martes, 28 de abril de 2009

Fast-Track: Pentesting a la velocidad de la luz

Todos los que nos dedicamos a la seguridad y más concretamente a hacer Pentesting sabemos del poco tiempo que disponemos cuando nos ponemos a auditar la red de una empresa, todos acabamos haciendonos nuestros scripts o nuestros programitas (en la medida de lo posible) para conseguir automátizar cuantas más cosas mejor, para así disponer de más tiempo para aquellas que requieren sencillamente pararse a pensar y echarle imaginación.

Parace que lo mismo le ha sucedido a David Kennedy, ex-NSA, actualmente trabajando en la empresa SecureState, que ha desarrollado un script en python llamado Fast-Track que pretende automatizar algunas tareas muy interesantes a la hora de realizar un test de intrusión (de hecho fijaros en el nombre de la web, parecido al de esta).

Este script está ya en las manos de los usuarios de BackTrack, ya que Dave es colaborador habitual de esta distribución. Para utilizarlo sólo es necesario entrar en el directorio /pentest/exploits y lanzarlo con las opciones deseadas "-i" para modo interactivo por linea de comandos, "-g 80" para lanzar un servidor web al que conectar a http://localhost y seleccionar las opciones deseadas de forma gráfica.

# cd /pentest/exploits
# ./fast-track.py -g 80

(en otra ventana)
# firefox http://localhost

Además, en la web de Fast-Track existen excelentes tutoriales de demostración en video que muestran como utilizar cada una de las opciones de esta herramienta.

De entre todas ellas, a mi hay dos que me resultan especialmente interesantes, ya que realiza de forma automática la detección del sistema, selección de los exploits que le podrían afectar, y los prueba, lo que ahorra mucho tiempo:
  • Fast-Track Autopwnage: Esta opción realiza de forma automática un escaneo de puertos con NMAP para posteriormente utilizar Metasploit, seleccionando únicamente los exploits adecuados a los puertos que se han descubierto como abiertos. Una forma muy rápida de encontrar agujeros directamente explotables a través de Metasploit.
  • Fast-Track Mass Client Attack: Levanta un servidor web que, tras realizar un ataque MitM que deberemos realizar de forma manual, (otro día escribiré algo sobre eso) realiza una detección de la versión del navegador utilzada por el cliente y le develve en la contestación a su petición los exploits que podrían explotar vulnerabilidades de su navegador. En el ejemplo vemos como explota una vulnerabilidad y obtiene un acceso mediante VNC.
Para más videos y posibilidades, os invito a visitar la web de la herramienta.
Sin duda una herramienta excepcional, que nos va a permitir agilizar mucho nuestro trabajo.
A disfrutarla!

martes, 21 de abril de 2009

¿Firefox más inseguro? (y II)

Como os comentaba ayer en mi anterior post, el artículo publicado por NeoWin sobre el estudio realizado por Secunia sobre las vulnerabilidades de los navegadores web da una interpretación muy poco realista y muy partidista de la información aportada por Secunia.

Tras leer el informe de Secunia yo mismo y valorar lo que pone, estas son las conclusiones que se extraen, y sobre las que voy a intentar separar claramente lo que son DATOS aportados por el informe y lo que son mis opiniones personales, para que no pase como les ha pasado a varias webs que se han hecho eco de este artículo y que, por confiar en la interpretación de esta web, han acabado proporcionando información inexacta a sus lectores.

Aquí vamos con los datos (traducidos del inglés de la forma más literal posible):
  • 31 vulnerabilidades fueron reportadas para Internet Explorer (IE 5.x, 6.x y 7), incluyendo tanto aquellas publicadas antes de disponerse de parche del fabricante como aquellas incluidas en boletines de Microsoft. Safari y Opera tuvieron cada uno 32 y 30 vulnerabilidades respectivamente, mientras que 115 vulnerabilidades fueron registradas para Firefox en 2008.

  • Para plug-ins de navegadores, el número de vulnerabilidades en controles ActiveX en 2008 sigue siendo de lejos el más significativo, con 366. Los controles ActiveX siempre han sido populares en cuanto a su uso y abuso. En cualquier caso, se observa un salto de las 45 vulnerabilidades de 2006 a las 338 de 2007, siendo este último incrementado aparentemente debido a la aparición de eventos como el Mes de los Controles ActiveX y por el descubrimiento por parte de Secunia de un componente ActiveX vulnerable que era utilizado en 40 productos diferentes.

  • Las ventanas de exposición de las amenazas referentes a IE y Firefox son comparadas en la tabla. Esta tabla únicamente muestra aquellas vulnerabilidades publicadas antes de las notificación del fabricante. Los números no incluyen vulnerabilidades descubiertas internamente por los fabricantes. Mozilla ha publicado 3 parches para 3 vulnerabilidades relacionadas con Firefox, las cuales estuvieron todas clasificadas como de bajo riesgo. Microsoft ha publicado 3 parches de las 6 vulnerabilidades relacionadas con IE, aunque varias graves amenazas han permanecido sin parche durante más de 110 días después de su publicación. Tres vulnerabilidades de bajo riesgo en IE permanecieron aún sin parchear a finales de 2008.

  • El objetivo principal para los criminales es el software de Microsoft: Un total de 9 vulnerabilidades 0-day afectaron en 2008 al software de Microsoft, y las restantes 3 (de un total de 12 en 2008) afectaron a controles ActiveX de terceros (aunque el vector de ataque también fue software de Microsoft).


Hasta aquí los datos del informe de Secunia, ahora vienen mis interpretaciones, que adelanto que no tienen nada que ver con las que he leido hasta al momento:
  • Según los datos del informe de secunia, es cierto que Internet Explorer presenta muchas menos vulnerabilidades que Firefox en 2008, pero en ningún momento dice (como se ha leido por ahí) que la conclusión es que Firefox es más inseguro que Internet Explorer. De hecho, en el artículo de NeoWine se han obviado las vulnerabilidades en los componentes del navegador, en las que los controles ActiveX han presentado muchísimas más vulnerabilidades que las extensiones de Firefox (al resto de componentes asumimos que pueden afectar a ambos), por lo que si realizamos una suma de ambos factores Firefox presenta una cantidad de vulnerabilidades muy inferior a Internet Explorer (116 de FF contra 397 de IE). Aún en el supuesto de que se valoraran como algo separado por ser vulnerabilidades de otros fabricantes (aunque yo creo que generalmente las vulnerabilidades en ActiveX son fallos en las librerías del propio Microsoft, aunque no me he puesto a comprobarlo a fondo), no me parece correcto separar estos componentes del navegador propiamente dicho para valorar su seguridad, dado que están íntimamente relacionados. Para poner un ejemplo, sería como si anunciaramos que el coche X es el más seguro del mercado, pero que luego fuera el que más siniestralidad tiene, y lo justificaramos diciendo que el coche es tremendamente seguro, pero que los neumáticos con lo que lo vendemos son los que provocan todos esos accidentes, pero que eso no quiere decir que no sea seguro... Como podeis ver resulta un poco absurdo, y al final lo que le interesa a la gente que compra un coche es poder llegar a su destino de forma segura, y si no va a llegar lo de menos es por culpa de que componente ha sido. En resumen, mi interpretación de los datos del informe de Secunia es el contrario, Firefox ha tenido muchas menos vulnerabilidades publicadas que Internet Explorer, independientemente de que, como dice Mozilla, habría que ver como se han contado y valorado esas vulnerabilidades.
  • Como no me quedaba muy claro eso de que se cuenten conjuntamente las vulnerabilidades de diferentes versiones de Internet Explorer y Firefox (me parece irreal que versiones antiguas cuenten, para medir la seguridad actual), realicé una búsqueda por mi cuenta en la web de Secunia para ver cuantas vulnerabilidades han sido publicadas en 2008 para Firefox 3 y para Internet Explorer 7, siendo el resultado 77 vulnerabilidades para IE7, contra 56 vulnerabilidades de Firefox, por lo que nuevamente los datos no apuntan para nada a que Internet Explorer sea más seguro que Firefox.
  • Por último, algo que en mi opinión es muy importante a la hora de valorar la seguridad de un producto es la cantidad de vulnerabilidades 0-day que aparecen en un producto y el tiempo de respuesta del fabricante para publicar los parches necesarios, ya que vulnerabilidades van a aparecer siempre y que deberemos tener nuestro sistema parcheado (y si no lo tenemos es nuestro problema), pero para que eso sea suficiente el fabricante tiene que tener una rápida respuesta ante vulnerabilidades no documentadas. Pues bien, como se puede ver en los datos proporcionados por Secunia, Firefox tuvo a lo largo de 2008 menos vulnerabilidades 0-day, ninguna de ellas considerada críticas ni de alto impacto, y además fueron corregidas en mucho menor tiempo que vulnerabilidades que sí que fueron críticas y que afectaron a Internet Explorer. Es decir, que mientras que durante 110 días del pasado año (casi 1/3 del año) los usuarios de Internet Explorer estaban usando un software vulnerable sin que su fabricante les hubiera proporcionado ninguna solución, los usuarios de Firefox no tuvieron que estar ni un sólo día expuestos a una vulnerabilidad crítica si aplicaron correctamente todos los parches publicados por el fabricante.
Como podeis ver (y el que tenga opiniones contrarias está invitado a poner comentarios, por supuesto), la interpretación de la información aportada por Secunia (que en ningún momento ha interpretado nada ni ha dicho que Firefox sea inseguro, todo lo contrario) ha sido reproducida de forma partidista e inexacta por NeoWin, algo por desgracia habitual en círculos cercanos a Microsoft (que me resulta inexplicable y poco iteligente, puesto que llega un momento que cada palabra que dicen causa excepticismo de entrada, aunque sea completamente cierto).

lunes, 20 de abril de 2009

¿Firefox más inseguro? (I)

Hace unos días leí en la zona de noticias de la web del CSIRT-CV (Centro de Seguridad TIC de la Comunidad Valenciana) una referencia a un artículo publicado en DiarioTI en el que hacían referencia a un estudio publicado por Secunia en el que, según DiarioTI se extraían las siguientes conclusiones, citadas textualmente de la web de DiarioTI:
  • Firefox fue el navegador más inseguro en 2008.
  • La conclusión de secunia es que, contrariamente a las suposiciones generalizadas, el navegador Internet Explorer de Microsoft no es el más inseguro.
  • El informe concluye que el navegador de Mozilla se vio afectado por el mayor número de vulnerabilidades en 2008.
La verdad es que al leer esta noticia lo primero que hice fue sentirme extrañado, pero dado que aunque partidario del software libre soy una persona nada fanática, que piensa que los sistemas operativos (o navegadores en este caso) son herramientas que utilizaré según más me convenga en cada caso, di un voto de confianza y me decidí a dar una pequeña leida al estudio de Secunia a ver con mis propios ojos si realmente llevo años aconsejando erroneamente a todos mis conocidos diciendoles que usen Firefox en lugar de Internet Explorer.

Una vez leí el estudio de Secunia la verdad es que no entendí como se habían extraido semejantes conclusiones de ese estudio, pero entonces me fijé en las fuentes a las que hace referencia DiarioTI: NeoWin.net ,una web que sólo por el nombre ya hace sospechar que quizá haya podido dar una interpretación no demasiado objetiva de la información mostrada en el informe de Secunia. Me decidí a buscar en la web y encontré el artículo al que hace referencia DiarioTI como fuente, donde efectivamente se encuentran todas las afirmaciones anteriores sin citar a ninguna fuente.

Pues bien, tras haberme leido el informe de Secunia puedo decir que las conclusiones no son (del todo) ciertas, y que en mi opinión Internet Explorer sale peor parado que Firefox según los datos del estudio, pero eso lo dejaremos para otro post que pondré dentro de un par de días.

viernes, 17 de abril de 2009

Nessus 4 está en la calle

El pasado 9 de Abril se publicó en la sección de noticias de la página web del fabricante, Tenable Security, la liberación de la nueva versión de Nessus, la 4.0, que según indica el propio fabricante, además de corregir algunos problemas de compatibilidad entre las versiones de Windows y Linux, se han concentrado sobretodo en mejorar la eficiencia y el uso de la memoria.

Como ya sabeis todos, hace algunos meses Nessus completaba el camino que inició cerrando el código del engine eliminando la licencia gratuita de sus plugins. Eso quiere decir que cualquiera puede descargarse en engine, pero que para poder utilizar los plugins debes pagar una licencia de $1200 anuales, aproximadamente unos 900€ al cambio en el momento de escribir este post.

Nessus lleva años siendo el indiscutible lider de los escaners de vulnerabilidades, siendo el único de los mejor valorados que hasta ahora seguía podiendo ser usado de forma gratuita. Por ello, los que nos dedicamos a la seguridad y tenemos que usar este tipo de herramientas hemos tenido que buscar otras opciones. De entre las opciones disponibles, cabe destacar las siguientes:
  • Engine Nessus + Plugins AlienVault: Podemos seguir usando el engine de Nessus de siempre pero utilizar en lugar de sus plugins de pago los plugins de AlienVault. Esta opción es por la que de momento yo he optado puesto que me aprovecho de las mejoras de rendimiento que los desarrolladores de Nessus realizan sobre el engine. Los plugins serían unos desarrollados por AlienVault y Telefónica, que aunque si bien es cierto que no tiene la actividad que los pasados plugins de Nessus, es probablemente la mejor opción que tenemos. Esta es la opción escogida por OSSIM, también desarrollado por AlienVault, sin duda un producto de referencia para la monitorización de seguridad.
  • Engine OpenVAS + Plugins OpenVAS: OpenVAS fue un proyecto surgido como fork de Nessus cuando este cerró su código al sacar la versión 3. El proyecto tuvo poca actividad durante mucho tiempo pero con el cierre de los plugins parece que se ha reactivado, y ya han salido varias versiones estables. El fork partió de la versión 2.x de Nessus, sobre la cual ya se hicieron mejoras muy importantes en la versión 3 y ahora más aún en la versión 4, por lo que es de esperar que sea menos eficiente que Nessus, aunque no he podido verificarlo. Los plugins de OpenVAS, por lo que he podido observar, tienen escasa actividad. Como nota positiva, los desarrolladores de OpenVAS están integrando la herramienta con otro conjunto de herramientas muy interesantes.
  • Engine OpenVAS + Plugins AlienVault: Los plugins de AlienVault son compatibles tanto por Nessus como por OpenVAS, únicamente es necesario llamarlos con el parametro "openvas" en lugar de "nessus" como primer argumento. De esta manera dispondriamos de las nuevas capacidades de OpenVAS pero con las reglas de AlienVault. Es, yo creo, una de las opciones a las que hacerle un seguimiento de cerca.
Por supuesto, es posible que haya soluciones mejores que no conozca, por lo que si conoceis alguna otra os agradeceré vuestra participación.

Quizá en un próximo post le haga la prueba práctica a todas estas opciones (y las que salgan si alguien me sugiere alguna otra en comentarios) a ver quien saca más vulnerabilidades y quien lo hace en menos tiempo, quizá me monte un pequeño honeyd con una serie de equipos "virtuales" vulnerables y les lance cada una de las opciones a ver cual responde mejor.

Pero eso será otro post ;)

martes, 7 de abril de 2009

Curiosidades en Google Analytics

Supongo que todo el mundo conoce el servicio Google Analytics para ver la cantidad de visitas que tiene una página web. Pues bien, como buen blog empleando blogger, pentester.es también toma estadísticas de este tipo y me reporta semanalmente un informe con las visitas que he tenido, desde donde, con que referral, etc, aunque sin llegar al detalle de los logs ni nada parecido (una lástima).

La cosa es que hoy me han llegado por correo las estadísticas de la última semana, y me aparece esto en la zona de referrals:




¿Referral 127.0.0.1:8080? ¿Es posible que alguien haya puesto un enlace a pentester.es en su web y la haya visitado en local? ¿O se trata de algún tipo de proxy? Desde luego es raro tanto una cosa como la otra, la primera porque no tiene sentido que alguien visite una web de su servidor en local y que eso tenga un enlace a esta web, y la segunda porque no es normal que un proxy para hacer auditoría deje este tipo de información en las cabeceras. Quizá un proxy normal tipo Squid o similar...

¿Que opinais? No deja de ser algo raro, ¿verdad? El problema es que no puedo indagar más, google no me da suficiente información.

Si descubrís algo dejadlo en un comentario, yo haré lo mismo.

jueves, 2 de abril de 2009

Dominios utilizados por Conficker.C

Como ya habreis leido en algunas otras webs, el 1 de Abril (espero que no sea una broma del fools day, pero parece que no) se activó la última variante del Conficker, su versión C.

Parece ser que especímenes del malware en cuestión han sido ya detectados y analizados, por lo que se dispone del mecanismo que usa para acceder a determinadas direcciones web por http.

La manera que tiene este virus de obtener la dirección a la que debe acceder para descargar información adicional es calculada a partir de la fecha actual del sistema y de un sencillo algoritmo, hasta obtener un total de 50K nombres contra los 250 de sus dos predecesores, lo cual hace que resulta mucho más difícil contenerlo.

Además, a partir de este algoritmo, se ha podido definir el listado de nombres de dominio que utilizará conficker, hoy o en el futuro.

La verdad es que no será fácil incluir toooodos estos nombres de dominios a los filtros de nuestro cortafuegos, pero quizá haya otras soluciones...

Dejadme que lo madure un poquito y pondré otro Post.