lunes, 4 de diciembre de 2017

Relación con proveedores: Exige seguridad !!!

Estimados amigos de Inseguros:

A lo largo de mi trayectoria en el mundo de la seguridad, y por qué no, en la informática en general, he tenido que verme en la situación de delimitar la responsabilidad de socios, partners y proveedores de cualquier ámbito del trabajo.



No vale con echar la culpa a la señora de la limpieza, esto ya es viejo, hay que delimitar responsabilidades pero más que nada funciones.

En el mundo de las auditorías me encuentro todos los días con departamentos más o menos contentos con los resultados, casi siempre descontentos... No porque hayas encontrado pocos fallos la verdad...

En esta ocasión no voy a hablar de la seguridad "delegada" del servicio de hosting, pero si de esa seguridad en productos y servicios internos.

Cuando presentas una auditoría y encuentras un activo... el ERP con un fallo en el sistema operativo que te permite acceder al sistema remotamente, el cliente se apresura en justificar la carencia de control con que ese servidor se lo lleva "una empresa".

Lo mismo pasa con software base desactualizado ( Sistema operativo, bases de datos, servidores de aplicaciones, web, componentes, drivers...).

El proveedor suele rendir cuentas con actualizaciones de SUS sistemas, los que desarrolla o implanta, y no cree necesario actualizar un componente SSL o un servidor SQLServer.


El mismo caso para configuraciones inseguras, como usuarios/contraseñas por defecto, ausencia de mecanismos de seguridad, falta de política de parcheos, etc.

SIEMPRE, SIEMPRE, SIEMPRE me encuentro con que el departamento culpa a la empresa proveedora de lo desastres. En estas ocasiones recuerdo frases de mis padres en plan: Si tu amigo se tira al puente tu te tiras... O mejor dicho, si el no se tira, al final quien se tira.. bueno me he hecho un lío, la verdad es que mis padres sabían que siempre era yo el malo XDDDD

La cuestión es que en muchas auditorías se especifica en la parte ejecutiva de soluciones el mejorar las políticas de relación con los partners y proveedores, haciéndolos partícipes de nuestra política de seguridad. Esta política puede estar escrita o no, pero debemos exigir ciertos controles, al menos, en nuevas contrataciones, renovaciones y en momentos en los que podemos "apretar". Quizás no sea posible con todas las soluciones, pero ahí nuestro esfuerzo.



Dicho esto, como algún cliente me lo suele pedir, voy a intentar reflejar aquí unos mínimos, unas pequeñas cláusulas que podemos incluir en nuestros formatos para pliegos o diseño de especificaciones para nuevos servicios o productos.

Siendo la empresa cliente la organización:

  • El proveedor se compromete a cumplir todos los estándares de seguridad del sector de actividad de la organización y cualquier exigencia explícita de la organización en materia de seguridad informática y buenas prácticas.
  • El proveedor se compromete a realizar mantenimientos del software vinculado a su producto o servicio en el plazo que éste lo requiera, estableciendo un periodo máximo entre acción y acción de no más de 2 meses. Por ejemplo: Sistemas Microsoft: Mensual.
  • En el caso de que se produzca un incidente de seguridad grave relacionado con el software principal o relacionado, el proveedor se compromete a solucionar el incidente con la mayor celeridad posible. En el caso de que el equipo de la organización lo requiera, el proveedor deberá facilitar todos los procesos y herramientas para que la organización pueda remediar el incidente de manera ágil y segura. Por ejemplo: Claves del sistema, certificados, herramientas de control, etc.
  • El proveedor se compromete a entregar a la organización un sistema carente de fallos conocidos y con una configuración de seguridad que impida:
    • Accesos anónimos.
    • Accesos con cuentas conocidas.
    • Versiones de sistemas sin actualizar/fuera de ciclo de vida de producto.
    • Exposición de información no controlada.
    • Ataques de fuerza bruta.
  • El proveedor se compromete a entregar a la organización un sistema o servicio que sea compatible con la infraestructura vigente de la organización, por ejemplo:
    • Gestión de eventos centralizada.
    • Instalación de sistemas antivirus, agentes, monitorización, backups, etc.
  • El proveedor se compromete a facilitar a la organización cualquier información del producto relativa a su funcionamiento en materia de seguridad.
  • El proveedor se compromete a que la organización pueda realizar test de seguridad, auditorías o cualquier otro tipo de pruebas para garantizar la seguridad del producto o servicio, y que este cumple con los estándares de la organización.
  • El proveedor se compromete a realizar un plan de trabajo en el que se definan y se establezcan soluciones para fallos o deficiencias en materias de seguridad detectadas por auditorias de la organización o de terceros.
  • La negativa a cumplir cualquier de los citados puntos podría ocasionar la rescisión del contrato por parte de la organización por incumplimiento del proveedor, quedando la organización exenta de cualquier responsabilidad, indemnización o pago relativo con el cese del contrato.

Por supuesto que no soy abogado, y cualquier cláusula de este tipo debería ir respaldada por el departamento legal, ya sabemos que la redacción de estos artículos es más importante aún que el contenido, pero básicamente son los aspectos que se le podría pedir a un proveedor "medio" del ámbito de la informática.

Otra cosa es la necesidad de cumplir con normativas específicas, o que la empresa que contrata el servicio implemente su propio checklist de seguridad, algo cada vez más habitual en organizaciones internacionales, pero esta pequeña descripció seguro que os ayudará.

martes, 31 de octubre de 2017

Crawling DIrectorios web. Un buen diccionario.

Estimados amigos de Inseguros!!!

Una de las principales acciones que llevamos a cabo en los procesos de auditoría y test de seguridad es la de enumerar los activos que tenemos para atacar.

Lo más "guay" es encontrar un servicio y empezar a buscar la manera de reventarlo, pero hay que se metódico y realizar todas las fases del test de manera ordenada para no dejar nada en el tintero.

Es habitual enumerar los servidores web en busca de aplicaciones, pero no siempre accedemos a http://ip y aparece la aplicación. Según esté configurado el servidor web, los vhosts...


El crawling web consiste en recorrer una web, en hacer n peticiones a la web hasta encontrar el recurso. Las peticiones las hacemos en base a una lista. A diferencia del spider, en el crawling dependemos de la calidad de la lista. Con spidering simplemente recorremos las etiquetas del html buscando enlaces. Bueno, el fichero sitemap.xml si existe, robots.txt... depende de la herramienta.

El fichero que os traigo es una base del fichero de Dirbuster Medium un poco tuneado con el paso del tiempo y de varias auditorías. Hay muchas palabras en español de las que nos encontramos en la auditorías, típicos nombres de departamentos, proyectos, cms y demás.

El fichero lo puedes manipular haciendo pequeños cambios. Por ejemplo, imagina una situación en la que el proyecto web contiene elementos de objetos espaciales, o que el director de proyecto suele usar nomenclaturas de este tipo. Podemos juntar el fichero base de directorios con una lista descargada de Internet.

cat origen.txt origen2.txt > destino.txt

Podemos ponerlo todo en minúsculas.


cat origen.txt | tr [:upper:] [:lower:] > destino.txt

Podemos eliminar duplicados.

cat pass.txt | sort | uniq > pass-no-dulplicados.txt

Y con esto, si eres necio en bash como yo, tendrás una chuleta perfecta para poder manipular tus ficheros de crawling.

Que fichero usas tu? tienes alguno interesante?

Gracias por leerme !!!

martes, 17 de octubre de 2017

Señor panadero, gracias por contarme lo del Wpa2 !!!

Estimados amigos de Inseguros !!!

Voy a comentar algunos pensamientos que se me pasan por la cabeza durante estos días.

Realmente llevo tiempo con ellos, pero en estas ocasiones tan especiales de famoseo e intrusismo de los medios me salen a flor.


Hablo del populismo de los medios que se ha generalizado con la seguridad informática.

Creo que el famoso Wannacry ha hecho mella de una manera en las empresas como no se esperaba, o eso percibo...

El mismo día del incidente el "negocio" creció como la espuma. Muchos, muchos, muchos clientes, contactos, amigos y familiares se pusieron en contacto conmigo para asesorarlos sobre el incidente.

La semana siguiente pintaba bien, seguía el tema "de moda", algunos presupuestos, algún cliente concienciado en un poco de gasto de seguridad, eso, pintaba bien.

Nadas más lejos de la realidad, al menos de mi realidad cercana, las empresas SIGUEN sin invertir en seguridad. Puede que puntualmente hagan alguna inversión, dejándose aconsejar por algún vendedor de tres al cuarto, gastando 1.000 € en licencias de antivirus, 2.000€ en algún firewall físico, pero ahí queda la cosa. Eso en el mejor de los casos !!! la inmensa mayoría de las empresas siguen con el suspenso total, y en esto les va la continuidad... pero no lo ven así... Ni con el famoso Wannacry y el negro en antena3...



Esta semana comenzaba con WPA2. No voy a entrar para nada en detalles del ataque, ni en ninguno de los CVE, papers y demás informaciones que han salido, me voy a centrar en lo que estoy, en los medios.

Como dice el título, hasta el panadero que no sabe a qué me dedico, o igual sí, me habla del WP2. La culpa de esto la tienen medios televisivos nacionales, locales, periódicos y periodicuchos y ya las redes sociales. 

Vamos a ver amigos. El último CVE del WPA2 es CVE-2017-13088. Esto significa a que en 2017 llevamos 13.088 fallos de seguridad en distintos productos, de más o menos uso, clasificados por este sistema. MUCHOS otros productos o componentes no registran los fallos en el CVE y simplemente parchean. Recuerda las actualizaciones de Windows de todos los meses, las mayoría son de seguridad. Así con las del tu teléfono de manzana, de Android o cualquier dispositivo que usamos.

La manera de medir la "importancia" de la seguridad o del fallo no es solo la popularidad del sistema vulnerado, sino la facilidad por perpretar el ataque, el vector de compromiso del ataque, el tiempo que va a pasar desde que el fabricante haga el parche, la facilidad para que ese parche sea aplicado, etc.

Para el caso de WPA2, la mayoría de los fabricantes ha parcheado ANTES de que aparezca la herramienta que usa el fallo, el famoso exploit. Si sigues las recomendaciones  de seguridad de HACE 20 AÑOS, actualizas tus sistemas regularmente, y no pasara NADA con WPA2.

Volvemos a lo que hablaba, a los medios. Cómo ha repercutido esto en mi negocio? En la ciberseguridad? Aparte de clientes preguntando y preocupados, no se si has vendido más Access Point de "los buenos" en vez de los de oferta. O no sé si has recibido más trabajo de auditoría Wifi para que el cliente se quede tranquilo. De cara a la seguridad, creo que el "caso WPA2" solo ha dado más follón que beneficios, tanto al mercado de la seguridad como a la ciberseguridad en sí, ya que el investigador ha hecho un muy buen trabajo de investigación y sobre todo de revelación responsable. BIEN HECHO !!!

Creo que el caso wpa2 ha sido como Poodle. Después de Heartbleed y lo bien que lo pasamos, llegado Poodle, que parecía pero no era...

Al final veo que hay más gente queriendo sacar pasta por la seguridad.

Hay más gente trabajando en seguridad, pero con cifras de junior de sistemas.

Las grandes empresas quizás si estén aprovechando el tirón, porque le das argumentos a sus cazadores de clientes, a los comerciales.

Para autónomos como yo o pequeñas empresas que concentran sus activos en profesionales, en técnica, en su buen hacer, en sus ganas y pasión, a estos casos no les favorece en nada estos casos mediáticos infundados, indocumentados, y que al final solo hacen que esto llegue al caso del lobo, que tanto llamar al lobo, cuando venga no le vas a hacer caso.


No me mal interpretes, pero no me importa si el fallo es mayor o menor, si tal o si cual, si esto o lo otro, no estoy hablando de eso, estoy hablando de la moda de la seguridad y de lo que eso repercute en mi día a día.

Quizás el caso Wpa2 sí de problemas, o nuevos ataques circundantes, yo que se !!! pero lo que si se es que hay mucho medio desinformado que se apunta a la moda y solo crean falsos "lobos". 

Gracias por leerme !!!

viernes, 21 de julio de 2017

Mirando cosas en el DNS interno. Wireshark

Estimados amigos de Inseguros !!!

Uno de los servicios que suele ofrecer a mis clientes es la auditoría de red orientada a la seguridad.

No es una auditoría de seguridad, pero tampoco es una auditoría de red al uso, enumerando equipos, viendo tiempos de respuesta, identificando switches con 2 3 y hasta 4 bocas conectadas a si mismo y a otro switch, en fin, ya sabéis, redes !!!


Lo primero que hago es monitorizar o mejor dicho capturar paquetes de red en distintos horarios y en distintos rangos/redes/vlans o como el cliente tenga el tinglao.
Algunas cosas que hago es pasarle el pcap a una herramienta como Malcom, como vimos aquí,  y de esta manera analizar si hay equipos que se está conectando a fuentes maliciosas conocidas. Una buena fuente de inteligencia en Malcom y podemos detectar ordenadores comprometidos.

Este no es el propósito del post, que como siempre me voy por las ramas, como un mono, colgao !!!

La parte del DNS en las empresas no suele estar muy bien configurada. No al menos desde el punto de vista de la seguridad o mejor dicho el control, ya que esto no tiene que ver mucho con seguridad, sino con tener el IT organizado, pero al final redunda en incidentes.



La mayoría de vosotros teneis una red con Active Directory o una red basada en Dns Bind. Todos los equipos "buscan" su configuración dns para realizar las consultas. Estas van al servidor DNS, si son internas o están en Cache o existe el registro las resuelven, y si no preguntan a los reenviadores por esta información. Correcto, has sacado un 5 en redes del grado medio.

En caso de tener un incidente de seguridad, o sospechas de él, auditar las peticiones al Dns debería ser una buena idea. Imaginar un equipo preguntando cada 2s por un dominio .ru... Estas cosas las debería detectar el IDS pero bueno... Muchas veces no se habilita el log paras las consultas DNS, como vimos en el caso de Windows 2012 

En la red interna, bajo mi humilde punto de vista, TODOS los equipos deben apuntar al servidor Dns de la empresa, y solo este debe tener la capacidad a nivel de firewall de establecer conexiones salientes con destino udp 53 hacia fuera. La cámara de seguridad, el portátil de nosequien, el gadget de nosecuantos, todos, aunque no sean equipos que registremos ( que deberíamos hacer manualmente en el dns) deben apuntar al dns interno, y no al 8.8.8.8 porque como son "dispositivos" no pasa nada.

De esta manera, podemos evitar casos de compromiso en el que un malware usa su propio servidor dns para resolver direcciones. De esta manera si cortamos a nivel de firewall, podríamos evitar un contacto con C&C maligno.

Si queremos entrar un poco más en detalle, podemos analizar el tráfico buscando comportamientos raros raros raros. Hay casos en los que piezas de malware usan lo que se denomina Silent Ip para no revelar la dirección del C&C. Si el atacante no necesita iteración, para evitar ser detectado, cambia la ip real hacia una interna, menos sospechosa. Consultas DNS hacia direcciones ip de nuestra red tipo 192.168.o cosas así, que no correspondan a un servidor DNS, pueden representar este caso.

Para esto usamos la herramienta wireshark que tanto nos gusta. Si eres https://twitter.com/seguridadyredes quizas uses bro o tshark o cualquier de estas herramientas que tanto le gustan en formato "internet negro", pero yo prefiero el gráfico para este caso.

Aparte de visualizar y buscar dominios a priori peligrosos, podemos usar las opciones propias de DNS para mostrar una pequeña estadística de paquetes dns, malformados y algo importante, el tamaño medio del payload. Con este dato podríamos averiguar o tener indicios de un sistema comprometido realizando exfiltración de datos mediante el dns.



Por cierto, antes de que se me pasa, existe la posibilidad de consultar la wiki de wireshark sobre un protocolo pulsando sobre el con las opciones y accediendo a Wiki. Es muy útil cuando encuentras protocolos de red que no estamos muy acostumbrados, además, te da algun truco para filtrar por el, explicacion, está bien. 


https://wiki.wireshark.org/DNS?action=show&redirect=Protocols%2Fdns

Una de las opciones que suele marcar es el menú View, resolución de nombres, habilitar la resolución de nombres para la capa de red. Por defecto lo hace para la capa física, algo que para mi no tiene  mucho sentido ya que no suelo trabajar en esa capa, me refiero a la dirección MAC.


Recuerda que para ver la localización de una dirección debes hacer este pequeño procedimiento.

Estas son algunos de mis pequeños consejos y trucos que hago de vez en cuando en las redes que manejo para ver comportamientos raros.

Para el protocolo NTP suelo hacer lo mismo.

Como sabes, todo lo que vaya por UDP es muy susceptible a ser usado en ataques de ddos por la característica de la impersonalización y facilidad de hacer spoofing ( no handshake...) por lo que hay que estar un poco más "atento" a estos servicios, sobre todo si los exponemos hacia Internet. No es mi consejo, y prefiero tener dns externos para internet, pero si por culquier motivo lo necesitas, monitoriza los incrementos de ancho de banda con tu UTM o Nagios o similar, y establece una política de colas y QOS porque ya hemos visto muchos ataques usando udp para liarla, tipo cámaras IOT etc.

Espero que os sirva de algo todo esto. Vamos a la playa? xD



jueves, 13 de julio de 2017

¿Firewall, de la piedra angular de la seguridad a comprar el más barato?

Estimados amigos de Inseguros!!!

En este artículo voy a intentar reflejar algunos pensamientos un tanto raros sobre el mundo de los firewalls, los Next Gen y su uso dentro de la empresa.


Un buen y gran cliente está evaluando la necesidad de comprar un nuevo sistema de firewall para su empresa. Hablamos de una gran empresa, con varias sedes internacionales, conexiones remotas de fabricantes, proveedores, webservices de integración, NAT´s por un tubo, etc.

El otro día puse una encuesta en Twitter sobre 4 fabricantes y más o menos los resultados eran los esperados, dos de los vendedores más conocidos se llevaban la mayoría de los votos, Fortinet y Cisco, seguido de Sonicwall y Sophos.

Siempre está el que te opina que software libre.. pero hablamos de firewalls con soporte del fabricante, a ser posible en mi ciudad, a ser posible con un SLA bueno ,etc.

Cuando conoces empresas grandes, o administración pública, aprendes algo que cuando estas en las micro-pyme o pyme no suelen entender. ¿Para que contratar algo si lo puedo hacer yo.?

Cuando tienes 1.000 usuarios y una responsabilidad mucho más alta que cuando tienes 10, tener un servicio garantizado, un soporte, es algo NECESARIO.

Creo que podría afirmar que en la inmensa mayoría de decisiones de compra, el soporte, la calidad, la confianza, la disponibilidad, el SLA etc suele ser el elemento diferenciador porque hoy por hoy, da lo mismo una marca que otra, unas ofrecen unas cosas, otras ofrecen otras. Tendrás tus preferencias, pero al final y al cabo la diferencia va a estar en las personas que trabajan con la herramienta, sea un CRM o un Servidor.

En el caso de este cliente, su mayor factor de cambio es el soporte.

Si trabajas en seguridad o en IT relacionado, o simplemente te gusta, comprenderás o sabrás que no todas las empresas invierten en seguridad, ni mucho menos. La pyme sobre todo funciona con un firewall del ISP, y como mucho un modelo de gama baja con las funciones de routing y algún nat, es decir, sin nada de seguridad adicional.

Hay otro tipo de empresas en las que si tienen un firewall "en condiciones" con todo tipo de servicios añadidos de capa 7, lo que se denomina el Next Generation. Que si un content filtering para la navegación. Que si un sistema de control de spam para el correo. Un IPS a medio configurar para no dejar KO la navegación. Algunos controla el tráfico de salida, otros controlan el QOS...


En cualquiera de estos casos, el firewall como sistema central de seguridad es una buena aproximación, que los auditores de seguridad sabemos que no sirve para nada cuando el humano-programador comete un fallo en una app, o cuando el pibe de sistemas monta un sistema en producción sin haber pensado en la seguridad. No sirve PARA NADA todo ese despliegue de firewall.

Por cada modelo de firewall con X funciones, salen 10x vulnerabilidades que atacar en aplicaciones, sistemas operativos cliente, servidor, redes Active Directory o sistemas de virtualización.

Todos conocemos el modelo por capas, y el 99% de las empresas que conozco entienden que en un incidente de seguridad, el acceso a la red interna/dmz supondría el compromiso total de la empresa.

Nos jugamos todas las cartas al perímetro, al firewall, siendo este un elemento susceptible de ser vulnerado, directa o indirectamente.

Esta idea no es mía ni nueva, puedes ver este video de Google de como ellos practican ese punto de vista de no perimetro-firewall.



Cuando pensamos en las arquitecturas modernas, con ubicaciones, cpd´s, cloud y usuarios por todo el mundo, de qué sirve proteger un perímetro cerrado cuando estamos en un mundo abierto? Es un concepto romántico, pero como lo llevo a la práctica?

Volviendo al caso de mi cliente. Esta empresa cuenta con servicios de seguridad que durante muchos años han ido madurando, como puedan ser SIEM, controladoras Wifi, hardening de servidores con firewall local, fortificación de cuentas, gestión de identidades, etc.

Para qué le voy a dar a un comercial acceso VPN a mi entorno corporativo, cuando puedo publicar la aplicación virtualizada o su escritorio, y confiar en una gestión de identidades potente con segundo factor de autenticación?.

Si tengo seguridad endpoint en la que recibo feeds de Threat Intelligence, antivirus, heurística y hasta Host-Ids.

A nivel de red tengo un siem/ids "activo", es decir, que aparte de generar un evento/alarma realiza tareas defensivas como bloquear ips.

A nivel de seguridad tengo una correcta política de actualizaciones, y no necesito el virtual patching que ofrecen los NG.

A nivel servidores de aplicaciones cuento con WAF locales.

A nivel DDOS cuenta con un CDN básico para las 4 aplicaciones web que le protege y oculta de la mirada del curioso.

En el caso del Spam y la seguridad del correo tenemos varias posibilidades, por el momento el cliente usa un appliance dedicado ya que por mucho Next Gen que compres, siempre te venden un módulo dedicado para esta labor... Aunque siendo sinceros, evaluando los costes de licencias, máquinas y mantenimiento del sistema Exchange el cliente va a migrar a la nube de 360 si o si en breve.

Como puedes ver, estamos hablando de un cliente con CIERTO nivel de madurez en la seguridad. No quiero decir nada más que esto, que no es una empresa con un firewall y punto.


Entonces ahora llega el momento de cambiar de firewall. Hacemos unas reuniones con los principales vendors y nos enseñan las maravillas. Preciosas, bonitas, todo super centralizado, pero todo super caro. Caro porque necesito al menos DOS modelos en ha, a ser posible activo-activo para no perder sesiones si cae uno... Quiero licencias adicionales renovables cada año por los servicios de valor añadido, porque claro, el pvp lleva el equipo más pelao que yo mismo. Un 20% de mantenimiento de la empresa, el módulo de retención/visualización de logs, el modelo dedicado de correo. Encima, el fabricante te dice que por la DPI del tráfico cifrado el throughput que necesitas es más alto... modelo más caro...

Todo esto me hace pensar mucho a la hora de qué le recomiendo a mi cliente.

Quizás necesite invertir en securizar la propia IT, los procesos, los detalles que le faltan, e invertir en un firewall "musculoso" como pueda ser un Mikrotik o algo que sólo proporcione hierro, seguridad capa 2, lo que es un router-firewall que separa la red externa de la interna( internas).

¿Cuantos UTM Next Gen has visto dejados caer en el cliente sin aprovechar ni un 20%? Cuando el fabricante te vende que vas a poder bloquear la aplicación concreta de la persona concreta en real-time, te debe especificar el proceso de hacer una white-list, de monitorizar, de gestionar el equipo, no creas que todo lo que te han dicho/enseñado se hace solo, vas a necesitas a un ciber-segurata dandole caña al aparato :-)

Pensando en plazo de 5 años, en donde se supone que el cloud será nuestra piedra angular, al menos la que expondrá nuestros servicios y aplicaciones, y que nuestros "cpds" on premise o nuestra red local será algo eso, local, ¿tiene sentido en hacer grandes inversiones en hierro? sea fw, servers o lo que sea?

Si nuestros servicios expuestos son aplicaciones web, no tiene más sentido tener un buen WAF más que un NG multiuso?


Espero que te haya hecho pensar un poco. El motivo del post es ese, enumerar las opciones, plantear mis dudas, conocer tu opinión y generar debate.

Al final he hecho lo que he creído conveniente... Por supuesto no te lo digo xD



viernes, 7 de julio de 2017

Como Ser o no Ser Microsoft MVP

Estimados amigos de Inseguros !!!

Vamos a introducir paso a paso las ideas y conceptos, y no como siempre desordenadamente y en el kaos. Bueno no,  voy a empezar por el final, o por el principio?.

Lo primero de todo es saber qué es el Microsoft MVP. Al estilo de los jugadores de basket y otros deportes, se le otorga este premio al mejor jugador del partido (Most Valuable Player). Microsoft jugó con las siglas para crear su Most Valuable Professional.



El juego de caracteres es realmente bueno, pero no conlleva realmente ser el "mejor jugador del partido" para ser un Ms MVP. Ser Ms MVP es un premio otorgado por Microsoft por la contribución en las redes a las tecnologías de Microsoft.

No significa que seas el que más sabe, no significa que seas el más listo, no significa que seas un fan-boy de Microsoft y no puedes criticarlo. No significa nada de eso, sin embargo...

Si eres una persona que constantemente aportas valor a la cadena, con blogs, charlas, libros, foros, eventos o cualquier otro tipo de divulgación, al final, algo debes saber sobre la materia...

Ser fan-boy no es un requisito, no se pide comprar camisetas ni ser el "windosero" en las charlas de bares, pero al final, si uno hace lo que le gusta, y se dedica a las tecnologías Microsoft, es porque algo te gustan.



Conozco a MVP´s con un nivel técnico estratosférico, y conozco MVP´s con un valor increíble por su trabajo de divulgación. Todos los niveles valen, volvemos al origen del premio, contribuir en las redes...

Al final como verás no te estoy centrando del todo en cómo ser un MVP, porque no hay guía, simplemente puedo expresar mis opiniones, pero siempre te voy a repetir que es un premio por contribuir en las redes...

Conozco gente reacia a todo esto, a las certificaciones, titulitis y demás.

Conozco gente realmente buena en su trabajo, tanto en la seguridad, en los sistemas, en la ingeniería, en la pintura, carpintería, etc..

Pero a la hora de valorar a un profesional, a mi me la trae floja que sea un crack, si se guarda sus "trucos" y conocimiento para el. Lo contrario a la exposición en los medios, aquellos genios de la gruta y su pequeño grupo de genios, los auténticos !!! los inimitables !!! los inigualables !!! a mi me da igual lo que controles, valora más al que comparte lo que tiene.

Siempre pongo el mismo ejemplo, valoro más a una persona pobre que te deja 1€ que te falta que a un millonario que te deja 50€.

¿Esta bien explicado así o sigo?



Estas últimas líneas se refieren a la importancia que se le pueda dar al premio.

Yo recuerdo los principios de los 2000. Me enamoré de la tecnología que trajo Windows 2000, el .Net, Isa Server, SharePoint !!!

Pasaba las horas en los foros Technet y en las News (NTP pero no el tiempo xD) ayudando a todos con las típicas preguntas. No se cuantas veces escribí ( en el servidor dns, el campo dns debe apuntar a si mismo) no exagero si no lo dije 100 veces.

Veía a los genios del foro con las siglas MVP y quería ser como ellos. Tenía 20 años, que quieres !!! otros querían ser como el cantante de héroes del silencio!!!

Muchos nombres recuerdo y mucho respeto guardo a todos estos genios que durante siglos ayudaron o ayudan a la gente con sus respuestas desinteresadas.

Por una cosa o por otra, dejé ese mundillo hasta mi "reaparición" en la redes hace 6 años. Quizás la parte que más te suene de mi carrera.

Mientras que hace 20 años "busqué" o intente trabajar a propósito para lograr el MVP, el título realmente vino solo hace unos años.

Recuerdo estar en una conferencia de hacking, Navaja Negra, y sobre las 16:00 de la tarde me llegó el mensaje al mail.

Lo primero que hice fue sudar, luego miré a mi alrededor pensando que alguno de mis colegas me estaba trolleando.



Como no veía muy bien la cabecera del mail en el móvil fuí corriendo al hotel para comprobar la veracidad xD Paranoyas de ir con hackers :-)

Me pregunté por qué me dieron el premio. Se lo pregunté a mis colegas. Se lo pregunté a otros MVP´s cercanos.

Al final resulta que miré para atrás, y llevaba no se cuantos artículos escritos. Había participado en nosecuantos cuantos eventos, había dado no se cuantas formaciones, al final me creí que si, que el premio era real.

Ser MVP me proporciona un montón de cosas que nadie sabe. Me proporciona apoyo anímico cada vez que tengo que estudiar algo para mi trabajo y el sofá me llama. Me proporciona visibilidad en las redes sociales ya que a mucha gente le llama la atención, para bien o para mal, pero llama la atención.
(no creas tampoco que vas a ligar más).


Durante todo el año tenemos un montón de eventos. Yo particularmente disfruto mucho con los webcast sobre producto, sobre seguridad, grupos de interacción y este tipo de eventos que no requiere apenas esfuerzo, una hora, pero te ponen al día de un montón de cosas y te permiten preguntar, aportar, etc.

Luego está la parte de pegatinas, del logo, del trofeo que tengo en el comedor y que muestro con orgullo a los amigos de mis hijos que quieren estudiar informática :-)



He leído varios artículos relacionados con este, y si estás "buscando" ser MVP tiene que joder leer en todos lo mismo, que es algo que cae solo, que no se busca, y que es una recompensa del carajo, pero es que es así !!!

Otras empresas tienen premios parecidos, recuerdo Google contributors? Vmware Vexpert?

Creo que son iniciativas muy interesantes ya que se establece una relación WIN-WIN en la que las empresas reciben publicidad y contenido a bajo coste, y los apasionados por la tecnología reciben un premio que muchas veces no se da en la vida cotidiana.

Te imaginas tener un premio por ser el que más disfruta comiendo en Burger King? o un premio por pasarte las horas muertas jugando a la play? Molaaaaaa

Creo que ha quedado patente mi ilusión y agradecimiento por la comunidad MVP y creo que he transmitido que hagas la cosas con la pasión y dedicación que se merecen y que te inspire, que los premios molan mucho, pero tampoco lo son todo.

Las vacaciones empiezan desde el momento que piensas a dónde vas a ir.

Lo mejor de todas las cosas que giran alrededor no es tenerlas, es conseguirlas, y lo mejor de conseguirlas, es tenerlas (Frase de Mucho Muchacho).

Gracias a todos los que me leeis, y sobre todo, gracias a todas esas personas que aparecen en google cuando busco un fallo, un procedimiento que no me funciona, o cualquier otro tipo de información que desinteresadamente alguien ha publicado en Internet. La parte del premio es la puntita :-) lo gordo está debajo.

Calurosos abrazos !!!


PD: El principio de todo esto debería haber sido decir  que me han renovado el premio hasta dentro de un año :-)

jueves, 1 de junio de 2017

Threat Intelligence. Dame IOC´s-Consume IOC´s. MINEMELD OpenSource Palo Alto.

Estimados amigos de Inseguros !!!

En este blog junto con el de Eset España he hablado varias veces del Threat Intelligence y de herramientas que nos pueden ayudar para su gestión. Tambien teneis un video de PaellaCon con una charla que di al respecto.



En esta entrega de Inseguros no voy a profundizar en el uso del Threat Intelligence, para eso puedes tirar para atrás, pero si que voy a comentar un poco el uso de esta fabuloso herramienta similar a CIF pero bastante más ágil.

El concepto es MUY sencillo. Introducir IOC´s de distintas fuentes y lo exporto de distintas maneras.

En el mundo de la monitorización y los Security Operations Centers o SOC es irremediable contar con un conjunto de proveedores de inteligencia que ayuden la labor del analista a distinguir amenazas.

Estas fuentes deben ser libres por supuesto, de pago si lo consideras, externas y como no internas.

Imagina una alerta leve de un incidente a uno de nuestros activos. Contar con la información detallada del origen, y poder evaluar por ejemplo que se trata de una IP que lleva desde las 7:00 de la mañana barriendo una zona geográfica, y que un analista la ha considerado como maliciosa porque descarga una pieza de malware. Quizás a ti te haya una alerta del tipo respuesta DNS con contenido .ru ... pero tampoco vas a parar el mundo cada vez que esto sucede.. o si :-)

Al lío, vamos a "destripar" la herramienta para que juzgues por ti mismo.

El mundo de tener que pelearte con la máquina para instalar las cosas murió el día que aparecieron los how to´s verdad? claro que no :-) Murió con Docker/Ansible y las máquinas virtuales :-)


Podemos elegir cómo desplegar nuestras instalación, en un sistema bare-metal con todas las fuentes, o podemos hacer CLICK y que se despliegue la máquina en tu cloud favorito, externo o interno.

En mi caso despliego sobre Azure, me despliega una máquina pequeña mediante una plantilla, me abre los puertos ssh y https y en 3 minutos empieza a funcionar.

Mientras que empieza, puedas conectarte por ssh para ver el progreso.


Si todo ha ido bien se nos presentará un cuadro de mandos una vez hayamos hecho login con el usuario y password por defecto.


El primer concepto que debemos manejar es el de Node. Cada Node es un conjunto de configuraciones de entrada, procesamiento y salida. 

Hay un concepto de Prototype que es la configuración exacta del "parser" que va a recolectar la información. En el podemos configurar url,  intervalos, clasificación y demás. Vamos a ver por ejemplo un preconfigurado para AlienVault Reputation.


Creamos un Node que use este prototipo para que el proceso de recolección empiece.

Ahora tenemos esta fuente de información recolectando direcciones IP.

Ahora creamos otro node, del tipo OUTPUT en formato lista de ip pero podemos usar cualquier de las salidas disponibles, para que pasándole este input de Alienvault, genere una salida que podamos incorporar a cualquiera de nuestros sistemas que usen este formato.

Te dejo verlos durante un rato aquí: https://52.183.117.83/feeds/test
En formato CDIR: https://52.183.117.83/feeds/test?tr=1
En formato json: https://52.183.117.83/feeds/test?v=json-seq


El software pinta bien. Usa una arquitectura un poco rara o desconocida para mi, usando un motor de base de datos round robin=?!"·?!"·= y un servidor nginx

Ahora voy a cargarla lo más automáticamente las fuentes que manejo, en la actualidad, más de 120 y a ver cómo se comparta.

Espero que os guste la idea y que la manejes tu mismo.

Un saludo !!!



domingo, 21 de mayo de 2017

Famosa !!! muñeca o celebrity. Opiniones...

Estimados amigos de Inseguros !!!

Llevamos unas semanas más ajetreadas de lo normal con la exposición de la gente a los medios y después del tonteo del otro día de Wannacry sospecho que va a dar para varias entregas.


Aunque ya he expresado mi opinión al respecto en varios foros, me apetece escribir por aquí lo que quiero sin las restricción de los 140 caracteres o la app. móvil.

Para centrar un poco mi opinión voy a hablar de otras dos de mis pasiones aparte de la informática, que he vivido como algo más que un hobby, como un estilo de vida, pero que al final pasó como lo que está pasando ahora mismo con la infosec.

Era 1993 o así. Estaba metido de lleno en la cultura hip hop. Si estás o has estado sabrás de lo que hablo, una cultura reivindicativa, antisocial, transgresora, con varias facetas de expresión artística como el graffiti, el break dance y el rap.

Estábamos en la movida, escribí un fanzine de graffiti en el que pegaba fotos sobre un a3, escribía al título con la máquina de escribir y lo pegaba debajo. Luego se fotocopiaba y se vendía por 300 pesetas. Recuerdo con ilusión como de mano en mano, fotocopia en fotocopia, recibimos cartas, si cartas con sello, de gente de TODA España felicitándonos por el trabajo.




Mis mejores amigos cantaban Rap, muchos amigos. De repente, salió en la prensa un grupo de Madrid, los poetas violentas. Eran todos una banda, vestidos igual, rapados igual, gente con dinero que pudieron acceder a grabar un disco, cuando los demás estábamos con las cintas.


No se lo merecían, no eran los mejores, no eran lo únicos, pero fueron los primeros en sacar un disco de rap en España. Los medios escribieron soberanas tonterías gracias a la desinformación. Apareció el príncipe de bell air... años más tarde Eminem, las batallas de gallos y todo se fue a tomar por culo.

La cultura desapareció, y el hip hop se convirtió en un baile de un talent show, y el rap se conviritió en cualquier persona que rima sobre un 4x4 rimando los finales.

Ahora de los 1000 grupos que salen de rap, me gusta 1. Pero me da igual que hayan 999 malos. Es una opinión seguramente de abuelo cebolleta, y lo que durante un tiempo me molestó, ahora me la suda.

Ahora voy a seguir unos cuantos años más 1998/2000. Otra de mis pasiones, el SkateBoard.

Ya sabes, Sk8 or die. Todo el dia en la calle lleno de mierda con la tabla partiendome el cuerpo para sacar el truco más guapo. Aquí la cultura era esa, patina o muere. Era otro estilo de vida, en el que reivindicamos nuestras inquietudes deportivas, de manera de vivir, al margen de la aficiones "normales" que tenían las personas de nuestra edad: salir a ligar.

Cuando el skate salió a los medios MASIVAMENTE, con el juego de la playstation de Tony Hawk, hubo una revolución mediática. Las empresas de toda la vida que NO APOYABAN el skate, como Nike, Adidas, etc empezaron a contratar gente para vender sus productos. Los profesionales del skate.

Cuando Nike o Redbull ficha a un talento con la tabla, creeis que contratan al mejor, al que más trucos hace, al que más estilo tiene, al que más años llevan patinando, al que más se lo merece? PUES NO. Contratan a una mezcla de lo anterior, y alguien con "carismas" con "posse" con aspecto guay, que convine con su marca. Imaginas a un tipo gordo y feo patrocinado por Nike, por muy bueno que sea?

Después de vivir todo esto qué crees que pienso cuando veo a un tipo más parecido a un módelo anorexico que a un chaval de 18 años, vestido de moda, con la tablita de longboard? o a la misma figura en chica que lleva el longboard bajo el brazo porque quiere ligar con el tipo del skate... Como con el hip hop. hubo un tiempo en el que me reventaba, ahora, me la suda...

AQUÍ EMPIEZA LA PARTE DEL HACKING.


Al igual que el skate, el hiphop, el surf hace 40 años, el rock hace 50, el hacking ha cambiado. Ahora está en los medios, y te guste o no, es lo que hay. No chochees con una cultura que nació hace 30 años con unos motivos, con la lucha contra telefónica y la tarifa plana, con el acceso a internet universal, con el afán del conocimiento libre y accesible. El hacking de ahora lo hacen gente que ha estudiado su carrera con matrículas de honor, que ha hecho un master no se donde, y que de lunes a viernes trabaja 50 horas haciendo test e informes.

Si tu eres de los de antes, ole tus huevos. Si eres de los de ahora, ole tus huevos. Todo es válido, y precisamente gracias a la lucha de muchos por esa libertad en internet, ahora están las nuevas generaciones. Qué quieres, que te paguen? que te admiren? NONONO, esto no va así.

Queridos haters, prefiero ser el tonto del BMW que el listo que no tienen para pipas. Quizás tú vayas al cielo hacker, o quizás seas un perdedor hobbit de la tierra media, enano criticón, jaajajaja.

Espero que hayas entendido mi opinión. Hay gente que sigue anclada a un pasado, pero porque el pasado les venía mejor. Yo miro siempre hacia un futuro mejor, y lucho por ello. Mirar hacia atrás es bueno, pero solo para tomar impulso. no para anclarse.

Se que no me voy a ganar muchos amigos de la cultura hacker, pero lo dicho, OS ENTIENDO, lo he vivido con otras pasiones mías, pero la realidad al final es la que es. El tiempo pasa, y si no creces, envejeces.

Respecto a los rankings, méritos, títulos, conferencias, incidentes, de todo eso paso de opinar. Al final cada uno lucha por lo suyo de la manera que cree oportuna. Por supuesto que no iría nunca a ninguna ciberguerra con la bandera del pp por 2.000€, pero respeto a mis amigos que salen en la entrevista por el trabajo que hacen, aunque el tonto del periodista los haya metido en un embolao. A TODOS. no vale decir que unos sí y otros no, porque son tus amigos unos o los otros, TODOS los mencionados son grandes en lo suyo, unos técnicamente, otros en la divulgación, etc, pero TODOS aportan.

OS KIERO.

miércoles, 10 de mayo de 2017

Ventana de auditoria 2am-7am. ¿Me levanto o lo dejo programado?

Estimados amigos de Inseguros !!!

Hace unos días un cliente comentaba el caso de una auditoría de sistemas perimetral, de una organización none-stop, 24/7 etc. No conozco a ninguna empresa que no se venda asi :-) Todos son la NASA.

El caso es que pedía que las tareas de automatización con herramientas se lanzarán en horas de baja actividad, lo típico. Lo de esta empresa era que lo típico no eran las 19:00 o los fines de semana, era la madrugada.


Claro, si cobramos el precio hora a precio de noche, 5 veces más caro, la auditoría la va a hacer Rita la bailaora...

Hay tipos de empresas en las que la respuesta es " SISISISIS, por supuesto" y en otras debe ser así.

Dentro mi filosofía de trabajar poco y rendir mucho pensé en que si Dirbuster y Zap, que son dos herramientas que suelo usar ,tienen línea de comandos, tengo el asunto hecho.... pues nada, vamos a ello.

Dirbuster, localizo el jar dentro de mi linux y pruebo con esto:

java -jar /usr/share/dirbuster/DirBuster-1.0-RC1.jar -u http://www.google.es -H -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e asp,aspx,php,txt,doc,docx,xls,xlsx,* -t 90 -v

Con un -h tienes toda la ayuda.

En mi caso instale el paquete AT y hago lo siguiente: at 11:59 AM Thu -f /var/dirbustar_google.sh

Más claro agua, a las 11:59 ejecuta el script con la ejecución de dirbuster...



Ahora el turno es para Zap, otro de mis habituales.

Sin muchas complicaciones, me bajo el git del proyecto https://github.com/garethr/zapr que hace realmente lo que quiero, mediante una api de zap permitirme acceder a uno puñao de comandos.

Instalo como el autor indica con gem install zapr

zapr --debug --zap-path /usr/bin/zaproxy http://127.0.0.1

De esta manera lanzará un spider básico sobre el target y un attack por defecto.

Si necesitas más granularidad, como por ejemplo autenticación, elegir políticas, etc puedes usar https://github.com/Grunny/zap-cli que nos permite un poco más configuración..

Bueno creo que ha quedado clara la reflexión de tener que hacer tareas en horas raras y que podemos jugar con la línea de comandos y con at para ejecutar las órdenes previamente configuradas.

Eso si, no olvides cobrar las horas como si realmente te hubieras levantado :-)


Gracias por leerme !!!

martes, 2 de mayo de 2017

Burp +CO2 extension: Sql Map más fácil

Estimados amigos de Inseguros!!!

Hoy voy a comentar un pequeño truco que espero que os sirva para vuestras tareas de auditoria.

Vamos a ver la extensión CO2 . Muy sencillo, nos proporciona una especie de front end para sqlmap.

Lo primero es instalarla. O bien nos bajamos el jar o desde el propio Burp, extender, buscamos e instalamos.

Vamos a imaginar el típico caso de una aplicación que estamos auditando manualmente y que encontramos un parámetro vulnerable a inyección. Queremos usar SqlMap para automatizar la extracción de base de datos y demás. Hasta aquí normal.

El caso es que tenemos que usar la cookie de sesión en SqlMap porque la aplicación así lo requiere.

Aparte, queremos usar las típicas preguntas y configuraciones que nos proporcionar SqlMap, hasta el Wizard !!!, pues dale.

Navegamos por la URL que queremos comprobar, botón derecho, enviar a sqlmapper.


Graficamente tenemos todas las opciones a configurar y un bonito comando listo para copiar y pegar ( en mi caso sqlmap está en otro sistema) en SqlMap y realizar el ataque.

Por supuesto que esta extensión no solo nos ofrece esta posibilidad. Nos ofrece ayuda para subir shells, manejar wordlist y algunas cosas más. Muy intuitiva.

Espero que os guste este pequeño truco.

Gracias por leerme !!!

jueves, 27 de abril de 2017

Nunca uses un id en claro en una URL !!! Servicios de mensajería.

Estimados amigos de Inseguros !!!


Seguro que siendo usuario de Internet, y de páginas como estas, realizas compras On line. No? Qué raro eres xD

Llevo viendo durante mucho tiempo este fallo en casi todas las plataformas, y es que usan el id de pedido para hacer el tracking, siendo el id de pedido un número en claro, sin hash ni ofuscamiento de ningún tipo. En la URL.

Esta mañana esperando ansiosamente un pedido, ya sabes, rollo F5 compulsivo, me veo que el repartidor ha tenido la cara de ponerme como ausente. Ausente estaba en clases de pequeño. Ausente estaba cuando en casa mi madre me enbroncaba. Ausente estoy cuando entro en modo si-cariño, pero ausente esperando un pedido de ropa que he pagado?


Pedazo de ... el mal ha salido de mi, y aparte de llamar a la agencia, ablbalabl, he pensado en probar el ataque codo-comilla, en la versión "me apoyo en el pc y cambio un número por otro".



Por supuesto que no he utilizado ninguna herramienta automática para ver esto, es ilegal, nada de usar Burp o Zap en modo Intruder. sino que ha sido un accidente, al apoyarme, al pasar el gato por el teclado y luego el otro gato.

No son datos muy sensibles. O si, depende. Podría hacer una traza de por donde va el reparto, sabiendo poblaciones y horarios, adivinar la ruta del repartidor. Podría calcular el número de envíos que gestionan para este proveedor, siendo yo una agencia que quiere hacer una mejor oferta.
Como se el camión, puedo saber que mi vecino del edificio de enfrente pide todas las semanas, en fin, que es información no controlada que no tendría que ser accesible.

Aparte, si el cambio lo haces en el campo cliente y no envio, puedes ver la empresa que usa el servicio. 




La recomendación sería simple, usar un hash en el id de la URL, para que no sea consecutivo o predecible. Aparte, usar un captcha para evitar fuerza bruta. Usar un waf o bloquear el user-agent "gato-curioso" tampoco estaría de mas.

Es curioso porque esto suele pasar en MUCHAS agencias de transporte.

El problema es que muchas usan por detrás webservices en formato REST, que como la gente no conoce o no se ve en la web no se invierte en seguridad... en las que teniendo fechas-códigos usuario y códigos de envío, puedo poner incidencias, o puedo modificar destinos, esto ya si que se considera un fallo de seguridad grave.

En el borrador del Owasp 2017 ya se incluye la falta de medidas defensivas como un fallo de seguridad, en su categoría a7


Para los curiosos, esto me he comprado xDDDDDDD





miércoles, 26 de abril de 2017

Cracking NTLM hashes con Azure GPU por unos céntimos... o mejor... gratis !!!

Estimados amigos de Inseguros !!!

*Esto no es un post que pretenda aportar mucho sobre el cómputo,  CPU, GPU, cracking, comparativas etc. Aunque se mencionen, el propósito es iniciar al lector en la modalidad y dar a conocer la posibilidad de hacerlo en Azure. Si eres un experto en esta materia, gracias*



Uno de los primeros pasos que hacemos en un entorno de post-explotación, aparte de elevación de privilegios, suele ser el volcado de claves del sistema.

Lo normal es que en un sistema mas o menos modernos y bien implementado las claves se guarden de manera "cifrada" con un hash, con algoritmo mas o menos conocido, mas o menos seguro.

En el caso de los equipos Windows solemos extraer las credenciales de la SAM o de la red en formato NTLM, ya sabes:

Administrador:AAD3B435B51404EEAAD3B435B51404EE:ECC35EE867B405EF13B357DA0B0C0663

Lo habitual es acceder a alguna de las bases de datos online que hay con hashes pre-calculados para probar fortuna con nuestro hash. Si en la base de datos aparece tenemos la contraseña en claro.

Otra posibilidad es usar la debilidad de Pass The Hass en sistemas Windows pre-2016 (configurado) en la que podemos emplear el hash como token de seguridad, en vez de la clave. Psexec es la herramienta "by default" para usar el hash en vez de la contraseña en conexiones remotas, ejecución de comandos etc.

Muchas veces, el hash no es suficiente, porque el equipo de gerencia no encuentra esta información relevante, o porque tenemos un entorno en el que sospechamos que la clave de administrador se usa en distintos servicios ( diferentes equipos, servicios, webs, etc) y es un MUST conseguirla en formato claro.

Ahora vienen las opciones, ¿como desciframos un hash NTLM de muchos caracteres?

Tenemos varias aproximaciones:

Fuerza Bruta con un diccionario: Confiamos en el que la password aparece en un diccionario.ç
El diccionario puede ser de palabras, y generado por nosotros, con variaciones de años, nombre de empresa, recursos, 3 por e, 0 por o, todo este tipo de cosas. ¿Si no funciona qué?

Fuerza Bruta con Rainbow Tables: Las Rainbow tables son combinaciones de hashes/claves ya precalculadas que hacen mucho más rápido el descubrimiento de la contraseña.
El tema está en que esto pesa, pesa en disco. Yo he manejado Rainbow Tables del espacion ascii mayusculas/minusculas de 8 caracteres de longitud, de 40 gb. El de 9 caracteres, casi 400gb. Si quieres probar contraseñas de más de 10, lo tienes DIFICIL sin comprarte un montón de discos duros, montón es MUCHO.

Fuerza Bruta: Este es el caso que nos atiende hoy. Este caso es muy sencillo, empezar a probar todas las combinaciones posibles de letras, caracteres, números y longitud hasta encontrar la contraseña.

La operación de fuerza bruta consume primordialmente cómputo. Cpu.

Como muchas sabéis, para realizar grandes cálculos se utilizan las "cpu" de las GPU, las tarjetas gráficas. Estás presentando una configuración de procesador optimizado para el rendimiento de las imágenes, que también consumen mucho computo, por lo que suelen ser usadas y ofrecen un rendimiento mucho más alto.


Cuando digo mucho más alto, es MUCHO, no es el doble, triple, ni 10 veces más, es MUCHO mas.

Vayamos por partes. Lo primero que vamos a hacer es descargar la herramienta HASHCAT, disponible para sistemas windows y linux. Según preferencias. Tenemos que tener la última versión de nuestros drivers de video activos. Quizás nos pida algún driver relativo a OPencl para el paralelismo entre varios dispositivos....

Voy a hacer una prueba en la castaña de portatil que uso ahora mismo. Estos son los datos y rendimiento que arroja HashCat en modo benchmarking para hash del tipo NTLM.


La humilde tarjeta integrada de mi portátil ofrece 273,7 millones de hashes por segundo. No está mal. Si fueran céntimos de euro...

Vamos a compararlo con algo. Por ejemplo, con el espacio de hashes que hay NTLM de mayusculas/minusculas/caracteres especiales de 9 caracteres de longitud:

13,759,005,997,841,642

Si lo divides entre mi potencia de cálculo, tardaría más de 2 años en sacar el hash/clave.

Vamos a compararlo con algo más curioso, con la capacidad de minado de Bitcoins. Nos vamos a la web: http://tpbitcalc.appspot.com/ e introducimos los datos. 


Sin contar gastos, en un año, ganaríamos 11 céntimos. Ya se va viendo que la capacidad de cómputo de mi tarjeta de vídeo es de risa.

Después de esta introducción :-) Vamos al asunto.


En Azure podemos usar máquinas del tipo N dotadas con tarjetas gráficas, GPU´s, de gran capacidad, en concreto NVIDIA K80 (2GPU y 24gb ram) y NVIDIA M60 (2GPU y 24gb ram). A esto le sumamos 20 cores de CPU y unos 120 Gb de ram. Estas son las configuraciones disponibles..



Como puedes ver, el tamaño de las máquinas es bestial. Las tenemos desde 700€/mes hasta 1500€/mes.

La cuestiones ha plantearse son varias.

Las máquinas no las vas a tener todo el día funcionando, sino las horas justas que creas convenientes para realizar los cálculos.

Azure puedes contratarlo "gratis" en modo de pruebas con 150€ de crédito... En el momento que te pases, te dirá, quieres seguir o paramos, por lo que no hay riesgo de sorpresas en la tarjeta.

Yo para mis pruebas use la NV12. Para poder seleccionar estas máquinas, al crearlas en Azure, debes seleccionar tipo de disco HDD y zona centro-sur de EEUU. No están disponibles en todas las zonas.

Lo que tenemos que tener claro son los pasos antes de empezar, para ahorrar tiempo.

En mi caso tenía preparado los drivers,376.84-tesla-desktop-winserver2016-international-whql     hashcat https://hashcat.net/hashcat/ y OPENCL https://software.intel.com/en-us/intel-opencl

Bájalo primero !!! Una vez instalado todo:


Menuda máquina. Ahora vamos a ir probando configuraciones hasta dar con la tecla. Os paso dos capturas en las que la diferencia de un comando a otra dobla la velocidad del proceso.



hashcat64.exe -a 3 -m 1000 hash.txt --force -w3

Al final estoy rindiendo a 12.000 Mh/s... ¿recuerdas los 250 de la tarjeta del portátil?

Los dos años del espacio de 9 caracteres se han hecho en:


En una hora y cuarto. Esto es un poco relativo, porque la clave puede estar al principio de XXXXXXXXX o al final, pero para hacernos una idea, es suficiente.

En cuanto al minado de bitcoins, podríamos ganar dinero usando los 150€ gratis de Azure?


Hemos pasado de 11 céntimos a 5 €, sin meter costes claro !!!

Espero que te sirva de ayuda este post para realizar alguna prueba de concepto xD o simplemente para iniciarte en el mundo del Cracking y las GPU.

Tengo que dar las gracias a dos señores que dieron una master class el otro día en el Azure Boot Camp 2017 de Madrid sobre todo esto de la series N de Azure, el cracking, los vídeo juegos y demás.

Os recomiendo que los sigáis, sino lo hacéis ya, porque son unos máquinas en esto y mejores personas.

Carlos Milán: https://twitter.com/cmilanf
Alberto Marcos: https://twitter.com/alber86


https://channel9.msdn.com/Events/Microsoft-Spain-Events/Azure-Bootcamp-Madrid/Track-1-Sesin-4-GPU-Cloud-Computing-la-potencia-de-la-aceleracin-grfica-en-Azure

Gracias !!!


Related Posts Plugin for WordPress, Blogger...