Archive for August, 2008

Tip para grabaciones de red

Monday, August 25th, 2008

A aquellos clientes y amigos nuestros que algunas vez preguntaron por un script de carga rutinaria de tcpdump basado en la fecha del sistema, he aquí el aporte:

#!/bin/bash
#Made in JaCkSecurity
kill -9 `ps -ef | grep “[t]cpdump” | awk ‘{print $2}’` 2>/dev/null
tcpdump -i3 -n -w “log-`date “+%Y%m%d%H%M.%S”`” 2>/dev/null &

Observaciones:
- -i3, es la interfase de captura (esta varía según su sistema)
- El snaplen de tcpdump es por defecto pequeño, no cubre mucha data del paquete.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Detección, Knowledge, SANS-SEC503 | No Comments »

Sin sufrimiento, no hay compasión

Friday, August 8th, 2008

De la misma forma que un hacker jamás ingresa a un sistema robusto por la zona más protegida, un criminal informático con cesos jamás ensucia su patio de juego. Los genios creadores de botnets lo saben bien, por supuesto, no todos, hay sus muy malas excepciones. Y es que, cuando un criminal razga su tablero de juego, provoca la atención del dueño del tablero, y pone en riesgo su diversión, o la de otros.

Lo sucedido estas semanas con el malware que fue difundido como si fuera de la PNP (Policía Nacional de Perú), es exactamente eso “un torpe pateo del tablero”, de parte de las bandas que están detrás del pharming en Lima. Aunque con un espíritu más inofensivo, me hace recordar aquella escena de la película Hackers, cuando cambian el registro del oficial de policía a “muerto”. Por supuesto, ya no había más que hacerle, algo así puede pasar aquí, en menor impacto claro.

Aunque la ofensa fue contra una entidad que merece respeto, era un mal deseable: si a alguien se le iba escuchar gritar de dolor, era al que más fuerte podía gritar. Al parecer, sería la única forma de hacer notar a las autoridades judiciales, que ese código procesal penal amerita un cambio. Por supuesto, esto no lo alterará a favor, pero sí generará un precedente notable, muy notable, que ayudará a que los atestados policiales por crimen informático tengan oído real, y los criminales informáticos no queden impunes, o tengan que cargar sólo la mitad de sus condenas.

Ojalá, los criminales informáticos “sin cesos” sigan pateando el tablero, aunque su pateo provoque dolor. Si acaso la historia (The Hacker Crackdown) describen los hechos futuros, entonces aún falta que los más afectados griten, aún más fuerte.

“Without suffering, there’s no compassion” (Mandy Moore en el papel de Jamie Sullivan “A Walk to Remember“)

Javier Romero
JaCkSecurity, CTO
Conocimiento, conciencia y consultoría

Posted in Knowledge | No Comments »

Técnica de “El Acertijo”, Kaminsky

Monday, August 4th, 2008

Varias semanas atrás estuvimos averigüando la forma en que Dan Kaminsky determinaba cúando un DNS era vulnerable a su famoso hallazgo, al usar el DNS CHECKER en Doxpara.com.

Inicialmente pensamos en la posibilidad de recrear el DNS CHECKER vía un viejo y útil programa llamado, tcpreplay, bajo la premisa que a Kaminsky se la había fugado parte o toda la cadena de explotación, pero no fue así.

Luego de montar un DNS vulnerable en nuestro lab, descubrimos que los paquetes eran muy inofensivos, pero no quisimos dejar tanto esfuerzo en un simple, no se puede. Quisimos ir más allá, y no despreciar el análisis de los paquetes capturados, contra nuestro DNS vulnerable. Sugerimos que lleve el curso SEC503 si desea aprender cómo hacer esto.

Al analizar los paquetes, observamos renuencia de paquetes. Ellos no eran otra cosa que un prolongado juego de acertijos (por eso el título arriba) en el que estuvo entretenido nuestro DNS. Los acertijos a que nos referimos eran (como puede ver abajo) varias respuestas CNAME sucesivas para una consulta de un registro tipo A, aquí una representación cinematográfica de lo visto:

Interprete el escenario así:
[192.168.1.19] como Batman (nuestro DNS vulnerable)
[209.200.168.66] como El Acertijo (el servidor DNS de Kaminsky)
[190.232.39.215] como El público de la película (PC que hace click en el DNS Checker)

La técnica, que hemos bautizado aquí como “la técnica del acertijo”, es muy interesante. Si bien acá es usada para diagnosticar la vulnerabilidad descubierta por Kamisky, esta, puede ser usada para otros fines futuros. Observe, que la técnica de responder con acertijos, es una forma muy útil de provocar más de una (seudo) sesión (seuda por lo de UDP) a fin de aprender más del host que inicia la sesión. Por otro lado, si piensa por un momento que las respuestas con acertijos son agotadoras (como lo pueden ser las preguntas repetidas de un infante), entonces entenderá -también- que esta técnica puede ser usada para intentar agotar los recursos de un servidor DNS (tarea para los researchers que quieran crackear un BIND-acertijo)

En suma, Kaminsky no sólo nos ha mostrado (BlackHat 2008) su vulnerabilidad, también nos ha dejado algo más (doxpara.com), sólo hacía falta un poco de análisis.

Staff
JaCkSecurity
Conocimiento, conciencia, consultoría

Posted in Alerts, Knowledge, SANS-SEC503, Zombis | No Comments »