Nuestro servidor de tuneles siempre online (2ª parte) ssh-tunnel & wake on wan

Siguiendo con esta serie de entradas hoy retomaremos nuestro recién creado server y lo dotaremos de un par de servicios de tunneling más de los cuales nos podremos servir en un futuro.

También veremos cómo hacer un wake on wan sin necesidad de un wol-relay, aunque si recordáis yo para el server utilice una raspberry (se puede utilizar cualquier máquina) y, aunque el chipset soporta la tecnología wol, no lo tuvieron en cuenta a la hora de diseñarla (RPI no soporta wol).. por lo menos en el modelo de mi placa...

A decir verdad el consumo de Rpi 2,5W no es nada frente a los 125W que puede llegar a consumir cualquier sobremesa.. Por eso seria bueno tener online este tipo de server solo cuando lo utilicemos, además de ahorrar es ecológico :)

WAKE ON LAN/WAN


Wake on Lan/Wan, es una tecnología mediante la cual podemos encender un ordenador de manera remota, simplemente mediante una llamada de software. Puede implementarse tanto en redes locales (LAN), como en redes de área extensa (WAN o Internet). Las utilidades son muy variadas, tanto encender un Servidor Web/FTP, acceder de manera remota a los archivos que guardas en tu equipo, teletrabajo y hasta por pura vagancia.

Requerimientos hardware

1 - Fuente de alimentación ATX 
2 - Tarjeta de red con cable de tres pines. 
3 - Placa base con soporte WOL

Lo primero que tenemos que hacer para llevar a cabo un wake on wan es abrir el puerto  UDP  9. El Magic Packet es un paquete que funciona a nivel de enlace, en la capa 2 del modelo OSI, ya que lo que se envía en el mismo es una dirección MAC. pero el router es un dispositivo de nivel de red (nivel 3), o sea, que se “entiende” con direcciones IP, no con las direcciones MAC. Eso quiere decir que deberemos ser capaces de enrutar este paquete desde Internet hacia el ordenador objetivo.

Lista de Anti-Rootkits

Impresionante lista de a_d_13 en el foro KernelMode.info. Si alguien conoce alguno más que comente en la entrada original (nosotros actualizaremos posteriormente esta entrada):

Cómo montar nuestro propio servidor de tuneles siempre online (1ª parte)

Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales.

El tunneling puede ser usado también para circunvalar un cortafuegos.

A más de uno nos ha hecho falta alguna que otra vez un túnel, ya pudiera ser SSH, DNS, ICMP o HTTP, bien fuese para securizar conexiones o saltarnos alguna que otra restricción...por no decir lo bien que nos puede venir tener este tipo de server montado a la hora de auditar redes.

En esta serie de posts vamos a montarnos nuestro propio proveedor de estos servicios el cual estará siempre dispuesto a echarnos una mano.

Vamos a abordar diferentes técnicas de tunneling (aunque no todas) y veremos para qué sirven, veremos cómo podemos hacer un 'wake on wan' para solo tener el server funcionando cuando lo necesitemos. Y también veremos como podemos lidiar con el problema de que nuestra ip no sea fija...

#ShellShock + DHCP o como puede comprometerse una máquina con sólo conectarse a la red

El bug en bash, ya bautizado como Shell Shock, es tan terrorificamente sencillo que hasta los menos expertos son capaces de juntar rápidamente algo de código para comprometer una máquina Linux/Unix (incluido Macs). Así en menos de dos días hemos pasado de una simple prueba de concepto a una autentica pandemia de explotaciones.

Una de las más llamativas es la que ya conocíamos desde el principio con DHCP y que ahora nos ilustra TrustSec, otra PoC en la que vemos como podemos insertar código en la opción 114 (default-url) de nuestro server para explotar la vulnerabilidad:


String () { ignored;}; echo ‘foo’ en servidor TFTPD64

Simplemente hacemos un renew en el cliente (o levantamos el interfaz) y observamos el resultado:


#Shellshock: Grave vulnerabilidad en bash (CVE-2014-6271) permite la ejecución remota de comandos

Todos sabéis que bash lleva desde los 80 "casado" con Unix/Linux/MacOS y todavía se utiliza ampliamente para muchas cosas, entre ellas proveer un shell a un usuario remoto (telnet o ssh por ejemplo), como parser para scripts CGI (Apache, etc.) e incluso para facilitar soporte a la ejecución de comandos como se hace con Git...

Ahora Stephane Chazelas ha descubierto una vulnerabilidad bastante seria que puede ser explotada remotamente. Se le ha asignado el CVE-2014-6271 y en resumen se basa en la posibilidad de crear variables de entorno con código que puede ser ejecutado después de una función y antes de llamar al shell de bash. 

Al igual que los lenguajes de programación "reales" Bash tiene funciones, aunque de una aplicación un tanto limitada, y también es posible poner estas funciones de bash en las variables de entorno. El fallo está cuando se añade código adicional al final de estas definiciones de funciones (dentro de la variable environment) porque bash sigue ejecutando o parseando estos comandos. Algo así como:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 vulnerable
 this is a test

El coleccionista de fotos robadas (знаменитости утечка)

23 de agosto de 2014. Ni el verano angosto, ni la botella medio vacía de Zhuravlí, nada calma el frío aliento de esta jodida ciudad. Tan sólo el tenue reflejo de la vieja pantalla de un ordenador hecho de mil piezas requisadas y navego a bordo de cualquier proxy:
socks.setdefaultproxy(socks.PROXY_TYPE_SOCKS5, "127.0.0.1", 9050)
socket.socket = socks.socksocket

La alfombra roja arrastra hacia a mí a otra incauta, tan bella como ingenua, afirma desde su mundo perfecto e irreal: "My iCloud keeps telling me to back it up, and I'm like, I don't know how to back you up. Do it yourself.


Qué ironía... ya te tengo.


El 30 de agosto será la DefCon y queda ya muy poco para que se rebele un fallo en 'Find My iPhone', el servicio de Apple para localizar dispositivos perdidos de la manzana mordida en un mapa... y el servicio cuya API NO implementa protección ante a ataques de fuerza bruta. 


Basta con enviar una y otra vez la clásica cadena "Authorization Basic [<user en Base64>:<password en Base64>]". Sólo tengo que darme prisa y exprimir las pocas líneas de mi script de Python, cargar la munición y disparar otra ráfaga de "prueba y error". 

Ofrecen 10.000 euros y trabajo por crackear su smartcard

Una empresa de Girona ofrece empleo y 10.000 euros a quien rompa su producto estrella: una tarjeta-chip para guardar certificados y contraseñas

Las empresas españolas que fabrican tarjetas inteligentes pueden contarse con los dedos de una mano. Entre ellas destaca de forma importante Arkocard, con sede en Girona. Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez más usuarios: ¿Si no podemos guardar las contraseñas en una libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde las guardamos? Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard pensada específicamente para almacenar contraseñas y certificados digitales. La empezó a comercializar en 2012 y ahora reta a la comunidad de hackers especializados en "cracking" (crackers) a romperla.

Arkocard nació en 1996 como fabricante de tarjetas de plástico y hoy en día la mitad de su producción son tarjetas con tecnologías de última generación, de las cuales fabrica 3 millones al mes. Una de sus grandes apuestas han sido las tarjetas RFID, que se leen por medio de radiofrecuencia, además del desarrollo de tarjetas criptográficas a las que se puede incorporar firma digital. Entre ellas brilla con luz propia la Safe Keeper Card, que permite guardar contraseñas cifradas y hasta diez certificados digitales dentro de su chip. De esta forma, sólo es preciso recordar una contraseña: la de la tarjeta.

Múltiples vulnerabilidades en servicios looking-glass de Internet

Para quien no lo conozca HackerOne es una plataforma para hospedar programas de recompensas por bugs de seguridad (bug bounty programs). Dentro de la misma dos gigantes como Microsoft y Facebook patrocinan el Internet Bug Bounty que paga por vulnerabilidades descubiertas en las tecnologías principales de Internet como DNS, BGP, SSL, etc. y en general cualquier fallo que afecte globalmente a muchos sitios o proveedores.

Recientemente han premiado con 5.000$ a Luca Bruno (kaeso) por un estudio llevado a cabo en mayo de 2014 para analizar la seguridad de los servicios denominados looking-glasses que ofrecen muchos AS (Autonomous Systems) para diversas pruebas de conectividad en Internet. Las razones que han llevado a identificarlos como fuente potencial de problemas son las siguientes:

- son scripts web directamente conectados a routers (telnet/ssh) del backbone (BGP)
- muchos de ellos han sido programados en los 90s o 00s sin tener en cuenta la seguridad
- muchos de ellos no han sido actualizados en años
- en muchos AS se ha desplegado software de código abierto

I Congreso Internacional de Nanotecnología de Seguridad y Defensa

La nanotecnología aporta numerosas innovaciones en el mundo de la seguridad y la defensa, tales como nuevos materiales, fuentes de energía, sensores, textiles, óptica y fotónica, investigación forense y criminalística. En Nano SD 2014 se presentarán los desarrollos, resultados de investigaciones y aplicaciones reales para empresas, cuerpos de seguridad y fuerzas armadas, así como los avances de la nanotecnología que impactarán en los próximos años. En NanoSD 2014 tiene diferentes posibilidades de participar:

  1. Presentando investigaciones: otros pueden complementarla o aplicarla.
  2. Asistiendo como delegado para conocer de primera mano el estado del arte en estos campos.
  3. Stand, para presentación de empresa y equipos
Asistencias confirmadas de directores de Nanociencia de la NASA, Lockheed Martin, Thales, Agencia Sueca de Defensa… así como destacados científicos de Reino Unido, Israel, Canadá, Rusia y Pakistán, entre otros países.

Fecha: 23 al 26 de septiembre de 2014

Lugar: Escuela Nacional de Policía (Ávila)


Inaugura: D. Ignacio Cosidó, Director General de la Policía
Participa: D. José Manuel García Montaño, Director General de Armamento y Material

Evasión de SOP en navegadores de Android < 4.4 (CVE-2014-6041)

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.

Pues bien, resulta que el navegador por defecto de todas las versiones de Android anteriores a la 4.4, el conocido como AOSP browser (Android Open Source Project), permite evadir La Política del mismo origen (SOP) cargando Javascript en un iframe o ventana cualquiera simplemente poniendo antes de "javascript:..." un byte nulo. Es lo que sería UXSS (Universal Cross-site Scripting).


Veamos un ejemplo claro:
<iframe name="test" src="http://www.prueba.com"></iframe>
 
<input type=button value="test"
 
onclick="window.open('\u0000javascript:alert(document.domain)','test')" >

Como veis el código intentará acceder a la propiedad document.domain del sitio www.prueba.com, y si lo hacéis desde un navegador vulnerable funciona. Se trata pues de un fallo crítico, el identificado con CVE-2014-6041, que afecta a la mayoría de los sistemas Android (que son los desafortunadamente no actualizados).