria del sistema sin crear ningún proceso adicional ni dejar rastros de los posibles daños causados. Con el conocimiento de estos posibles ataques tenemos la oportunidad de protegernos, tomar medidas de prevención y evitar la pérdida de información valiosa.
La contramedida que podemos tomar para esta vulnerabilidad es actualizar la versión de la Aplicacion Web evitando asi que este exploit pueda ser ejecutado por personas malintensionadas. Es muy importante resaltar que a la hora de instalar un software que requiera de autenticación, debemos configurar correctamente los archivos no dejando los password por defecto y más bien usando una contraseña segura y difícil de vulnerar. Estas prácticas realizadas en estas actividad con de carácter ilegal, unicamente se implementan en un entorno local sin estar perjudicando a otros con estos ataques.
En la siguiente entrada pretendo dar a conocer los pasos que debemos seguir para la explotación de una vulnerabilidad en METASPLOITABLE, esto con el fin de estar informados acerca de un posible ataque al cual podriamos estar expuestos. Con el conocimiento de estas, podemos proteger nuestros sistemas informáticos detectando a tiempo estos errores de administracion. Para este caso vamos obtener informacion con un programa por medio de scripts para llegar a ser el superusuario del sistema "root".
Pasos para la explotación de la vulnerabilidad:
1. Conectividad: Vamos a probar que efectivamente tenemos conexión con la maquina que vamos a vulnerar (Metasploitable), esta acción la vamos a realizar con el comando Ping, como lo podemos observar en la siguientes dos imagenes.
2. Scanneo y reconocimiento de Puertos y Servicios: En este paso vamos a scanear los puertos y servicios que tiene disponible Metasploitable, con el comandonmap y algunas opciones que este tiene; aquí vamos a realizar un scaneo completo (1-65535) para que también nos liste los puertos comunescomo lo que podremos ver en la siguiente imagen.
La vulnerabilidad:
Como podemos verificar, la anterior imagen nos muestra todos los puertos que este tiene abiertos, para este caso vamos a vulnerar el puerto 6332, en el cual esta corriendo el protocolo TCP con el programa distccd, el cual está directamente relacionado con udev y la escalabilidad de privilegios en un sistema determinado; también nos muestra si el puerto está abierto o cerrado y la versión de los mismos. 2.Ejecucion de metasploit: En la siguiente imagen podemos observar que nos vamos a situar en la maquina Backtrack4, esta ISOcontiene una herramienta llamada METASPLOIT, la cual nos va a proporcionar información acerca de las vulnerabilidades que tenga este sistema. Estando allí nos dirigimos a la ruta donde vamos a ejecutar el script de este programa.
3. Búsqueda del exploit: Estando en el matasploit, con el comando search + nombre del software vamos a buscar los módulos o exploits existentes para el que vamos a vulnerar. Para este caso unicamente obtuvimos un EXPLOIT, este nos muestra el nombre que lo identifica y la descripción del mismo; esto lo podemos observar en la siguiente imagen.
4. Configuración de los parámetros para el exploit: El metasploit tiene múltiples opciones con las culaes le podemos dar siertas configuraciones a los módulos que estemos implementando y que son requisitos previos para poder que se lleve a cabo satisfactoriamente, para ello con la opción use y la ruta del exploit estamos seleccionando este módulo para la finalidad de la vulnerabilidad; con el comando show options verificamos cuales son los parámetros que nos hacen falta, para este caso debemos configurar el RHOST (nombre o dirección Ip del host remoto que vamos a vulnerar) y el PAYLOAD (que es lo que se quiere o se espera obtener con la ejecución de este exploit).
Configuración:
En la siguiente imagen podemos observar que con la opción set vamos a agregar el RHOST y nuevamente con el comando show options podemos verificar que efectivamente este parámetro ha sido añadido.
Selección del PAYLOAD:
Para esto vamos a implentar el comando show payloads, este nos muestra automáticamente los payloads disponibles para ese exploit; para este caso usaremos la shell via Ruby y con la opción set payloads + la ruta vamos a agregar este parámetro, nuevamente con show options verificamos que la configuración ha quedado correctamente. Esto lo podemos observar en las siguientes dos imagenes.
5. Ejecución del Exploit: Después de haber configurado todo lo anterior, ahora pasamos a ejcutar el exploit, estando en la ruta del mismo lanzamos la opción exploit e inmediatamente nos muestra que efectivamente se abrió una sesión con una shell remota, estando allí con el comando uname -a podemos ver la versión del kernel, con ifconfig la dirección IP y con whoami podemos visualizar que estamos como un usuario llamado daemon; esto lo podemos observar en las siguientes dos imagenes.
ESCALACIÓN DE PRIVILEGIOS:
1. Como se pudo observar en los pasos anteriormente realizados, el ususario en el cual estamos logeados no tiene los privilegios para ejecutar cualquier cosa en el sistema, es por ello que vamos a descargar y compilar un exploit local (gcc es un compilador y también tiene múltiples opciones), esto lo podemos observar en la siguiente imagen.
2. Preparar la maquina atacante para el exploit: Para este paso vamos a habrir otra shell en el backtrak, allí vamos a ejecutar el comando netcat + un puerto que este escuchando; una vez que ejecutemos el exploit local, se conectará hacia nuestra maquina permitiendonos ejecutar comandos remotos en ella; esto lo podemos visualizar en la siguiente imagen.
3. Ejecución del exploit: Para la ejecución de este exploit se requiere de dos cosas elementales, la primera es el PID del proceso udev y que el PAYLOAD que será puesto en /tmp/run, a continuacion en la imagen podemos observar con hacemos el script, tambien debemos editar el comando ps -edf | grep udev para que nos muestre el PID de los procesos asociados con cada usuario y por ultimo ejecutamos el exploit con ./.
4. Resultados: Inmediatamente hemos ejecutado el script, en la otra shell debe aparecer la conexión al host remoto exitosamente, con el comando whoami verificamos que efectivamente ahora somos el superusuario del sistema (root). Es debido recordar que estando logeados con este usuario podemos ejecutar cualquier cosa en la maquina, es decir, tenemos el control total y todos los privilegios como por ejemplo poder visualizar el archivo del shadow en el cual se encuentran todos los usuarios que están registrados en el sistema con sus respectivos passwords; esto lo podemos observar en las siguientes dos imagenes.
CONTRAMEDIDA
La contramedida que se puede tomar para que no seamos vulenrables a este ataque es actualizar la versión del kernel o no permitir las conexiones a estos puertos, esta última sería una media muy drástica pero puede ser válida mientras se requiera de protección al sistema. Es de gran importancia tener en cuenta que este tipo de ataques son iligales en un entorno real, por esta razón esta práctica se realizó a modo de prueba localmente implementado máquinas virtuales para exponer que estos ataques se realizan frecuentemente de parte de muchas personas maliciosas o no éticas que utilizan la información para dañar y causar perjuicios.
En la siguiente entrada se plantea una implementación general sobre una Plataforma de Monitoreo (Gestión y Administración) soportada en los Sistemas Operativos Linux - Fedora y Windows Server 2008. En dicha infraestructura se utiliza como parámetro y protocolo principal el SNMP para lograr la interacción entre el Cliente (Agente) y el Servidor (NMS) de tal modo que se garantice el descubrimiento y monitorización del primero con el fin de tener un control sobre la red y detectar fallas para la aplicación de medidas de corrección.
Se recopila información acerca de todos los conceptos relacionados con la interación del Servidor con los clientes y la importancia que representa la funcionalidad del protocolo SNMP dentro de la misma infraestructura de red. Además, se explicará de forma clara y precisa los procedimientos realizados durante la configuración del Servidor como tal utilizando las plataformas Zabbix y sus agentes propios; y OpManager con la interacción d elos agentes nativos del Sistema.
A partir de cada una de las pautas, indicaciones y parámetros establecidos para el desarrollo del proyecto, se pretende reunir de manera unificada cada uno de los elementos implementados y utilizados como infraestructura de red para la Gestión y Administración del comportamiento, diagnótico y funcionamiento de los servicios o recursos de los cuales disponen éstos por medio de la utilización y creación de un mapa de red específico y detallado que permite recopilar la base de los principios y caracteristicas por las cuales se encuentra soportada dicha plataforma.
El diagrama que se presenta a continuación fue utilizado en el desarrollo y aplicación de la Plataforma de Monitoreo Zabbix en el Sistema OperativoLinux - Fedora.
A partir de cada una de las pautas, indicaciones y parámetros establecidos para el desarrollo del proyecto, se pretende reunir de manera unificada cada uno de los elementos implementados y utilizados como infraestructura de red para la Gestión y Administración del comportamiento, diagnótico y funcionamiento de los servicios o recursos de los cuales disponen éstos por medio de la utilización y creación de un mapa de red específico y detallado que permite recopilar la base de los principios y caracteristicas por las cuales se encuentra soportada dicha plataforma.
El diagrama que se presenta a continuación fue utilizado en el desarrollo y aplicación de la Plataforma de Monitoreo OpManager en el Sistema Operativo Windows Server 2008.
En esta entrada les daré a conocer una breve descripción acerca de los resultados que se pueden obtener cuando procedemos a realizar un análisis de riesgo a determinados equipos activos que pertenezcan y tengan una función en específico dentro de la red. Para llevar a cabo un ANÁLISIS DE RIESGO se deben tener en cuenta unos pasos previamente establecidos y que son elementales para que los resultados del mismo sean los esperados. Aquí se muestra una gráfica con las proporciones de riesgo que se identificaron para cada uno de los dispositivos consultados y espero les sea de gran utilidad para la implementación y el desarrollo de esta técnica.
CLASIFICACIÓN - LEVANTAMIENTO DE LOS ACTIVOS
Como primer paso se debe investigar si el activo si se encuentra en funcionamiento, si esta conectado a la red y si tiene una persona encargada que me pueda brindar toda la información posible acerca del mismo. Creamos una tabla de manera organizada en la cual especifiquemos las principales características del activo como lo son:
Para los activos de hardware:
Tipo de activo
Marca
Modelo
Responsable
Sistema operativo (S.O)
Ubicación
Descripción
Nombre asignado
Dirección IP
Dirección MAC
Entre otras características que ya se podrán definir.
Para los activos humanos:
Tipo de activo
Cargo
E-mail
Administrador
Ubicación
Entre otras características que ya se podrán definir.
Hecho lo anterior, que es determinar la información principal vamos a determinar para cada uno de los activos la DISPONIBILIDAD, INTEGRIDAD, CONFIDENCIALIDAD y un VALOR general de acuerdo a lo que se determinó en los elementos anteriores, recordemos que cada uno de los dispositivos deben estar dentro de la red a la cual se encuentran conectados o que esta directamente relacionado cuando es un activo humano. Estos valores se definen en un rango de 1 – 4 para cada una de los elementos agregando el valor; esto se incluye en la tabla de características del activo.
DIAGNÓSTICO - ANÁLISIS DE RIESGO DE ACTIVOS
En el siguiente paso vamos a realizar el ANÁLISIS DE RIESGO, al igual que el anterior paso crearemos unas tablas en la cual se especificaran los siguientes requisitos para los dos tipos de activos:
Tipo del activo (Nombre y ubicación)
Cinco amenazas a las cuales este expuesto el activo
El impacto que esto podría causar (Esto es igual al valor definido anteriormente)
La probabilidad de ocurrencia (1 año) (Se debe consultar con la persona encargada del activo)
Riesgo (R = IMPACTO * PROBABILIDAD DE OCURRRENCIA) y de acuerdo a esto se le da un riesgo alto, medio, bajo y muy bajo hasta un porcentaje máximo de 100.
GRÁFICO DE PORCENTAJES - ANÁLISIS DE RIESGO DE ACTIVOS
Ahora pasamos a realizar una gráfica en la cual se expresen todas las proporciones de cada uno de los activos a los cuales se le definió la información. Para ello implementaremos el programa de Excel realizando una tabla en la cual se debe específicar lo siguiente:
Nombre del activo
RIESGO (%), este valor se saca sumando el valor que tuvieron cada una de las amenazas en la tabla hecha anteriormente, ese resultado lo dividimos por cinco y el resultado es el riesgo total que este activo tiene.
Hecho lo anterior, señalamos toda la tabla y nos dirigimos a Insertar – Gráficos y allí elegiremos el que se acomode a nuestras necesidades. Lo más conveniente es que seleccionemos el gráfico circular que es que aparece a continuación.
En el primer gráfico se esta especificando el valor en porcentaje para cada uno de los activos, cada uno tiene un color que lo identifica y toda la sumatoria de la torta es igual al 100%. En el segundo gráfico se tienen los mismo con la diferencia de que los valores que cada uno tiene son iguales al valor real que se dió en la tabla (RIESGO) en números decimales.
En conclusión general, es muy importante estar informado de las principales características que tiene cada uno de los activos que se encuentran en funcionamiento en una red, determinar cuáles son las principales amenazas, su probabilidad de ocurrencia y cuál es el impacto que podrían causar si llegara a suceder, lo anterior permite mantener un control y buscar soluciones para prevenir y tratar de reducir al máximo el riesgo que tienen cada uno de los activos.
En la siguiente entrada les daré a conocer acerca del tema de los METADATOS, cual es su concepto general, tipos de metadatos, cual es su función dentro de la información, entre otros. Dentro de un contexto global, toda la información como documentos, fotos, imágenes, videos, entre otros tienen metadatos contenidos dentro de sí mismos. Es elemental obtener información acerca de esto ya que con esta información es posible violar la seguridad e implementar la misma para otros fines dañinos.
Los METADATOS son datos contenidos o que se crean dentro de los archivos cuando estos se realizan o se desarrollan por primera vez o cuando se vuelven a modificar, esta información no es visible por el usuario ya que están ocultos, pero existen múltiples software que permiten verlos o eliminarlos para que no sean vistos por terceras personas. Contiene y describen información como:
Fecha de creación del archivo
Usuario que creo el archivo
Formato del archivo
Programa en el cual fue realizado
Entre otros.
Se debe tener mucho cuidado con esta información, ya que puede ser utilizada por otros para hacer daños informáticos violando la INTEGRIDAD y CONFIDENCIALIDAD del mismo. Los metadatos pueden tener varias funciones, una de ellas es proporcionar una descripción de una entidad u objeto de información a través de otros datos necesarios para su manejo y preservación; facilitar puntos de acceso a dicha descripción y codificar la misma.
Los metadatos se pueden clasificar usando tres criterios:
Acerca del contenido: Los metadatos se pueden diferenciar como los que se refieren al recurso mismo de los que describen el contenido del recurso o del mismo archivo.
La variabilidad: Según la variabilidad se puede diferenciar entre los METADATOS INMUTABLES, (el contenido del archivo no cambian, por ejemplo el nombre del fichero); y los METADATOS MUTABLES (la información o el contenido se separan por partes, por ejemplo un video).
La Función: Los datos pueden formar parte de tres capas de funciones: Los datos subsimbólicos, son aquellos que no contienen información sobre su significado. Los simbólicos, son aquellos que describen datos subsimbólicos, es decir, tienen sentido. Los datos lógicos, son aquellos que describen cómo los datos simbólicos pueden ser usados para sacar conclusiones lógicas, es decir, le dan comprensión al contenido. Los metadatos pueden ser mínimos o detallados según sea el nivel de información que se brinde en los datos documentados.
TIPOS DE METADATOS
Metadatos Descriptivos: Permiten la descripción e identificación de los recursos para la búsqueda y recuperación de un determinado documento o imagen.
Metadatos Administrativos: Proporcionan la gestión y procesamiento de los datos digitales.
OBJETIVOS DE LOS METADATOS
Reconocer los metadatos puede tener múltiples objetivos, los cuales pueden ser:
Reconocer la Disponibilidad: facilita al usuario la identificación de la información existente sobre un documento con datos espaciales e importantes.
Identificación del Uso de los datos: Le permite al usuario reconocer si el conjunto de datos se ajusta a un requerimiento específico para un fin.
Facilita el Acceso: Informar al usuario acerca de la ubicación, tamaño, formato, medio, precio y restricciones de uso con el fin de identificar y adquirir un conjunto de datos para llevar a cabo un objetivo especifico.
Facilita la Transferencia: Ofrece la información necesaria para utilizar, procesar e intercambiar un conjunto de datos especiales para describirlos y localizarlos.
Existen diferente software que permiten analizar, extraer y eliminar los metadatos de cualquier archivo (documentos, imágenes, fotografías, videos, música, entre otros), algunos de ellos pueden ser:
