NOISE
REVISTA DE CIBERSEGURIDAD
LA SEGURIDAD EN NÚMEROS
ATAQUES HTTP USANDO METASPLOIT PARTE I
EL TODO PODEROSO NMAP
05
CONTENIDO
LA SEGURIDAD EN NÚMEROS
04
ATAQUES HTTP
10
USANDO METASPLOIT PARTE I
16
EL TODO PODEROSO NMAP
18
NOISE
REVISTA DE CIBERSEGURIDAD
Por Nelson Chacon @noise503 Director General Nelson Chacón Reyes, CDFE Asesor en Gobierno de TI Mg. Leonardo Castillo, CISA
Cuerpo Técnico Daniel Benavides
Asesor en Auditoria de TI Héctor Jiménez,CSX
Arte y Diseño Milagro Jiménez
NOISE REVISTA DE CIBERSEGURIDAD
EDITORIAL
El 2017 fue un año fuera de lo común en temas de ciberseguridad, grandes brechas fueron divulgadas, ataques de ransomware sin precedente alguno, y debemos sacar lecciones de todas estas experiencias, que estamos haciendo en Latinoamérica para minimizar los riesgos advertidos en este año, la teoría del riesgo dice que podemos evitarlo, es decir no usemos tecnología en nuestros negocios y estaremos seguros, aceptarlo es decir vivir con él y esperar a que se materialice, teniendo los respaldos adecuados, podríamos recuperarnos de un ataque, y la ultima es mitigarlo, lo que sería crear controles de seguridad que minimicen o eviten la materialización del riesgo. Si decidimos la tercera habrá que realizar un análisis del riesgo, y escoger los controles adecuados, probarlos regularmente, buscar un tercero que nos valide la eficiencia de los controles, establecer protocolos de emergencia, y sobre todo educar adecuadamente a nuestros usuarios. Nuestra lista a Santa deberá incluir por lo menos un PenTest, capacitaciones para nuestro personal tecnico y usuarios. Felices fiestas y Happy Hacking !!!!!!.
LA SEGURIDAD EN NÚMEROS Por Nelson Chacon @noise503
Es difícil ser simplista y definir el éxito o fracaso de nuestras políticas de seguridad a través de los números, sin embargo para bien o mal los números hablan dice el refrán. Cada empresa debería tener sus propios números les comparto los que suenan interesantes para mí:
2017 Educación
25
35
NOISE REVISTA DE CIBERSEGURIDAD
Otros
Año 2015
Educación 2017
11
23
29 Otros
Año 2016 2017 Educación
10
07
COM
28
Gobierno
25
19
COM
Gobierno
2. Cuantos incidentes externos sucedieron a. Ataques a nuestros sistemas web b. Ataques de phising efectivos c. Ataques a nuestros portales web
Revisemos por ejemplo los ataques de desfiguramiento en El Salvador en los últimos 3 años, cerrando al 15 de Diciembre 2017:
61
Gobierno
1. Cuantos incidentes internos relacionados con la seguridad sucedieron en mi empresa. a. Infecciones de malware b. Perdida de archivos o información. c. Respaldos que no funcionaron. d. Fallas de aplicaciones por falta de pruebas.
Si respondiste Cero a alguna de estos números, entonces estás haciendo algo mal o simplemente no usas tecnologías en los procesos de negocios. Muchos podrían decir, que su Cero es real y efectivo, pero de acuerdo a mi experiencia lo dudo.
COM
Otros
Año 2017
10
Lastimosamente no tenemos números de otros tipos de ataques, solo los que nos proporcionan las casas de software, aunque la tendencia es a la baja, no se puede inferir una mejora, ya que no se cuentan con los elementos de juicio como los son, Total de dominios pertenecientes a El Salvador, y tener números de ataques a través de un CIRT.
04
NOISE REVISTA DE CIBERSEGURIDAD
05
Lo mismo sucede en la región, el uso de sufijo de país en los sitios vulnerados no es un buen parámetro, pero es lo único que tenemos. Veamos cómo les fue a nuestros vecinos Educación
0 2017
COM
Educación
09
Gobierno
02
0
Otros
PANAMÁ
2017 0
02
06
0
10
27
NOISE REVISTA DE CIBERSEGURIDAD
COM
03
Otros
NICARAGUA
39 Otros
GUATEMALA
34
Guatemala quizá es el mejor referente para comparar con 89 casos reportados de desfiguramiento vs 84 de El Salvador. Al revisar los números de El Salvador como dije anteriormente solo podemos afirmar que va a la baja, las razones muchas: 1. No somos objetivo para los hackers, bajo uso del comercio electrónico y servicios. 2. Los dominios han migrado de .SV a dominios genéricos 3. No sabemos que hemos sido atacados
13
Gobierno
28
COM
Gobierno
Costa rica sigue la misma tendencia de Panamá, no registran los dominios con el sufijo de país, y siguen los estándares de américa latina, igual no es referente de comparación.
45
HONDURAS
06
Otros
Educación 2017
Otros
Educación
0
COSTA RICA
02
Y la tendencia sigue igual en la región, sería interesante porque no se utilizan los sufijos de país, será precio, imagen, tendencia a la globalización, alguien deberá tomarse el tiempo e investigar el tema.
COM
Gobierno
COM
Gobierno
No es nuestro mejor referente, ya que aparentemente los panameños no registran sus dominios con el sufijo .pa, y utilizan dominios genéricos, o realmente son intocables en seguridad, bueno excepto los panamá papers.
Educación
Con Nicaragua parece tener una tendencia similar a las anteriores, pero nos permite validar que dentro del universo del sufijo NI, los sistemas educativos aunque parezca irónico son los más afectados.
03
06
Pablo barrera de Guatemala realizo un análisis de los servicios expuestos en la región al malware wannacry arrojando números interesantes Belice Guatemala El Salvador Honduras Nicaragua Costa Rica Panamá
Hosts Hosts Expuestos Vulnerables
66 623 231 243 130 743 518
9 89 30 22 10 38 31
Porcentaje
14% 14% 13% 9% 8% 5% 6%
Si quieres
ser encontrado Publícate AQUÍ
Para cual sea el caso, la lección del año es que nada se puede mejorar si no lo podemos medir, es una obligación tener un registro de incidentes internos y externos, contar con un plan de reacción ante un incidente de ciberseguridad. Como países de la región tenemos comportamientos similares, es hora que los gobiernos o empresas inviertan en un CERT regional que permita tener esa visión de incidentes y poder tomar acciones de mejora. NOISE CiberSeguridad pone a disposición su conocimiento y experiencia para poder implementar planes de recuperación de desastres, auditoria de sus procesos de TI, y el monitoreo de sus servicios web.
Escribenos a: informacion@noise-sv.com Tel. 7930-2011 / 7235-5175
Pablo barrera, investigador y consultor, líder capitulo OWASP Guatemala
07
NOISE REVISTA DE CIBERSEGURIDAD
País
SABÍAS QUE... Los
delitos informáticos son conductas en que él o los delincuentes se valen de programas informáticos para cometer
delitos como:
*Implantación de virus, *Suplantación de sitios *Web, estafas, *Violación de derechos de autor,
*Piratería, etc.
www.noise-sv.com
NOISE CIBERSEGURIDAD
SERVICIOS LEGALES. Creación o adecuación de contratos laborales y de proveedores asegurando la protección de datos y seguridad de la información
Asesoría y representación legal frente a delitos informáticos de forma judicial y extrajudicial.
Asesoría en privacidad y protección de datos. Repercusiones legales.
Capacitaciones en protección de datos y delitos informáticos en la empresa.
Firma Electrónica.
Peritaje Informático.
Creación del Manual legal de negocios y cumplimiento del marco legal.
www.noise-sv.com informacion@noise-sv.com Teléfonos: 25572078 / 79302011
Ataque HTTP Adaptado de https://blog.radware.com
popularidad, los riesgos aumentan con ella, y al igual que cualquier protocolo, HTTP es vulnerable a los ataques. Los atacantes usan técnicas de ataque de Denegación de Servicio (DoS) para crear una denegación de servicio en los servidores web. Tales ataques se utilizan para hacer un punto, obtener algún beneficio o simplemente por diversión. Aquí los ataques DDoS comunes que se lanzan contra servidores HTTP. Primero regresemos a la base, HTTP se ejecuta sobre TCP. Como resultado, el servidor web puede enfrentar muchos ataques relacionados con TCP. Al planificar la protección del servicio HTTP, es importante tener en cuenta que la superficie de ataque es mucho más amplia que solo el protocolo HTTP.
NOISE REVISTA DE CIBERSEGURIDAD
Las tendencias de los ataques HTTP, protocolo por el cual publicamos nuestros servicios web, han tenidos sus variantes y tendencias, durante el 2017 los objetivos de BitCoin quizá han sido los más llamativos, aunque no sucedió en el 2017, pero la posible vulneración de los sistemas electorales de diferentes países también ha dejado historia, al grado que algunos estiman que una ciber guerra es inminente, países de Suramérica han hecho noticia sobre incluir a un ejército de hackers en sus filas de reserva militar. En el 2016 el ataque a la red de DNS DYN marco un hito ya que si no se puede vulnerar, entonces se puede bloquear. No se puede negar que los servicios en internet crecen a pasos agigantados. Sin embargo, a medida que crece la
10
Inundación SYN (Flood): tal vez la más antigua de todas, pero aún se usa como vector en la mayoría de los ataques. El atacante está enviando muchos paquetes SYN que se envían al servidor. Dado que el ataque no necesita ver el tráfico de retorno, las IP no tienen que ser reales y generalmente son direcciones IP falsificadas. Este hecho también hace que sea más difícil entender de dónde proviene el ataque y ayudar al atacante a permanecer en el anonimato. Las técnicas de ataques SYN han evolucionado a lo largo de los años, junto con las técnicas de mitigación. La idea principal detrás de un ataque SYN, es que cada SYN está abriendo una sesión en la pila TCP: la pila necesita conservar algo de memoria para mantener el estado de la sesión. El envío de muchos paquetes SYN puede agotar fácilmente la memoria asignada para las sesiones (el grupo de sesiones) en la pila TCP \ IP. Los ataques SYN se han vuelto más sofisticados a lo largo de los años. La variante más reciente es Tsunami SYN Flood Attack, que usa paquetes grandes con un bit TCP SYN para saturar el conducto de Internet y causar daños a la pila TCP \ IP en paralelo. Además de las inundaciones SYN, la superficie de ataque a la red TCP explota
11
todas las demás banderas TCP: inundaciones ACK, inundaciones RST, inundaciones Push-ACK, inundaciones FIN y cualquier combinación de estos bits se usan en varios ataques. Los atacantes intentarán todo, siempre que tenga el potencial de causar estragos. La superficie de ataque del HTTP L7 es amplia y consta de varios vectores, que se analizarán a continuación. La principal diferencia entre los ataques HTTP L7 y el ataque de red descritos anteriormente es el hecho de que una transacción HTTP requiere una dirección IP válida: no se puede falsificar una IP para una solicitud HTTP, ya que el protocolo TCP requiere que la IP acepte y responda los paquetes. Si no posee la IP, nunca podrá establecer la conexión. Esta diferencia solía representar un gran problema para los atacantes que querían usar ataques HTTP, sin embargo, en el mundo de hoy con los botnets IoT recientes que gobiernan su superficie de ataque, poseer una gran cantidad de direcciones IP reales ya no se considera un desafío imposible.
NOISE REVISTA DE CIBERSEGURIDAD
Cualquier ataque DDoS de hoy está usando múltiples vectores para crear una denegación de servicio, y para evitarlo, uno debería poder protegerse de todos estos vectores. Los ataques de red TCP comunes son:
de atacar áreas menos comunes en el código del servidor. Una solicitud POST generalmente es más grande que una solicitud GET y, como resultado, una solicitud POST grande es menos sospechosa que una solicitud GET grande, y es más probable que los dispositivos de mitigación que la protegen no detecten el servidor. Esto permite un mayor consumo de memoria en el servidor y más posibilidades de denegación de servicio.
Una vez que se establece la conexión desde una dirección IP real, hay varias opciones disponibles para los ataques: Inundación de basura: el vector de ataque menos sofisticado es abrir una conexión al puerto HTTP (generalmente los puertos 80 o 443) para enviar datos binarios basura a él. Este tipo de ataque generalmente se pasa por alto en la mitigación ya que el servidor, así como los dispositivos de seguridad que lo protegen, esperan un tráfico HTTP "válido". El objetivo de este ataque es, por lo general, inundar los buffers internos y las colas en el servidor web, e incluso en los dispositivos de mitigación que están delante de él. El ataque también se usa a veces para saturar las tuberías de internet, aunque existen técnicas de ataque más fáciles para hacer eso.
Reverse Bandwidth floods: Estos ataques intentan saturar el enlace de Internet desde "detrás". Intentan hacer que el servidor envíe tráfico que sature el enlace ascendente del servidor a la LAN o a Internet. Incluso si un servidor tiene solo una página grande, los atacantes pueden enviar muchas solicitudes para esta página específica. Esto hará que el servidor lo envíe una y otra vez y saturará la conexión de enlace ascendente del servidor. Esta técnica se usa para evitar la detección de dispositivos de mitigación, que generalmente miden el tráfico de entrada para la saturación, y no siempre el tráfico de salida también.
NOISE REVISTA DE CIBERSEGURIDAD
GET flood: el uso más común del protocolo HTTP es una solicitud GET. La inundación GET usa el mismo método de solicitud GET, pero en un volumen alto. El atacante está tratando de sobrecargar al servidor y dejar de atender solicitudes GET legítimas. Este ataque generalmente sigue los estándares del protocolo HTTP para evitar la mitigación utilizando verificaciones de conformidad RFC.
Fuzzers de HTTP y campos incorrectos: estos ataques están enviando basura o valores incorrectos en campos de protocolo HTTP específicos. El ataque enviará una solicitud G3T (en lugar de una solicitud GET), enviará tráfico en la versión HTTP 1.1 (en lugar de HTTP 1.1) y así sucesivamente. Otra opción es usar valores aleatorios en el lugar de campo en la comunicación. Los atacantes están
• Otros métodos HTTP: además del método GET común, el protocolo HTTP también permite otros métodos, como HEAD, POST y más. Los ataques que usan estos métodos generalmente se usan en paralelo a una inundación GET, para tratar
12
están intentando bloquear el servidor web, lo que sucederá si el servidor no está verificando la validez de estos valores de entrada. Tenga en cuenta que, a diferencia de los ataques anteriores, este ataque no tiene que consumir un gran volumen de tráfico o un alto PPS; está intentando crear daños "debajo del radar" de los dispositivos de mitigación. Ataque lento y bajo: estos ataques consumen aún menos BW y PPS que los fuzzers. El ataque usa muy poco tráfico y, por lo tanto, es más difícil de detectar. Este ataque está enviando tráfico HTTP legítimo, pero a un ritmo muy lento. El ataque enviará una solicitud GET usando muchos paquetes pequeños con un gran intervalo de tiempo entre ellos: el atacante primero enviará la "G" en su propio paquete, después de un tiempo enviará la "E" y después de un tiempo más el " T "y así sucesivamente. Si bien este es un comportamiento legítimo de acuerdo con los protocolos HTTP y TCP, este comportamiento consume muchos recursos del servidor; debe mantener la conexión abierta, esperando a que llegue la solicitud completa. Dado que el grupo de conexiones es limitado, es muy fácil alcanzar la saturación del grupo, con muy poco tráfico.
OWASP top 10: Además de los ataques anteriores, que son ataques de denegación de servicio, hay muchos más ataques HTTP que profundizan en el protocolo HTTP y tratan de obtener otros activos de los servidores. Ataques como cross-side-scripting, inyecciones de SQL y más están tratando de hacer que el servidor sirva contenido que no debe servir. Los 10 principales ataques de esta naturaleza se conocen como OWASP top-10. Por lo general, estos no son ataques de denegación de servicio, y un Web Application Firewall (WAF) proporciona la mejor mitigación para ellos. El WAF puede ser eficaz como un dispositivo local o como un servicio en la nube.
Cache bypassing attacks: hoy en día, muchos servidores web están detrás de los CDN, lo que permite una entrega más rápida del contenido a los usuarios globales de todo el mundo.
Como cierre no queda más que decir, que el año 2017 nos dejo una chiva, una burra negra, una yegua blanca y una buena lista de ataques que mitigar. Los invito a conocer las soluciones de ARBOR para este tipo de ataques, y lo pueden agregar a su lista de SANTA.
13
NOISE REVISTA DE CIBERSEGURIDAD
El CDN da a los propietarios del servidor una falsa sensación de seguridad, ya que esperan que los CDN detengan cualquier inundación antes de que llegue a su servidor. Sin embargo, la medida de seguridad CDN se puede evitar fácilmente mediante el envío de solicitudes de contenido no almacenable en caché. Las solicitudes de contenido dinámico y de contenido no existente harán que la CDN llegue a los servidores. Los servidores pueden ser atacados usando todos los ataques descritos en esta publicación, y la CDN se usará realmente como parte del ataque en sí. Y no podíamos dejar atrás
Networking
Nuestros 3 dominios ets CONSULTING se rige bajo tres pilares fundamentales de experiencia a nivel regional, a continuación te detallamos los elementos que harán de tu empresa una entidad óptima.
entrega de aplicaciones. Las soluciones de A10 nos na completa suite de balanceo LLB, SLB, GSLB con icas: Seguridad Superior de DDoS, WAF, DAF frar el trafico SSL, Carrier Grade Nat, esto gracias a su e integración con ACOS (Sistema Operativo de Core permite tener el mejor performance en el mercado.
CONSULTING
Tu negocio, nuestro compromiso
Seguridad
ericana, fundada en California en 1984, de los tentes de Wifi, con mas de 30 años en el mercado de de dos millones de unidades vendidas en la región, más de 90 países , y superando los 250,000 clientes a m cuenta con tecnología avanzada en el desarrollo de cos , con soluciones Carrier Class y de ultima a con su conocidas familias llamadas Tsunami, con punto y punto multipunto.
Networking
Visibilidad Visibilidad
Networking
y titular de múltiples patentes en Software Defined e brindan confiabilidad, seguridad y soluciones para se especializa en proporcionar tecnologías que de WAN para mantener la continuidad del negocio , e comunicar las sucursales con el sitio central de una , de fácil administración y además ofrece visibilidad a red y reportería , y nos permite hacer balanceo de
Nuestros 3 dominios ets CONSULTING se rige bajo tres pilares fundamentales de experiencia a nivel regional, a continuación te detallamos los elementos que harán de tu empresa una entidad óptima.
controladores de entrega de aplicaciones. Las soluciones de A10 nos permiten tener una completaEs suiteuna de balanceo LLB, SLB,estadounidense GSLB con empresa líder del características únicas: Seguridad Superior de DDoS, WAF, DAF cuadrante de Gartner en soluciones de Consolidado, descifrar el trafico SSL, Carrier Grade Nat, esto gracias a su inteligencia de Operativo seguridad la arquitectura única e integración con ACOS (Sistema de Core que unifica Avanzada), lo que permite tener el mejor performance en el mercado. información de seguridad y la gestión de eventos
Esta solución simplifica la administración de TI brindando soluciones de software que son fáciles de utilizar, de implementar, y adaptarse bien a infraestructura.
Seguridad (SIEM), la gestión de registros, la monitorización de redes, endpoints y análisis de seguridad www.ets.consulting forense.
sulting
Empresa Norteamericana, fundada en California en 1984, de los creadores de las patentes de Wifi, con mas de 30 años en el mercado de conectividad , más de dos millones de unidades vendidas en la región, con presencia en más de 90 países , y superando los 250,000 clientes a nivel mundial, Proxim cuenta con tecnología avanzada en el desarrollo de campus inalámbricos , con soluciones Carrier Class y de ultima generación , cuenta con su conocidas familias llamadas Tsunami, con soluciones punto a punto y punto multipunto.
Networking
Networking Networking
Visibilidad Nuestros FatPipe®, el inventor y titular de múltiples patentes en Software Defined 3 dominios (SD-WAN), que brindan confiabilidad, seguridad y soluciones para Es una WAN empresa estadounidense especializada optimización WAN, se especializa en proporcionar tecnologías queArbor Networks protege las redes de los ets CONSULTING bajo tres experiencia más grandes del en la fabricación de entrega desedelrige proveedores y las de empresas minimizan las de fallascontroladores de WAN para mantener la continuidad negocio , pilares fundamentales a nivelA10 regional, acentral continuación te detallamos los elementos que harán de FATPIPE nosLas permitesoluciones comunicar las sucursales con el sitio de una mundo aplicaciones. de nos de los ataques DDoS y las amenazas tu empresa unaofrece entidad óptima. manera inteligente , de fácil administración y además visibilidad permiten tener una completa suite de balanceo sobre el tráfico de la red y reportería , y nos permite hacer balanceo deavanzadas. LLB, SLB, enlaces.GSLB con características únicas:
de aplicaciones. Las soluciones de A10 nos Seguridad Superior de DDoS, WAF, DAF eta suite de balanceo LLB, SLB, GSLB con Consolidado, descifrar el trafico SSL, Carrier guridad Superior de DDoS, WAF, DAF fico SSL, Carrier GradeGrade Nat, estoNat, gracias a su gracias a su arquitectura única e esto ación con ACOS (Sistema Operativo de Core integración con ACOS. ener el mejor performance en el mercado.
www.ets.consulting
fundada en California en 1984, de los e Wifi, con mas de 30 años en el mercado de millones de unidades vendidas en la región, países , y superando los 250,000 clientes a a con tecnología avanzada en el desarrollo de on soluciones Carrier Class y de ultima conocidas familias llamadas Tsunami, con punto multipunto.
Con la actual creciente demanda de Internet, Elfiq Networks mejora el desempeño de la red y da continuidad al negocio a través de un innovador balanceador de enlaces, cómputo cloud y tecnologías de control de ancho de banda.
Seguridad
Seguridad
www.ets.consulting
Networking
Compañia Israelí líder en tecnología de Es la primera compañía en aplicar inteligencia “Deception” o la llamada “Seguridad en base a artificial, ciencia algorítmica y aprendizaje de Visibilidad engaño”. máquinas a la seguridad cibernética en soluciones EndPoint. de múltiples patentes en Software Defined
Empresa lider en el cuadrante de Gartner y NSS Labs en soluciones de Next Generation Firewall (NGFW)
confiabilidad, seguridad y soluciones para ecializa en proporcionar tecnologías que para mantener la continuidad del negocio , car las sucursales con el sitio central de una administración y además ofrece visibilidad portería , y nos permite hacer balanceo de
Trustwave es uno de los fabricantes líderes del mercado en seguridad, sus soluciones son casi siempre consideradas entre las mejores de su clase.
Es una empresa estadounidense especializada en la fabricación de controladores de entrega de aplicaciones.
fabricante líder y pionero en la tecnología de UTM
www.ets.consulting
Tel. +503 2206-6916 E-mail: info@ets.consulting Calle El Mirador, Colonia Escalón, Edificio Vittoria, 5to Nivel, S.S. El Salvador.
Por Nelson Chacon @noise503
USANDO PARTE I Metasploit hoy por hoy es una de las herramientas más utilizadas por los consultores de seguridad, y hackers éticos. Esto se debe a que su poder crece con la comunidad, ya que se pueden crear módulos de acuerdo a cada necesidad. Existe en versiones open source, y de paga, y puede ser ejecutada en diferentes distribuciones de Linux y Windows, tales como: • • • • • • • • • •
Ubuntu Linux 14.04 LTS (RECOMMENDED) Ubuntu Linux 16.04 LTS Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 R2 Microsoft Windows 10 Microsoft Windows 8.1 Microsoft Windows 7 SP1+ Red Hat Enterprise Linux Server 7.1 or later Red Hat Enterprise Linux Server 6.5 or later Red Hat Enterprise Linux Server 5.10 or later
NOISE REVISTA DE CIBERSEGURIDAD
Aunque su más grande referente es la distribución Kali, en la cual viene preinstalada, para el resto de distribuciones será necesario tener alguna experticia en el manejo del sistema operativo. Para este artículo utilizaremos Kali, por lo que podemos llegar fácilmente a través del menú, y esta nos llevara a una terminal. O iniciar directamente desde la consola: #> msfconsole
16
Es necesario que mantengamos nuestros sistemas actualizados, de vez en cuando es necesario ejecutar el comando update, para garantizar que todos nuestros módulos están a la versión adecuada. La lista de comandos la podemos obtener a través de ejectuar el comando help desde nuestro cursor del msf. msf > help
El comando msfupdate ya no es válido desde las últimas versiones, ahora la base de exploits se actualiza a través de los repositorios directamente, ejecutando un <apt update> El comando search nos ayuda a ubicar módulos que nos pueden ser útiles en nuestro proyecto, por ejemplo si estamos evaluando una plataforma basada en Windows podemos buscar:
Si obtenemos ese mensaje, es recomendable realizar un pequeño tunning a nuestra base de postgresql, de la siguiente manera: 1. Iniciamos el servicio de postgresql, podemos dejarlo que arranque cada vez que iniciamos el sistema. 2. Inicializamos nuestra base de metasploit
Podemos obtener la información relacionada al módulo, parámetros de uso, sistema para el cual fue diseñado, etc, usando el comando INFO
Una versatilidad de metasploit es que podemos ejecutar algunas herramientas como nmap sin tener que cerrar nuestra consola. 3. Construimos nuestro cache.
Ahora cada vez que realicemos una búsqueda, se utilizará la base de datos en lugar de el barrido de los directorios.
La show options nos permite visualizar los parámetros necesarios para ejecutar el modulo.
Podemos ser más específicos en nuestras búsquedas,
Una vez hemos colocado todos los parámetros bastara con ejecutar RUN, y el modulo se ejecutara de acuerdo como fue creado, visualizando el resultado.
Con el Comando USE <nombre-modulo> cargamos el módulo,
Disclaimer: Este contenido es sólo para fines educativos. Cualquier acción o actividad relacionada con el material contenido en esta revista es de su exclusiva responsabilidad. El mal uso de la información en esta revista puede resultar en cargos criminales contra las personas en cuestión. Los autores y NOISE Ciberseguridad no serán responsables en caso de que se presenten cargos penales contra cualquier persona que abuse de la información de esta revista para violar la ley.
17
NOISE REVISTA DE CIBERSEGURIDAD
Para dar valores a los parámetros utilizamos el comando SET
EL TODO PODEROSO NMAP Autor: Daniel Iván Benavides
NOISE REVISTA DE CIBERSEGURIDAD
¿QUÉ ES NMAP?
¿CÓMO FUNCIONA NMAP? ¿Cómo es que NMAP tiene la posibilidad de reconocer los servicios y puertos activos de un host? Es sencillo de entender, el escáner mantiene el estándar basado en request/response, así que lo que hace es enviar diversos paquetes a su objetivo, pero el mayor trabajo lo hace al recibir las respuestas, ya que es a partir de aquí que éste comienza su análisis para determinar como y de donde le han respondido. Es de vital importancia comprender que los resultados de un escaneo pueden variar, por ejemplo si un puerto aparece opened, obviamente quiere decir que está abierto y si aparece closed, pues en
Network Mapper (Por sus siglas en inglés), es una de las herramientas más importantes que un pentester comúnmente utiliza en la fase de reconocimiento de su objetivo, ya sea para evaluar los servicios y/o puertos que un host puede tener activos y que podrían servir en la fase de intrusión/explotación, una de las ventajas, es que ya viene por defecto en distros enfocadas a la seguridad como Kali Linux o como Parrot Os Security, en otras, por ejemplo Ubuntu o Centos, tocaría bajar los paquetes necesarios e instalar a mano.
18
USO BÁSICO DE NMAP Existen diversos parámetros que pueden ser utilizados a la hora de utilizar esta poderosa herramienta, pero el uso de cada uno de ellos dependerá de la necesidad o el reto que estemos afrontando, o también de la creatividad del ethical hacker. Veamos a continuación una demostración básica del uso de nmap: En este ejemplo el comando a ejecutar es el siguiente nmap -A -T4 + host, donde el -A nos lanzará en pantalla, no solo los puertos y servicios que están corriendo, si no también el sistema operativo, su versión y los saltos necesarios para llegar hasta el. El -T4 es para una ejecución rápida. Y bueno, el resultado es el siguiente:
19
• Se trata de un host con Windows 7 Home Basic. • Los puertos abiertos son 135, 445, 2869, 5357, 49158. El puerto al que más atención podríamos prestarle es al 445, ya que es un posible indicio de que sea manipulable a través de la vulnerabilidad encontrada en SMB-MS17-010 de microsoft.
• Nos lanza el nombre de la PC, el NetBios (están en hexadecimal, habría que convertir a texto plano) y el WorkGroup. • El tipo de autenticación por usuario, etc. Y por su puesto, como lo mencionábamos, todos los saltos que se requieren para llegar hasta nuestro host.
NOISE REVISTA DE CIBERSEGURIDAD
definitiva está cerrado pero si uno de ellos, aparece filtered, quiere decir que está siendo monitoreado por un firewall, así que ni pensar en tocar este último si no queremos ser detectados a la primera.
CAMINANDO MÁS ALLA CON NMAP
pruebas es de gran importancia el anonimato (uso de vpns y macchanger para estar un poco tranquilos a la hora de la explotación). Para validar si el host seleccionado es vulnerable a ms17_010 (Eternalblue) ejecutaremos el comando nmap -Pn -p445 –open –max-hostgroup 3 –script smb-vuln-ms17-010 + host. Luego de unos minutos, si el host es vulnerable se nos mostrará en pantalla el detalle de la vulnerabilidad
NMAP puede ir mucho más allá, una de las novedades revulsivas ha sido la inclusión de un motor de escaneo y explotación mediante scripts (NSE, NMAP Scripting Engine), iniciativa del co-fundador de Websec, Paulino Calderon; estos scripts pueden ser útiles para detectar algún backdoor en el host, listar vulnerabilidades y asimismo poder explotarlas con la misma herramienta.
NOISE REVISTA DE CIBERSEGURIDAD
El listado de todos los scripts que incorpora hoy por hoy NSE lo podemos consultar con ayuda del comando locate *.nse:
En la revista anterior, hacíamos uso de msfconsole para hacer nuestras pruebas, para este caso igual, la única diferencia que ahora el experimento será fuera de nuestra de red local. Entramos a msfconsole y digitamos use auxiliary/scanner/smb/smb_ms17_010 e insertamos los datos de nuestro objetivo, esta evaluación la hacemos para reafirmar que el host es vulnerable, y en efecto lo es
Veamos entonces, para esta prueba, al igual que el ejemplar anterior, nos basaremos en la vulnerabilidad ms17_010 de microsoft para llevar a cabo nuestras pruebas, y vaya que es interesante, pues nmap posee un script para evaluar si un host puede ser explotado por ahí. El host se ha escogido de forma arbitraria a través de shodan, para este tipo de
20
Una vez que hemos validado la vulnerabilidad, nos queda explotarla, podemos hacerlo con msfconsole siempre, digitando en consola use exploit/windows/smb/ms17_010_eternal blue e insertamos los datos de nuestro objetivo para iniciar con el proceso.
El objetivo de este tutorial era validar vulnerabilidades con NMAP, la explotación en el ejemplar anterior fue posible ya que fue en un ambiente controlado dentro de nuestra red local, para este caso debemos hacer algo más, este paso lo podrás validar en la revista del siguiente mes, en nuestra segunda parte, así que esto continuará... La moraleja que nos deja el tutorial de este mes, es que debemos cerrar los puertos que no estemos utilizando, y asimismo queremos insistir nuevamente en mantener actualizados nuestros sistemas, pues las mañas y herramientas siempre están ahi listas para explotar y debemos estar siempre a la vanguardia, por suerte NOISE Ciberseguridad puede darte la orientación que necesitas tanto para proteger como para corregir, para más información puedes escribirnos a: informacion@noise-sv.com Contáctanos: informacion@noise-sv.com 79302011 / 72355175
21
NOISE REVISTA DE CIBERSEGURIDAD
DISCLAIMER: Este contenido es sólo para fines educativos. Cualquier acción o actividad relacionada con el material contenido en esta revista es de su exclusiva responsabilidad. El mal uso de la información en esta revista puede resultar en cargos criminales contra las personas en cuestión. Los autores y NOISE Ciberseguridad no serán responsables en caso de que se presenten cargos penales contra cualquier persona que abuse de la información de esta revista para violar la ley.
NOISE CIBERSEGURIDAD
¿Qué es un delito informático? Un delito informático es un acto dirigido contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos.
Tipos de delitos informáticos Delitos contra la confidencialidad la integridad y la disponibilidad de los datos y sistemas informáticos. Acceso ilícito a sistemas informáticos. Interceptación ilícita de datos informáticos. Interferencia en el funcionamiento de un sistema informático. Abuso de dispositivos que faciliten la comisión de delitos. Delitos Informáticos. Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. Fraude informático mediante la introducción, alteración o borrado de datos infomáticos, o la interferencia en sistemas informáticos.
Delitos relacionados con el contenido Producción, oferta, difusión, adquisición de contenidos de pornografía infantil por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos.
Delitos relacionados con infracciones de propiedad intelectual y derechos afines Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos o piratería informática.
ESPERA NUESTRA SEXTA EDICIร N Contรกctanos: informacion@noise-sv.com 79302011 / 72355175