Archivos de la categoría ‘Uncategorized’

Ganador de la Entrada al Security Zone 2012 CC @SecZone

Publicado: 15 noviembre, 2012 de Bambino0710 en Uncategorized

 

Buenas a todos:

Luego de un juicioso analisis de cada una de las 200 respuestas que enviaron, el ganador es el señor Eduardo Chavarro Ovalle (@EChavarro) quien compitio muy de cerca con Ricardo Suarez (@XKORPION) y Wilmer Peñuela (@ZarekZama) en cuanto a calidad de respuesta e ingenio de la misma.

Basicamente era saber cuantas codificaciones tenia el texto (Base64, Cesar, y Binario) y reversarlas para sacar el mensaje.

Felicitaciones al Ganador!!!

GNS3: Instalación y configuración básica

Publicado: 14 octubre, 2012 de Bambino0710 en Uncategorized

 

Cuando hablamos de seguridad de la información, una pieza muy importante para saber de lo que hablamos muchas veces es poder verlo, es decir comprobarlo; hay muchas pruebas que no podemos realizar, cuando hablamos por ejemplo de un súper servidor o de un software de firewall muy determinado es complicado poder investigar sobre ello o probar una determinada vulnerabilidad existente. Sin embargo hoy os voy a hablar sobre un software que virtualiza el sistema operativo de los switch y router de Cisco, se trata de GNS3, un software multiplataforma, que es muy útil, ya que se adapta perfectamente con WiresharkQemu e incluso si tenemos varias tarjetas de red podemos emular una red desde ellas y ver como se comportaría el modelo determinado de router. En este post intentare explicaos como instalarlo.

Instalación en Windows

  • Descargar GNS3 de aquí, el paquete incluye Dynamips (un software necesario para correr GNS3), Putty (cliente para conexiones SSH y telnet por excelencia), WinPCAP (conjunto de librerías para trabajar con protocolos de red presente en los analizadores de red) y Quemu/Pemu (librerías para poder conectar GNS3 con Qemu, software libre emulador de sistemas operativos tipo VMware).
  • Como la mayoría de las instalaciones en windows hacemos un “next, next…”
  • Nos aparecerá una ventana con dos acciones necesarias a realizar:

– El paso 1 nos dice que tenemos que configurar y comprobar el path. Y comprobar si el software esta trabajando en una ruta que nos valga.

– El paso 2 nos dice que tenemos que añadir una o varias imágenes de IOS para comenzar a trabajar.

  • Una vez realizados estos pasos solo nos quedara seleccionar los IOS desde la carpeta seleccionada en el paso anterior, para ello nos vamos a Editar -> Imagenes IOS y hypervisors. En la pestaña de Imágenes en Image Files seleccionamos el/los IOS que usaremos y podemos configurar algunos datos más como el modelo donde lo aplicaremos el IOS, la RAM del mismo y otras opcione
  • El último paso es testera el modulo Dynamips, para ello en Editar -> Preferencias -> Dynamips le damos al botón Test y debería salir un mensaje en verde, si es así ya podremos empezar a usar GNS3 en windows.

Instalación en MacOS

  • Lo primero es descargar el archivo de aquí
  • Una vez descargado, como una aplicación normal de MacOS copiamos el .app a la carpeta que queramos, ahora tenemos que descargarnos desde aquí el Dynagen (Dynamips), para hacer funcionar el GNS3.
  • Una vez descargado al igual que en windows Editar -> Preferencias -> Dynamips y ahí en ruta del ejecutable tendremos que escribir (a mi no me dejo seleccionarlo directamente) la ruta donde tenemos descargado dynamips, por ejemplo:/Users/danito/Desktop/Dynagen/dynamips una vez hecho esto y para asegurarse si pulsamos abajo el botón de test ya tendríamos listo el GNS3 en MacOS, ya solo nos quedaría seleccionar los IOS.
  • Para seleccionar los IOS es la misma operación que en windows, desde Editar -> Imagenes IOS y hypervisors. En la pestaña de Imágenes en Image Files seleccionamos el/los IOS que usaremos y podemos configurar algunos datos más como el modelo donde lo aplicaremos el IOS, la RAM del mismo y otras opciones.

     Consideraciones generales y consejos:

    Como ya os comentaba en la introducción, una de las cosas que más me gusta de este software es que puedes conectar maquinas virtuales Qemu, esto nos da mucha versatilidad y le da mucha potencia a la aplicación siendo la capacidad de GNS3 la que nosotros queramos (emulación y prueba de DDos, MiTM, secularizar Apache, BBDD, etc). También podemos ‘meter’ en medio un Wireshark que nos puede ayudar a entender que esta pasando, desde problemas de red antes de hacer una subida de una configuración a reproducción, hasta estudiar los protocolos de enrolamiento viendo los paquetes que se envían entre equipos, etc.

    También es valido este software para facilitar el estudio de certificaciones como CCNA, CCNP, CCNA-Sec, etc, teniendo en cuenta que GNS3 es mucho mas potente que el ya conocido PacketTracer de CISCO.

    Es conveniente explicar que GNS3 es un software de emulación y necesita un sistema operativo IOS que emular, el cual se supone que es ilegal distribuirlo, pero ya sabéis como conseguirlo. Cuando consigáis o os compréis una IOS para practicar recordar que siempre es interesante que la IOS acepte crypto (opciones de seguridad) para ello una forma de guiarse es con el nombre que tiene, si lleva el sufijo k9, también comentaros que este software no emula equipos de capa 2 como switches, la única forma de trabajar con switchs es con un firmware de un equipo router multicapa, es decir que tiene opciones de configuración de switchs), yo uso el modelo Cisco 3725 y una posible IOS seria: c3725-adventerprisek9-mz.124-7.bin

    Espero poder hacer una entrega futura, cuando disponga de más tiempo, explicando como meter un GNS3 en una red puenteado con una interfaz de red y usarlo de servidor DHCP spoofeado para redirigir el tráfico de nuevo al original y poder ver lo que pasa con los equipos que ‘pesquemos’. Como ya sabéis el limite lo pone el conocimiento y la imaginación que tengamos, imaginaos añadiendo un proxy en PHP al que habilitemos SSL-strip ;) .

    Website Wireshark – Website GNS3 – Website Qemu

     

    Tomado de: http://dan1t0.wordpress.com/2011/01/11/gns3/


Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW)

Durante el proceso de pruebas de seguridad de una aplicación web, se suele tener la falsa concepción de que la revisión automatizada es eficiente y efectiva, es así como muchos testers y pentesters (especialmente los menos experimentados) suelen anteponer y priorizar los resultados devueltos por scanners de vulnerabilidades en aplicaciones web sobre la inspección manual, con esto no se pretende de ninguno modo desestimar la labor que desempeñan dichas herramientas como scanners y frameworks de penetración, solamente que es necesario comprender que dichas herramientas tienen sus propias LIMITACIONES y que no se puede esperar que una utilidad que ha sido creada para aplicaciones genéricas funcione del mismo modo para aplicaciones con un alto nivel de personalización. Dadas estas premisas, esta claro que el uso de las herramientas no es suficiente para afrontar el reto que implica desplegar una aplicación web segura, es necesario que la persona responsable y el equipo…

Ver la entrada original 4.084 palabras más


Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW)

Este es el primer articulo de una serie de entradas que se publicarán en este sitio de forma periódica sobre un tema que actualmente se encuentra en constante evolución (y crecimiento), la seguridad en aplicaciones web y pentesting. Se trata de un tema que dada su complejidad y cantidad de información disponible puede abarcar un buen número de entradas (que al momento de escribir este documento no tengo del todo claro), sin embargo intentaré que sea lo más profundo y a la vez fácil de comprender para todo el mundo.

Ver la entrada original 2.262 palabras más

Misconfiguration CTF (#CPCO05 – 2012)

Publicado: 7 julio, 2012 de Bambino0710 en Uncategorized

Este es el 3er año que participo diseñando retos de seguridad para el evento Campus Party Colombia (#CPCO05), para este año decidí crear un escenario nuevo teniendo como base los retos de seguridad informática tradicionales, pero agregando un factor diferenciador al no dar ni los retos, ni las pistas directamente.
 
El nombre del reto es Misconfiguration CTF (MISCONF –www.misconf.net -), la introducción al reto la pueden ver en el video grabado del evento, donde también se explican las reglas de juego y las recomendaciones (reglas opcionales).
 
En pocas palabras MISCONF presenta un escenario donde existen problemas de configuración, ya sea por negligencia, seguridad por oscuridad o simples errores humanos, para esto se (des)configuran diferentes servicios de red (web, correo, ftp, svn, etc) que están funcionando en puertos no estándares y que a su vez son los primeros lugares donde se extraen las banderas (códigos) que se pueden capturar en la plataforma web diseñada para este fin. Una vez identificados estos servicios mal configurados, se encuentran retos informáticos con niveles de dificultad básicos e intermedios, algunos de ellos relacionados con criptografía, reversing, web, esteganografia y networking.
 
Toda la información sobre el reto y como jugarlo la pueden encontrar en el pdf que se encuentra aquí.
 
El TOP 10 de los jugadores después de 3 días de juego se puede observar a continuación:

 

 

Oficialmente NO hubo un ganador para el reto MISCONF, ya que el objetivo era encontrar 30 banderas en el sistema objetivo y esto no lo logró ninguno de los jugadores, por este hecho se decidió evaluar los solucionarios enviados y calificar la calidad de los mismos, lo que dio como ganadores a los siguientes competidores:
 
(1) Yesid Gonzalez (@TrackerID) – Ganador de un Ultrabook Lenovo – Descargar solucionario
(2) Fernando Muñoz (acomodado) – Ganador de un D.D SSD de 240GB – Descargar solucionario
 
La tabla final de puntuación fue:

 

 

Hay que mencionar que ninguno de los solucionarios entregados cumplió con las expectativas del jurado, sin embargo como la idea de un evento como #CPCO05 siempre es entregar los premios, se valoró el esfuerzo de los competidores y se calificó en una escala de 1 a 10 la calidad de los informes. 
 
Con esto queda clara la importancia de hacer el esfuerzo en entregar solucionarios completos, donde se explique correctamente los procedimientos para resolver los retos y no simplemente se entregue la respuesta. De esta forma los participantes que no lograron solucionar los retos pueden aprender como hacerlo.
 
El jugador acomodado solicitó una explicación pública del porque se penalizaron los 6 puntos por no sustentar adecuadamente las banderas encontradas, el documento con la explicación se puede descargar desde aqui. Allí se puede leer claramente que no hay una explicación del procedimiento realizado para encontrar las banderas penalizadas.

Para finalizar quiero contarles, algunas estadísticas básicas del juego MISCONF:

 
El juego estuvo habilitado durante 3d+6.5h, en total fueron 2 servidores principales (ScoreBoard y Target) y dos servidores de respaldo que tuvieron un tráfico total  de 10GB in/out  y un total de 205 usuarios registrados, aunque la participación  activa fue de 100 usuarios. 
 
El ranking final de los usuarios que capturaron por lo menos una bandera se encuentra aqui.

Todo el TimeLine del juego lo pueden encontrar en la cuenta de twitter @misconf

 

IMHO, hay que recordar que el objetivo primordial de implementar un CTF dentro de un evento como Campus Party es aprender, construir y compartir conocimiento, tanto para las personas que diseñan los juegos, como para aquellos que los resuelven, en este sentido, considero que el objetivo se logró.
 
Esperemos que con el tiempo los participantes de este tipo de actividades puedan aprovechar estos espacios para dejar de un lado el mundo virtual y compartir realmente con las personas en 3D  y por ahí derecho dejar de sentir que el objetivo del JUEGO es solo obtener los premios.
 
Quiero dar un agradecimiento especial a los organizadores del área de seguridad en redes, por la calidad de los ponentes seleccionados, la organización en general de los espacios, los premios y por permitirme una vez mas participar con el diseño  de esta actividad.
 
Y quiero darle un gran saludo a los mas de 100 jugadores que se trasnocharon y se divirtieron solucionando las diferentes pruebas, no importa si solo lograron capturar una bandera, lo importante es aprender del proceso. Como les mencioné a algunos, intentaré sacar la versión en maquina virtual del TARGET, para que los que no alcanzaron a jugar se puedan desquitar 😉

Hasta la próxima.

 

Tomado de:

http://nonroot.blogspot.com/2012/07/misconfiguration-ctf-campus-party.html