Durante aproximadamente 7 meses hemos estado recopilando sitios webs con distintas vulnerabilidades, gracias a nuestras propias investigaciones o colaboraciones de distintos usuarios, hasta la fecha registramos aproximadamente 1058 sitios web, de distintos paises, distintos tipos de entidades (universidades, bancas, etc) y con distintos estados. Actualmente en Secureless manejamos 3 tipos de estados, las Reportadas, No Reportadas

La diferencia que existe entre las Reportadas y las Sin Reportar, principalmente se da porque los sitios web no publican un correo o alguna forma de contacto para poder reportar este tipo de fallas, por lo general se limitan a poner un formulario de “consultas” y muchas veces en bancos, universidades o sitios del gobierno, hay que completar un formulario con cientos de campos obligatorios.

Los sitios web que realmente deberian tener este tipo de procedimiento como los bancos, Universidades o sitios del gobierno que manejen información sensible de personas, no lo hacen. Muchas veces debemos enviar el reporte a correos genericos y/o aleatorios como contacto@dominio, info@dominio o webmaster@dominio, sin tener respuesta.
La relación que existe entre las Reportadas y las Solucionadas, nos demuestra que de alguna forma estamos apuntando para el lado correcto, ya que el 90% de las vulnerabilidades reportadas se solucionan.

De los tipos de vulnerabilidades, hay dos categorías que pelean el puesto para ser los que más sitios registran, el SQL Injection y al Cross-Site Scripting

Es curioso, ya que una es client-side (xss) y la otra server-side (sql-i), pero ambas ocurren por una mala sanitización de los parametros de entrada.

La que los sigue es Full Path Disclosure, una vulnerabilidad que por si sola no es muy critica y que muchas veces se le da la responsabilidad al encargado del servidor, que no deshabilita los errores o el debug, aunque segun yo, el programador debería ser capaz de manejar los errores y validar los parametros de entrada para evitar el crash de la aplicación y asi evitar cualquier tipo de error sin atajar. El tipico ejemplo, cuando modificamos los parametros por GET y transformamos una variable en un Array.

Si analizamos la cantidad de sitios por tipo de organización, nos encontramos con el siguiente gráfico:

Las universidades son de las entidades (segun nuestro criterio) que más vulnerabilidades tienen, ya que muchas de ellas les abren espacios a sus clientes alumnos, por lo general un servidor compartido entre usuarios y en algunos casos extremos, un servidor compartido con aplicaciones de la universidad (intranets, etc).
Luego viene los del gobierno, que mientras más sitios y sistemas ofrecen, menos control tienen sobre las aplicaciones y sobre los datos que manejan. Es muy comun en sistemas y sitios del gobierno encontrar tecnologias antiguas y en muchos casos, obsoletas.
Con eCommerce, me refiero a sitios que ofrecen “comercio por internet”, como PC Factory, Falabella, Ripley, etc.
Finalmente tenemos a los queridos Bancos, que sinceramente ellos ni si quiera deberian aparecer en este listado.

El último gráfico, corresponde a sitios segun su pais o dominio

No significa que Chile sea mas vulnerable que los otros, simplemente que en un principio nos dedicamos unicamente a almacenar sitios chilenos, pero poco a poco fuimos aceptando colaboraciones de otros paises y otros dominios.

El pasado viernes 18 de noviembre se realizó la primera versión de la 8.8, una conferencia orientada a la seguridad informática y hacking. Tuve el agrado de exponer sobre el Proyecto Secureless, que llamó la atención de varios de los asistentes y gracias a eso logré tener contacto con distintas personas encargadas de la seguridad o del area de informática de bancos, universidades, etc. Hubo charlas técnicas y otras no tanto, yo expuste, además de la presentación de Secureless, algo que ya había expuesto antes en otras conferencias, sobre Hacking Automatizado, básicamente la automatización de tareas mediante scripts en bash, php, python, etc.  De esta chalra no pude  mostrar todo por falta de conexión a internet.

De las cosas que mas me interesaron, fue “Gaining Full System Access via Virtual Memory“, que comenzó hablando sobre congelar la RAM para mantener la información  (Cryogenically frozen RAM) y que obviamente el escenario para explotar este tipo de cosas es bien complicado, ya que hay que tener acceso fisico, sin embargo, esto tambien sucede en las máquinas virtuales por ejemplo con VMWARE, que genera un archivo “.mem”, basta con hacer un dump de ese archivo y guardarlo para simular el “congelado”. Mediante este ataque, Thomas demostró que Linux es más inseguro que Windows en este sentido, por el simple hecho de que Windows es capaz de cifrar la información que está en la RAM, Linux no lo hace. Lo demostró leyendo el hash del archivo /etc/shadow desde la ram y también accediendo a la password en texto plano que se digitó para autenticarse en una shell.

Tambien me pareció interesante la charla de Marco Balduzzi quien hablaba sobre HTTP Parameter Pollution, que por el tipo de preguntas que se hicieron creo que no mucha gente entendio el sentido de HPP.

Más allá de las charlas, lo que más me gustó es que existiera la instancia de poder mirar cara a cara a los distintos responsables y tambien conocer a gente nueva que está interesada en todo este tema de la seguridad informática y hacking. Me dio mucho gusto conocer a varios de los que solo me había relacionado via email para reportar vulnerabilidades.

Nos vemos el 2012!

El código es simple, requiere python-twitter y pyzenity y lee los parametros de OAuth como TOKEN y SECRET etc desde un archivo llamado .simple-pytweet en tu $HOME.

Los horarios son los siguientes:
Sabado 9 de Octubre
- 19:15 hrs: Hacking automatizado
Domingo 10 de Octubre
- 15:00 hrs: Ofuscación de archivos

Les recuerdo que la entrada es liberada.

Luego de haber resuelto un problema con el encargado de CFT Lota Arauco, y luego de que éste me comentara que alguien quería lucrar con la información que yo publicaba en mi blog, he decidido hacer publico el nombre y el correo de la persona. Anoche recibí un correo con una amenaza de dicho personaje, para que retirara esa información de mi blog. Quiero compartir el correo con ustedes:

Buenas Fernando:

Te comunico que nuestra empresa se dedica a revisar webs de todo el mundo para ofrecer soluciones informaticas ya sea gratis o de pago. Solicito que en tu web te dirijas a mi persona con respeto y no con esa ironia, nombrandome como personaje. Para evitar problemas legales o de otro tipo, te solicito explicitamente que retires mi correo electronico y mi nombre de tu blog. Ya que mi correo electronico es propiedad privada, y no puede andar publicado en webs.

Sin nada mas que decir, espero que quites mi NOMBRE y CORREO ELECTRONICO de tu blog.

Saludos.

–
Joan Calderón.
Cisco CCNA Certified
Cisco CCNP Certified
Cisco Ethical Hacker
Certificado Desarrollador 5 estrellas DCE Microsoft.
C.E.O
[Q]Quanticc

Lo encuentro insolito. Esto me recuerdo a la propuesta de Ley de mordaza digital que están promoviendo algunos senadores en Chile.

Lo más comun, y que me da muca risa y aveces rabia, y me desespera un poco, es ver como los usuarios avanzan lentamente, directorio por directorio, hasta llegar a la destino final. Por ejemplo:

$ cd /
$ cd home
$ cd usuario
$ cd public_html
$ cd includes

En lugar de ejecutar directamente
$ cd /home/usuario/public_html/includes

Y peor aun, hay veces que el usuario es inseguro y prefiere verificar si lo hizo bien y termina su caminata por los directorios haciendo un “pwd”:

$ cd /
$ cd home
$ cd usuario
$ cd public_html
$ cd includes
$ pwd
/home/usuario/public_html/includes
$

Hay algo que me desespera aun mas, es cuando el usuario tiene la necesidad de listar el contenido de CADA directorio:

$ cd /
$ ls -l
$ cd home
$ ls -l
$ cd usuario
$ ls -l
$ cd public_html
$ ls -l
$ cd includes
$ pwd
/home/usuario/public_html/includes
$ ls -l

Para los que no saben, para esto existe un truco (tip!), no digo que se aprendan los directorios de memoria, pero pueden ejecutar todo en una sola linea, por ejemplo, cuando escriben / pueden presionar tabular dos veces y automaticamente aparecerá el listado de archivos y directorios dentro de /. Asi mismo, si escriben /home/ y dos veces tabular, veran todo el contenido de /home, sin tener que ejecutar cd /home, presionar enter y luego un ls.

Otra cosa que es muy comun, aunque no lo crean, es encontrar las passwords de las bases de datos, especialmente de MySQL. La gente está acostumbrada a ejecutar el comando mysql para conectarse a la base de datos pasandole como parametro el usuario y la password

$ mysql -uproduccion -p4gSg4ws -hlocalhost mydatabase
mysql>

Tambien usan esta misma tecnica para generar los típicos respaldos usando mysqldump.

$ mysqldump -uproduccion -p4gSg4ws -hlocalhost mydatabase >>mydatabase.sql

Obviamente esto es un problema de seguridad, ya sea porque no se educó bien al usuario o simplemente porque no existen medidas de seguridad dentro del contexto donde se está ejecutando este tipo de comandos.

Tambien es muy usual encontrar a usuarios que intentan pasarle la password de root al comando “su”, ejecutando comandos tipo:

$ su - 354dr2

Pensando que 354dr2 es la password de root, al igual que

$ sudo su - password_del_usuario

Pensando que de esa forma no le pedirá el password. Lo que no sabe el usuario es que todo lo que ejecuta esta siendo logueado y que está comprometiendo la seguridad del servidor.

El .bash_history o historial de comandos bash, muestra mucho como trabajan los usuarios, qué hacen y de qué forma lo hacen, de esta forma es posible obtener información sobre algun sistema o servicio que esté corriendo en el servidor, por ejemplo si entramos a la mala a un servidor y queremos buscar información privada o información que nos interese, podemos ver el historial de los usuarios para saber qué hacen, por donde se mueven y seguir sus pasos.

Un dia me tocó ver que un usuario tenia un script “escondido” que se conectaba vía llave pública a 4 o 5 servidores (incluyendo uno fuera de la red), obviamente, la llave privada estaba en el servidor donde yo estabam por lo que pude acceder a todas sus cuentas en los otros servidores.

Y luego me puse a probar distintos emuladores y juegos de consolas: NeoGeo, MAME, SNES, N64, PSX, etc.

Para emular juegos de NeoGeo tenemos el gngeo y el mame-sdl, para snes el famoso zsnes, para n64 mupen64 y para psx el epsxe.
A continuación, una pequeña muestra de cada emulador corriendo algún juego en especial.

Primero les voy a mostrar gngeo con su frontend XGngeo

Para descargarlo pueden encontarlo en su sitio oficial http://gngeo.berlios.de/ o bien buscarlo en los repositorios de la distribución que estén usando. Pueden descargar el frontend XGnGeo desde aquí: http://www.choplair.org/?XGngeo

Con el emulador de MAME puedes jugar tambien los juegos de neogeo. Para emular mame tienes el emulador por línea de comando “mame-sdl” y el frontend llamado qmc2.

Para emular súper nintendo, uso el conocido zsnes (muuuuy antiguo), que está en la mayoría de los repositorios de las distribuciónes GNU/Linux y también lo podemos encontrar en zsnes.com.

Yo recuerdo haber usado este mismo emulador hace muchos años atrás, era uno de mis preferidos, con zsnes pasé varias horas frente al pc jugando. El emulador permite configurar hasta 5 players y además, permite jugar en línea.

Para PlayStation 1 (PSOne, PSX) uso el epsxe. Este emulador es un poco complicado de instalar, necesita un plugin para cada cosa. Por ejemplo, un plugin de video y otro de sonido, aunque generalmente puedes encontrar el emulador con todos sus restos dentro del mismo repositorio. Por ejemplo, en Archlinux lo puedes descargar e instalar directamente de AUR. Luego debes intrusear un poco la configuración hasta llegar a la más óptima para tu hardware. En mi caso, me uso este emulador simplemente para jugar Silent Hill 1.

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

Como dice la definición, son técnicas que se aplican mediante ingeniería social y ésta es, por si misma, un arte.
Podemos detectar distintos tipos de phishing, desde uno muy simple como falsificar un sitio y lanzarlo al mundo para que la gente caiga o bien uno más complejo con objetivos determinados y con víctimas específicas. En el primer tipo, me gustaría hacer referencia a todos los conocidos ataques que se han hecho a bancos simplemente falsificando el sitio web y obteniendo información de gente al azar, por ejemplo el caso en que se vio envuelto Mastercard Argentina. Con el segundo tipo, quiero hacer referencia a casos más trascendentes que generalmente no son conocidos, ya que no afectan a mucha gente sino mas bien a una víctima específica. Para mi, el primer tipo es una mierda, sin embargo, me gustaría destacar los ataques del segúndo tipo. De ahora en adelante, los distinguiré según su tipo.

Primero, voy a entrar en detalles con el phishing de primer tipo. Cualquier persona con mínimos conocimientos en desarrollo puede copiar una página y conseguirse un dominio similar al original para hospedarla y lanzarla al mundo para ver quienes caen, generalmente con estos tipos de ataques no sabes quienes son las personas que caen en tu trampa, simplemente obtienes sus datos para fastidiarles, ingresas a sus cuentas y ver si tiene algo entretenido, no tiene ninguna ciencia. Este tipo de ataques no tienen ningún sentido, no se está aplicando ingeniería social ni mucho menos.
Existe una gran diferencia entre dirigir los ataques a una persona o víctima en particular versus el direccionarlo a quien caiga: la dificultad y la emoción.

El segúndo tipo es en el que quiero profundizar más. Cuando tenemos una víctima en la mira, es mucho más emocionando hacer éste tipo de ataques, ya que nos costará más y nuestro fín es único, no afectará a otras personas quienes no nos interesa. Para hacer ataques dirigidos, tenemos distintas técnicas, desde ataques locales hasta ataques remotos, podemos hacernos pasar por otra persona, engañando a nuestra víctima para que crea lo que nosotros queremos que crea y así obtener lo que queremos, hasta podemos manipularla. La víctima debe pensar que somos alguien de confianza, que se mueve dentro de su círculo de amigos o conocidos, sabemos mucho de ella y ella cree saber mucho de nosotros. Hacer que la víctima confíe en nosotros toma mucho tiempo, hace que haga lo que nosotros queremos más aún. Se puede lograr desde ataques sicológicos hasta con ataques netamente informáticos pero sin duda lo mejor es una combinación de ambos. Generalmente las víctimas de éste tipo de ataque son conocidos (nosotros lo conocemos, pero muchas veces él a nosotros no) a menos que sea por encargo.
La captura de datos o información se puede lograr falsificando websites, por teléfono, en persona, mediante algun tipo de mensajería instantanea, sniffeando la red, etc. Todo va a depender de nuestra imaginación, conocimiento y capacidades.

Cuando tenemos una víctima elegida, es muy entretenido el proceso en el cual hay que seducirla y mucho más aún, cuando la persona cae en nuestro juego y una véz obtenida la información es mucho más emocionante aún. Luego es el proceso de la verificación de información y posteriormente, una des-seducción de nuestra víctima, es decir, hacer que poco a poco se vaya alejando, pero sin perder el control de la situación y obviamente, sin pretender que nuestro objetivo se de cuenta de lo que planeamos hacer. Lo mejor es confundirlo.
No siempre se logra el objetivo, aveces porque nuestras técnicas han fallado y otras veces porque la persona que elegimos como víctima no es tan fácil de seducir. Hay que saber en qué momento abortar misión, porque los afectados podemos ser nosotros.

Existe un concepto errado de lo que es el phishing, al igual que muchas cosas, la popularidad de los términos terminan deformandose. Para mucha gente éste término es sinónimo de “robo de cuenta del banco y transferencias de dinero ilícitas“, que sería la definición peyorativa.
Detrás de muchos hackeos existen, implícita o explícitamente, técnicas de phishing aplicadas sobre las víctimas, y no podemos desperdiciar todo el proceso pensante y las capacidades del atacante para elaborar un ataque de ésta magnitud.

La nueva joyita tiene 2GB de ram, 250GB en disco duro y el procesador es un Core 2 Duo de 2.5Ghz. Como mi gestor de ventanas no gasta casi nada de recursos, toda esa ram y todo ese procesador sería casi 100% para las aplicaciones. Otras caracteristicas de este portatil es su ligero peso, casi 1Kg, pantalla de 12.1″, webcam, bluetooth … bueno, mejor lo explico mediante un lsusb y lspci.

[zerial@balcebu ~]$ lspci
00:00.0 Host bridge: Intel Corporation Mobile 4 Series Chipset Memory Controller Hub (rev 07)
00:02.0 VGA compatible controller: Intel Corporation Mobile 4 Series Chipset Integrated Graphics Controller (rev 07)
00:02.1 Display controller: Intel Corporation Mobile 4 Series Chipset Integrated Graphics Controller (rev 07)
00:03.0 Communication controller: Intel Corporation Mobile 4 Series Chipset MEI Controller (rev 07)
00:03.3 Serial controller: Intel Corporation Mobile 4 Series Chipset AMT SOL Redirection (rev 07)
00:19.0 Ethernet controller: Intel Corporation 82567LM Gigabit Network Connection (rev 03)
00:1a.0 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #4 (rev 03)
00:1a.1 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #5 (rev 03)
00:1a.2 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #6 (rev 03)
00:1a.7 USB Controller: Intel Corporation 82801I (ICH9 Family) USB2 EHCI Controller #2 (rev 03)
00:1b.0 Audio device: Intel Corporation 82801I (ICH9 Family) HD Audio Controller (rev 03)
00:1c.0 PCI bridge: Intel Corporation 82801I (ICH9 Family) PCI Express Port 1 (rev 03)
00:1c.1 PCI bridge: Intel Corporation 82801I (ICH9 Family) PCI Express Port 2 (rev 03)
00:1c.3 PCI bridge: Intel Corporation 82801I (ICH9 Family) PCI Express Port 4 (rev 03)
00:1d.0 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #1 (rev 03)
00:1d.1 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #2 (rev 03)
00:1d.2 USB Controller: Intel Corporation 82801I (ICH9 Family) USB UHCI Controller #3 (rev 03)
00:1d.7 USB Controller: Intel Corporation 82801I (ICH9 Family) USB2 EHCI Controller #1 (rev 03)
00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev 93)
00:1f.0 ISA bridge: Intel Corporation ICH9M-E LPC Interface Controller (rev 03)
00:1f.2 SATA controller: Intel Corporation ICH9M/M-E SATA AHCI Controller (rev 03)
00:1f.3 SMBus: Intel Corporation 82801I (ICH9 Family) SMBus Controller (rev 03)
03:00.0 Network controller: Intel Corporation PRO/Wireless 5100 AGN [Shiloh] Network Connection

[zerial@balcebu ~]$ lsusb
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 003: ID 0a5c:2145 Broadcom Corp.
Bus 004 Device 002: ID 08ff:2810 AuthenTec, Inc.
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 008 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 17ef:480c Lenovo
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

En esto último podemos ver “Broadcom Corp.” que corresponde al Bluetooth y “AuthenTec” que corresponde al Fingerprint, que lamentablemente aún no existe un módulo que lo soporte, lo demás cero problemas.

Y el procesador …

processor    : 0
vendor_id    : GenuineIntel
cpu family    : 6
model        : 23
model name    : Intel(R) Core(TM)2 Duo CPU     P8700  @ 2.53GHz
stepping    : 10
cpu MHz        : 2527.006
cache size    : 3072 KB
physical id    : 0
siblings    : 2
core id        : 0
cpu cores    : 2
apicid        : 0
initial apicid    : 0
fdiv_bug    : no
hlt_bug        : no
f00f_bug    : no
coma_bug    : no
fpu        : yes
fpu_exception    : yes
cpuid level    : 13
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc arch_perfmon pebs bts pni dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm sse4_1 xsave lahf_lm ida tpr_shadow vnmi flexpriority
bogomips    : 5056.59
clflush size    : 64
power management:

processor    : 1
vendor_id    : GenuineIntel
cpu family    : 6
model        : 23
model name    : Intel(R) Core(TM)2 Duo CPU     P8700  @ 2.53GHz
stepping    : 10
cpu MHz        : 2527.006
cache size    : 3072 KB
physical id    : 0
siblings    : 2
core id        : 1
cpu cores    : 2
apicid        : 1
initial apicid    : 1
fdiv_bug    : no
hlt_bug        : no
f00f_bug    : no
coma_bug    : no
fpu        : yes
fpu_exception    : yes
cpuid level    : 13
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc arch_perfmon pebs bts pni dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm sse4_1 xsave lahf_lm ida tpr_shadow vnmi flexpriority
bogomips    : 5056.62
clflush size    : 64
power management:

Obviamente le instalé Archlinux y continuo usando DWM.

Fotos

La idea de este post es explicarles, en base a mi experiencia, ambas técnicas. En especial la segunda. Existen muchas empresas que exhiben su red en una señal wifi pública con cifrado WEP y es por esto que quiero dar mayor énfasis a éste tipo de penetración.

En el primer caso, tenemos el ingreso al servidor objetivo mediante alguna vulnerabilidad en los sitios o servicios que hospeda nuestra víctima. En este ejemplo, sólo me referiré al servicio http.
El esquema es mas o menos así:

Lo que quiero explicar es muy simple, tenemos ese portatil que seriamos nosotros, los atacantes, y en el recuadro celeste, los servidores conectados en una red de área local (lan) o en una zona desmilitarizada (dmz). La idea es ingresar a ese recuadro celeste sea como sea, aprovechandose de algun servidor mal configurado o sitio que exponga alguna vulnerabilidad y, cuando estemos dentro, empezar a saltar a los otros servidores y ganar acceso poco a poco a toda la red. Una vez que tengamos acceso a uno de los servidores dentro del área celeste, podremos usar herramientas para detectar otras máquinas, por ejemplo el conocido nmap. Con ésta herramienta, podremos escanear segmentos y subsegmentos completos, hacer pings a múltiples direcciones y a distintos servicios y detectar cosas como la mac de cada equipo, servicios que ofrecen, hostname, etc.

Ahora quiero pasar al punto dos, que es lo que más me gusta.

El cifrado WEP es muy vulnerable y muy fácil de crackear, ya sea 64 o 128bits, en un par de minutos es posible obtener la contraseña. Aunque existen métodos de cifrado como WPA que son mucho más seguros y requiere un diccionario para lograr descifrar la contraseña, lo que hace que sea poco probable de hacerlo.
Bueno, teniendo en cuenta todos estos antecedendes resulta increible que aún existan empresas u organismos (inclusive del gobierno) que estén exponiendo su red vía wifi con cifrado WEP. Pero para nosotros, esto es bueno, ya que nos podemos aprovechar ya sea para obtener internet free o para lo que queramos hacer

Cuando nos logramos conectar a una red wifi de una empresa, la cual está mal configurada y si a ésto, sumamos que el firewall (si es que tienen) está casi configurado por defecto, es todo mucho más fácil. Existen casos en que subsegmentan y dividen la red por departamento o bien aislan los servidores de los pc de escritorio, pero lo hacen solo cambiandoles las direcciones ip, muchas veces ni si quiera crean reglas en el firewall para que estas maquinas no se puedan ver o bien crear una zona desmilitarizada para los servidores. Cuando ésto sucede, nosotros lo único que debemos hacer es camiarnos la IP a una que esté dentro del rango y listo, ya somos parte de “la red de servidores”. Para descubrir que rango de IP debemos usar para ir cambiando de departamento o para ingresar a zonas “privilegiadas”, podemos utilizar la misma herramienta que propuse en el punto 1: nmap. Tambien podemos utilizar algún sniffer como wireshark o ettercap para descubrir información interesante.

Existe el caso donde los servidores no están alojados fisicamente en la misma empresa, pero perfectamente con un poco de ingenio e imaginación podemos obtener la información de acceso a los servidores estándo dentro de la red, filtrando y analizando la informaicón, por ejemplo realizando un ataque MiTM, envenenando la red. Cuando ya formamos parte de la red, es mucho más fácil analizar el tráfico de la red, escanear máquinas e intentar ganar accesos a alguna de ellas y con una red wifi “protegida” con WEP no nos deberíamos tardar más de 1 hora en hacerlo.

Cuando empezamos a escanear nos encontramos con varias sorpresas, desktop con windows, servidores ftp, servidores de impresion, routers sin clave, etc. Nos podemos divertir un rato mandando a imprimir algunos mensajes, enviando mensajes dentro de la red de windows (el típico winpopup ó net send). Es muy típico encontrarse accesos a Terminal Servers, directorios compartidos con Samba (incluso computadores enteros compartidos con Samba), etc.

El cronograma final del hackmeeting lo pueden encontrar en el siguiente enlace: http://hackmeeting.kernelhouse.org/wiki/doku.php?id=programacion

Las presentaciones de algunas charlas que se efectuaron:

• Buffer overflow for fun and profit (tty0)
• Behind the enemy lines (dererk)

Las fotos de la actividad las pueden encontrar en este link: http://fotos.kernelhouse.org

¿Por qué Drupal?

Drupal pretende ser mucho más que un gestor de contenidos, lo que busca ser es un gestor de comunidades, un framework para gestionar comunidades, lo que yo llamo CMF. Es extensible, permite la reutilización de código, utilización de templates/themes propios y muchas otras cosas.

¿Por qué NO WordPress, Joomla u otro CMS?

Un CMS, com su nombre lo dice, es un sistema gestor de contenidos, están más orientados a blogs o sitios que no implican una cantidad grande de usuarios y contenido y tipos de contenidos. Lo que yo necesitaba, era un framework para gestionar una comunidad.

¿Se entiende?

El sitio en el que estoy trabajando tiene más de mil usuarios y tiene una cantidad enorme de contenido que se va generando día a día, para esto es necesario algo que me permita gestionarlo y que tenga gran parte del código desarrollado, es decir, que existan plugins o módulos ya hechos y que sólo haga falta modificarlos o adaptarlos a lo que necesitamos. Para Drupal encontramos una serie como por ejemplo el conocido OG:

Organic Groups: Enable users to create and manage their own ‘groups’. Each group can have subscribers, and maintains a group home page where subscribers communicate amongst themselves

Con esto tenemos la posibilidad de que los usuarios creen sus propios grupos, manejen sus suscripciones, creen noticias relacionadas al grupo, privadas o públicas, administración y moderación de grupos, etc.
Tambien es posible crear perfiles personalizados para cada usuario usando el módulo ContentProfile:

Content Profile: is module builds user profiles as content (aka nodes), which opens the opportunity to use all the powerful modules for content for user profiles too, e.g. the Content Construction Kit (CCK).

La creación de módulos propios es bien sencilla, sólo hay que entender cómo trabaja los templates, páginas, nodos, etc. La tarea de creación de módulos se facilita bastante gracias a los hooks, con esto es posible modificar comportamientos de otros módulos (contrib y propios del sistema) y lograr tener un control casi completo del sistema. La idea es, por ningun motivo, tocar el core de Drupal, de lo contrario será muy difícil la mantención del sistema (actualizaciones, etc).
Drupal tambien nos provee de una API, muy completa, la cual podemos trabajar usando las funcionalidades y bondades de Drupal sin tener que usar Drupal -valga la redundancia-. Por ejemplo, hace unos meses tuve que usar sólo el módulo “forum” de Drupal para integrarlo con un sitio que ya estaba desarrollado, ajeno a Drupal. Tambien es muy útil cuando se necesita hacer migración de usuarios y/o contenido de una plataforma a otra. Para usar la API sólo necesitamos descargar el código fuente y tener las siguientes líneas:

(siendo el directorio api dónde tenemos el código fuente de Drupal)

Y listo, ya podemos usar todas las funciones o métodos, variables, constantes, etc.

La versión estable actual de Drupal es la 6, se está trabajando en la 7 que será orientada a objetos. El problema de esto, es que cada vez que se lanza una version nueva (4→5, 5→6, 6→7), los desarrolladores deben volver a programar sus módulos, ya que Drupal no tiene compatibilidad retroactiva.

Links:

Drupal Modules: Repositorio muy completo con distintos módulos para distintas versiones de Drupal .
Documentación de la API

Lectura recomendada:

Si bien todo esto podría ser usado indebidamente, no es el propósito. Antes de hacerlo público será necesario que generemos un disclaimer sobre los usos de la herramienta. Nosotros sólo estamos entregando una herramienta, el uso de ella va a depender de la ética de cada persona.

Lanzamiento …
Tenemos pensado lanzar al publico este proyecto en el Hackmeeting.

La herramienta …
La herramienta es super sencilla y consta de un pequeño formulario para reportar una vulnerabilidad.

Luego de esto, los distintos sitios web son almacenados en una base de datos y ordenados.

Como les comenté en el post anterior, una de las charlas con las que participaré en el Hackmeeting será “Hacking Automatizado“, les dejo los enlaces para que puedan descargar la primera revisión de este paper.

Hacking Automatizado [PDF | ODP]