martes, 30 de septiembre de 2014

Comienzan los premios bitacoras. GO GO GO !!!

El rubio y la rubia, el moreno y la morena, más de un calvo... comienza este año la carrera de popularidad de los premios Bitácoras 2014 !!!


Por si no lo sabias, Bitácoras RTVE convoca todos los años unos premios a la comunidad blogger en distintas modalidades, desde recetas de cocina, viajes, tecnología, arte, y desde unos años, y por suerte, Seguridad informática.

El proceso consiste en nominar hasta 5 blogs por categoría, previo login con Facebook o Twitter.

Durante todos los años de vida de Inseguros he aparecido en la lista, por lo que realmente sirvieron las clases a mi madre para que aprendiera a votar. Suelo andar en la posición 20-30, lo que indica que tengo mucho que aprender aún de la comunidad de bloggers-hackers de habla hispana.

Suele haber mas de uno "queme" con la famosa lista. Algunos blogs no son de seguridad, otros son de empresas, otros son demasiado buenos, otros son demasiado malos, pero me parece una iniciativa interesante. Al menos todos los años descubro blogs que no conocía y adquiero una nueva fuente de conocimiento. En la mayoría de los casos, coincido con los maestros que regentan esas bibliotecas online. Los cursos de formación son muy caros y muchos los imparten gratis !!!

El día que llegue al número uno, que pienso hacerlo, hablaré con Chuck Norris para que elimine cualquier rastro de actividad hackers, estáis advertidos.


Si te apetece votarme, y he puesto bien el botón, gracias !!!
  
Votar en los Premios Bitacoras.com

miércoles, 24 de septiembre de 2014

OSSIM 19. El poder de la correlación. ejemplo iptables denial of services

SERIE OSSIM. (1234567 , 89 101112 1314.,15, 16 ,17 18)
En el artículo de hoy vamos a trabajar con la correlación, el motor de inteligencia de OSSIM.

Hemos visto muchos usos de OSSIM relacionados con la seguridad, pero momento no deja de ser un Syslog centralizado, con una interface gráfica, y una serie de herramientas integradas en una distribución.

El mundo SIEM ( Gestión de eventos de la seguridad de la información) es toda una disciplina dentro de la seguridad, al igual que el pentesting, reversing, forensic etc. Esta es la opinión de la gente de Gartner sobre el software SIEM para 2014.


Cuando alguien se inicia en este mundo suele empezar con la instalación de una herramienta de logs centralizada en la que observar lo que pasa en su entorno. El principal reto es discriminar los logs de información, identificando cuales son relativos a la seguridad, o la seguridad que yo necesito.

Vamos a poner un ejemplo gráfico.


Hay eventos de seguridad, hay logs, es gráfico, pero es un logs de 3 minutos, filtrado por las opciones que me deja el front-end (log-analyzer). Como encontrar un incidente de seguridad más o menos complejo, en un log de 300.000 líneas, para un solo día? Ahí es donde podemos usar el motor de inteligencia de OSSIM.

Vamos a trabajar con un supuesto de iptables.

Cuando ejecutamos una regla en iptables tenemos la opción de indicar que haga log, creamos dos líneas una para el drop y otra para el log, en orden inverso xD ( si primero bloqueas, no llega al log).

Yo tengo activado en OSSIM el PLUGIN que parsea los logs de iptables, que los "entiende", sin tener que hacer uno a medida con regular expressións.

Cada vez que iptables bloquea un paquete de una ip por la coincidencia de una regla, crea un log que visualizo en OSSIM.


Esto es mucha información, en unos segundos se nos va a llenar la lista de este evento. El ser humano tiene la capacidad de adaptación, por lo que el segundo día, no haces NADA con los logs, los borras, buscando el log mágico que te de toda la información a un click... Igual que con las alertas de Nagios mal configuradas, el servicio de correo al final es un simple "heart beat" del sistema, si llevas una tarde sin alertas de Nagios es que Nagios está roto, no que todo va bien :-).

En el tercer artículo la serie hablábamos de crear una política para incluir los eventos que no nos interesan, o que nos proporcionan poca información, para ocultarlos en el sistema.

Una de las opciones que indicamos fue la de no mostrar los eventos en el panel SIEM, pero usarlos en la correlación.


Podemos hacer esto con el evento de arriba de Iptables, que no lo muestre, pero lo use con la inteligencia.

Podría haber usado el típico ejemplo de la fuerza bruta: no muestres un login_failed, pero en tres intentos muestra un evento de fuerza bruta. Pero quizás este también os interese.

El propósito de mi correlación es detectar amenazas persistentes o ataques de denegación de servicios distribuidos.

Si tenemos unas reglas de iptables para cortar ataques, como sabemos que seguimos siendo atacados? Con este log de iptables. Recuerda que son ip´s que están baneadas y aún siguen intentando conectar.

Mi correlación va a ser simple, cuando encuentre 50 ocurrencias del log, muestra un evento que diga: Posible DDOS 50 intentos.

**
La idea completa es anidar esta correlación con otra correlación. Tener este evento, y que ocurra en más de 50 ip de origen, es un claro síntoma de un ataque DDOS. Para una ip o dos puede ser un bot tonto o un mal hacker. La idea es asociar una serie de medidas de contención automáticas contra un ataques DDOS.
**

Entramos en la sección de inteligencia y a continuación Directives.


Podemos ver las directivas que vienen con OSSIM, incluso clonarlas para editarlas a nuestro gusto.
Nosotros vamos a por todas y creamos una nueva.


Si leíste la teoría del artículo 10 sobre el cálculo del riesgo, esta parte es obvia.


Elegimos el Data Source del evento, en este caso indicamos que es un evento IPTABLES.
A continuación indicamos el evento que queremos que dispare nuestra correlación. Si no indicamos nada la correlación se iniciaría con cualquier evento de esa fuente.


Ahora podemos granular, afinar los orígenes y destinos del evento. Podemos trabajar como siempre en OSSIM con la información de Assets, o incluso con la variables Home_Net.



Podríamos indicar más opciones como tipo de puerto, usar los campos específicos del evento, usuario y contraseña si el evento manejase esta información, etc. Para esta regla no es necesario.

Ahora añadimos una acción, que será la ejecución de otra regla. En este caso, crearemos la misma regla que anteriormente, pero modificaremos el número de ocurrencias a 50.


Es importante indicar que la Reliability o la posibilidad de que este evento no sea un falso positivo, un valor que al ejecutar la regla del cálculo del riesgo de un valor por encima de 1, o no nos mostrará la información en el SIEM. Seguro que te has leído la teoría :-)

La directiva queda de la siguiente forma:



De esta manera, no tenemos los molestos logs por cada intento de conexión, pero cuando una ip intente 50 veces conectar, nos aparecerá el evento de posible DOS.


/etc/ossim/server/**********************# vim user.xml

<?xml version="1.0" encoding="UTF-8"?>

<directive id="500001" name="syn flood" priority="1">
   <rule type="detector" name="syn flood" from="!HOME_NET" to="HOME_NET" port_from="ANY" port_to="ANY" reliability="0" occurrence="1" plugin_id="1503" plugin_sid="6">
      <rules>
         <rule type="detector" name="SYN FLOOD 50" from="1:SRC_IP" to="1:DST_IP" port_from="ANY" port_to="ANY" reliability="6" occurrence="20" plugin_id="1503" plugin_sid="6"/>
      </rules>
   </rule>
</directive>

En otra entrada realizaremos una directiva o correlación que anide otra correlación, y haremos alguna un poco más compleja usando diferentes data sources e incluso ntop.

**
por ejemplo podríamos crear una directiva que sea:
si encuentra más de un evento snort ( dos por ejemplo) y luego encuentra un login_ok desde la misma ip, alertar de un posible ataque fructuoso.

si encuentra un brute force y luego un login de ese mismo usuario, aunque sea de una ip origen distinta...
**

Espero que os guste, gracias por leerme.

martes, 23 de septiembre de 2014

OSSIM 18. Capturas de red.

En la entrada número 18 de la serie (1234567 , 89 101112 1314.,15, 16 ,17vamos a hablar de las funciones de captura de red de OSSIM.


Desde el blog me suelen hacer preguntas sobre los procesos que escribo en Inseguros, y siempre uso mi experiencia general en la informática, discriminando los errores básicos, hasta llegar a los de alto nivel. Si no haces ping al host no puedes escanearlo !!!.

Usar una tool en linea como tcpdump o gráfica como wireshark es tu decisión, pero debes estar familiarizado con los ficheros pcap de capturas y saber leer entre líneas lo que ocurre en tu red.

Una de las comodidades que nos ofrece OSSIM es poder capturar, visualizar o descargar capturas de red entre dispositivos. Muy útil para la parte de configuración de OSSIM, pero realmente útil a la hora de detectar un incidente de seguridad, mediante los eventos, y poder ampliar la información mediante la captura de datos y posterior análisis.

Desde la versión Free ( no el USM de Alient Vault) no he podido vincular la captura de red teniendo como desencadenante un evento. Solo he podido capturar manualmente, pero no está nada mal.

Las teclas del piano son tan sencillas como click, click, click.


Es muy cómodo poder filtrar la captura desde origen y destino.


Podemos descargar el fichero o visualizarlo in situ.


Espero que os sirva de ayuda, gracias por leerme !!!


jueves, 18 de septiembre de 2014

Si odias Linux Úsalo !!! Mis comandos para novatos.

Odio Linux !! No me gusta, a veces no llego a comprender muchas cosas.
Odio Windows !! A veces no llego a comprender muchas cosas.
Odio Vmware !!! A veces comprendo cosas.

Así podría seguir hasta el infinito. Tampoco me gusta trabajar después de comer.

A lo largo de mi vida he tenido varias épocas en las que he querido "acercarme" al mundo del hacking y la seguridad. Soy un apasionado de la informática, de la administración de los sistemas, y de paso la seguridad, pero muy de paso.

Mi primer experiencia con la seguridad sería por el 1996 o así. Era la época de Arrakis, Jetcv e
infovia. No recuerdo muchas más.
Empecé a leer los e-zines del momento, a moverme por los distintos canales de irc, hasta que me echaban xD. Con unos módulos para Mirc podías hackear al vecino (en los canales de IRC de "España" había 50 personas).


Tengo una anécdota curiosa sobre esta época. Tenía 15 años. Internet no era como ahora, se cortaba xD. El concepto de nube no estaba extendido. Esto para mi significaba una cosa, DESCARGAR todo el material que podía, por si "se rompía Internet", por si tiraban la web o cualquier cosa esperada de algo que no puedes tocar, ni oler y apenas comprender xD.
Pasé un mes recopilando información de hacking de todos los recursos que me llegaban. Se me ocurrió crearme un fichero de texto de unas 1.000 páginas para que mi señor padre lo imprimiera en su empresa, y así poder leer y estudiar en detalle desde los RFC más populares hasta la creación de virus, pasando por las famosas Blue Box para llamar gratís y poder conectarte a la red. Recuerdo que en aquella época el movimiento reivindicativo en la red era la tarifa plana. Timofónica sonaba en todo el ciberespacio español y los recursos sobre su manipulación y hacking proliferaban.

Llego un día y le di a mi padre el fichero para hacer un uso desonesto de los recursos de impresión de su empresa, y al hombre le dio por ver un poco de que se trataba. Llego a casa y no me trajo el libro, me dio una yema ( no de huevo) y me dijo : Tu estás loco !!.


Mi padre trabajaba en Telefónica :-)

Aparte de la anécdota que me ha parecido curiosa comentar, sigo con el principio.

Aparte de la denegación de servicio que hizo mi padre, en muchas ocasiones el no conocer Linux ha sido para mi una barrera en el área de la seguridad. Si eres como yo, que te gusta Windows y no controlas mucho Linux, seguro que habrás caido muchas veces en la frustración de querer seguir algún manual o proceso, y a ver tenido que dejarlo por no conseguir "instalar un paquete" o cualquier problema relacionado con la tecnología linux subyacente, y no con el propósito del manual.

Es inevitable tener que conocer un poco el ecosistema de nuestras redes, aunque sea para una administración puntual, o para tener mas referencia de precios, maneras de trabajar, rendimientos etc.

Y dicho esto, os voy a comentar algunos comandos linux BASICOS que seguro te ayudan si eres un administrador Windows que tiene que trabajar con pequeños sistemas Linux.

Espero que os gusten.
  • Uptime. El comando básico para saber el tiempo que el equipo lleva encendido, y la carga media de la CPU en intervalos de 1, 3, y 15 minutos. Mas información aquí.
  • Top . Podríamos decir que es el "administrador de tareas" de Windows. En la salida del comando podemos ver la carga de cpu y ram de los procesos ejecutados, así como su PID. Mas info aquí.
  • IOStat. Un breve resumen de las estadísticas de input/output de disco. Mas información aquí.
  • SYSSTAT. Es un conjunto de script orientados a la monitorización. Se instala sencillamente en la mayoría de distro. bien sea con apt-get, yum o similares. Suele estar en los repos. oficiales.
    • Comando SAR. Estadística un poco avanzada sobre CPU.
    • Comando SAR -r. Estadística para memoria.
    • Comando SAR -b. Estadística para el trabajo de disco.
  • Initctl -list. Comando para listar los comando ejecutados como script´s en el inicio del sistema.
  • Fdisk -l. Comando para los parámetros básicos de los discos físicos.
  • DF -h. Comando para ver el estado de las particiones y puntos de montaje.
  • Watch -n segundos "comando". Si quieres ejecutar un comando cada cierto tiempo y ver su salida. Por ejemplo. watch -n 5 "netstat -n".
  • Netstat. Misma herramienta que en Windows.
    • Puertos a la escucha: netstat -lnp.
    • Cuenta el número de conexiones de ip del tipo indicado. netstat -anp | grep 'TIME_WAIT' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
    • Cuenta el número de conexiones según el estado. netstat -an | awk '/tcp/ {print $6}' | sort | uniq -c
  • Ethtool "nic". Las propiedades básicas de un adaptador de red concreto. La última línea te indica si el cable está conectado :-) .
  • Ifconfig. Propiedades TCP de los adaptadores. 
  • Route -n. Lista de rutas estáticas.
  • Nslookup dirección. Funciona el DNS?
  • Iptables -L -n. Lista las reglas en iptables sin resolver ip-nombre. Más rápido.
  • Nload. Script para monitorizar el ancho de banda en tiempo real y estaísticas. Requiere instalación previa. Suele estar en los repos. oficiales o compilando.
  • TCPDUMP -n. Comando para capturar paquetes. Puedes ejecutarlo para ip origen, destino, puertos y demás. Muy útil para comprobar comunicaciones. Mas info. aquí.
  • ps -e |grep "cadena a buscar". Buscar procesos en ejecución con el nombre "cadena".
  • grep cadena ruta. Buscar una cadena en un fichero sin necesidad de entrar. Útil para los logs.
  • tail -f ruta. Muestra en tiempo real un fichero de texto, casi siempre.
  • continuará...

Mis RSS, libros, recursos, post al respecto sobre el Aprendizaje de seguridad y sistemas.

En Inseguros he hablado muchas veces de mi punto de vista sobre la seguridad y sobre su aprendizaje.

Los post que más visitan tienen en este blog, quitando las de mi mama, suelen ser los relacionados con esto, con el aprendizaje.


Con el propósito de llegar a las 10 visitas al día en Inseguros, os voy a dejar una recopilación de algunos recursos propios y algunos post que hablo sobre la iniciación a la seguridad y los sistemas.

Espero que os gusten.

Te animas a publicar tus favoritos?

Recopilatorio de pentesting castellano. En este recopilatorio se clasifican una serie de artículos sobre seguridad en castellanos. Algunos artículos son mios, y los mejores y la mayoria son de la comunidad de habla hispana. Están todos ordenados por varias fases, desde la recopilación de información hasta el informe final.

Recopilatorio de libros. En este artículo os presento la portada de los últimos libros que caen en mis manos, o que me quiero comprar, que considero atractivos para el área de seguridad, virtualización y sistemas. Podrás encontrar los últimos libros de las versiones actuales. Solo la portada, el título. Si quieres piratear piratea, no obstante, si quieres ser "juacker" y no sabes bajar un libro...
Esta iniciativa sale por mi parte por el cabreo que me produce leer un libro de hacking y que me hablen de Windows Xp, abusos en protocolo Finger, y demás piezas de museo.

Mis RSS. En este Pastebin he pegado mi fichero OPML con mis RSS favoritos en el área de la seguridad. Puedes bajarlo a un fichero e importarlo en tu gestor de noticias. Si quieres recorrerlo "a mano" buscan las líneas http, pues tu mismo.

Consejos y reflexiones sobre el aprendizaje en seguridad.

A estudiar !!!!



Related Posts Plugin for WordPress, Blogger...