50 tutoriales para el administrador de sistemas de Unix/Linux

Aunque algo antiguo, hemos rescatado en The Geek Stuff una recopilación de 50 tutoriales que todo administrador de sistemas Unix/Linux debe conocer:

  1. Copia de seguridad de disco a disco utilizando el comando dd : dd es una potente utilidad de UNIX, que es utilizada por los makefiles del kernel de Linux para hacer las imágenes de arranque. También se puede utilizar para copiar datos. En este artículo se explica cómo realizar copias de seguridad de un disco duro y crear una imagen con el comando dd.
  2. 15 ejemplos de comandos rsync : Cada administrador de sistemas debe dominar el uso de rsync. Esta utilidad se utiliza para sincronizar los archivos y directorios de un lugar a otro. La primera vez, rsync replica todo el contenido entre los directorios origen y destino. Después, rsync sólo transfiere los bloques o bytes modificados a la ubicación de destino, lo que hace la transferencia muy rápida.
  3. Las tres reglas del sysadmin : Si eres un administrador de sistemas, no puedes (ni debes) romper estas tres reglas del sysadmin.
  4. Cuota de disco de usuario y grupo : En este artículo se explica cómo configurar la cuota de usuario y grupo con soft limit, hard limit y límite de período de gracia. Por ejemplo, si especifica 2 GB como hard limit, el usuario no será capaz de crear nuevos archivos después de esa cuota.
  5. Solucionar problemas mediante dmesg : Con dmesg puedes ver mensajes de arranque que muestran información sobre los dispositivos de hardware que el kernel detecta durante el proceso de arranque. Esto puede ser útil durante el proceso de troubleshooting.

Cómo usar Google para realizar un DoS contra sitios web alojados en grandes dominios

Panos Ipeirotis, profesor de la Universidad de Nueva York ha descubierto accidentalmente una forma muy sencilla de realizar un ataque DoS a través de los servidores de Google.

Esto podría suponer la disposición de una herramienta muy "destructiva" capaz de generar más de 100 peticiones por segundo y ofrecer a un atacante cierto anonimato.

¿Qué que permite esto?

Pues aparentemente Google utiliza el agente Feedfetcher como recolector de todo tipo de URLs (no sólo feeds) y, como las URLs pueden ser privadas, Google no las cachea porque no puede almacenar datos personales. Esto hace que el crawler se tenga que lanzar periodicamente cada hora, con el añadido de que Feedfetcher ignora el fichero robots.txt. Además Google tampoco puede limitar el tráfico a dominios enormes como s3.amazonaws.com que tienen terabytes de contenido web, por lo que un ataque a un sitio alojado en Amazon o un gran dominio de Internet sería posible.

Recomendaciones: Seguridad Blanca

Este mes Maztor nos recomienda SeguridadBlanca, anteriormente conocido como El Blog del Dr.White - Seguridad Informática Perú.

En marzo, el Dr. White dió el testigo a Dédalo para que continue con este interesante blog. Especializado en todo tipo de ataques desde ingeniería social hasta vulnerabilidades web, nos enseñará cómo explotar distintas vulnerabilidades, evadir molestos filtros y otras técnicas como inyecciones SQL y HTTP Parameter Pollution.

Un paso más allá del Antivirus. Sandboxie

A día de hoy, todos en casa tenemos un antivirus. Ya sabemos que, acompañados de un firewall, son un punto de defensa más pero no debemos olvidar que son sólo un pasito más para la seguridad y, de ninguna forma, una solución total.

Hoy quiero presentar una herramienta que forma parte de mi día a día, si alguien me envía un fichero y desconfío de sus intenciones, o quizás me he descargado un parche o un keygen para un juego que tengo comprado (con mi serial en algún cajón :P) o entro en una web llena de calaverastibias por todas partes. Aquí entra en juego: ¡SandBoxie!

Nota: Me saltaré toda la parte de “como puedo instalar sandboxie” (que, por otra parte, es un siguiente, siguiente, “he leido y acepto", bla, bla, bla y finalizar).

¿Qué es Sandboxie?
 
Una herramienta que nos proporciona un entorno completamente aislado. Permite ejecutar un archivo poco confiable y comprobar qué es lo que hace y, si por mala suerte fuese un virus, no nos veríamos comprometidos.

¿Cómo funciona Sanboxie? 

Metasploit demo: BOF MSCOMCTL ActiveX (CVE-2012-0158)

Recientemente Juan Vazquez y sinn3r han publicado el módulo en Metasploit para la vulnerabilidad CVE-2012-0158 descubierta este mismo mes durante una campaña de spam con asunto "Tibetan Input Method for Apple iOS 4.2" (imagen de la derecha).

Se trata de un desbordamiento de buffer en MSCOMCTL.OCX y utiliza un RTF malicioso para embeber un control MSComctlLib.ListViewCtrl.2 especialmente modificado. Es válido para Office 2007 y 2010 y en el caso de este último realiza un bypass de DEP/ASL mediante la cadena Ikazuchi ROP propuesta por Abyssec.

Para ejecutar correctamente el exploit primero debemos abrir el Office y luego el fichero malicioso (Abrir -> Fichero).

Número 8 de la revista Hack In The Box


Ya podemos descargar el magazine número 8 de HITB, cuyos contenidos son los siguientes:

Network Security
  - The Exploit Distribution Mechanism in Browser Exploit Packs
  - Reverse Shell Traffic Obfuscation
Windows Security
  - The Story of CVE-2011-2018 exploitation
CISSP ® Corner
  - Jobs and Certifications Looking at the 2012 Landscape
From the Bookshelf
  - Practical Malware Analysis
  - The Tangled Web
Book review
  - A Bug Hunter’s Diary
Featured article
  - Online Security at the Crossroads

Backdoors web en imágenes: mejorando la técnica

Al hilo de la entrada en la que se mostraba como ocultar código PHP en los metadatos de una imagen, en esta ocasión explicaremos cómo insertar nuestro backdoor también en una imagen pero esta vez añadiendo el código al final del fichero y ejecutando el shell sólo si se recibe un determinado “User-agent”.  

De esta manera se seguirá mostrando la imagen normalmente al resto de usuarios que naveguen por el servidor web comprometido y nosotros dispondremos de la "puerta trasera" para cuando la necesitemos.

Ejecutando código PHP desde una “inocente” imagen  

La forma de hacer que nuestra imagen ejecute código PHP es similar a la anterior, es decir, insertando un fichero .htaccess en el directorio donde se encuentra nuestra imagen con el código. 

Este es un fichero que se encarga de permitir una configuración sobre un directorio. Una configuración propia de apache, con unas limitaciones. Recomiendo visitar la web de apache para comprender mejor su funcionamiento.

TapLogger: troyano experimental capaz de determinar contraseñas basándose en los movimientos de dispositivos Android

Un equipo de investigadores de la Universidad Estatal de Pensilvania (PSU) e IBM ha desarrollado un troyano basado en Android que puede utilizar los sensores de movimiento del smartphone para romper las contraseñas.

Bautizado como TapLogger es una aplicación experimental que se basa en la premisa de que, al tocar en la pantalla táctil, se está interactuando con la misma, pero también estamos moviendo todo el dispositivo. Así que si presionamos un botón en la esquina superior derecha, el teléfono en realidad se moverá en esa dirección un poco, y ese movimiento sutil es leído por el acelerómetro y otros sensores integrados del el dispositivo.

Los datos del acelerómetro y de los sensores de orientación no están protegidos por el modelo de seguridad de Android, y esto significa que están expuestos a cualquier aplicación, independientemente de sus permisos en el sistema.

Tenéis mayor detalle en el documento que fue presentado durante la Conferencia de ACM sobre Seguridad y Privacidad en Redes Inalámbricas y Móviles:

http://www.cse.psu.edu/~szhu/papers/taplogger.pdf

AnonPaste, la alternativa a Pastebin.com de Anonymous

Después de que Pastebin.com anunciara su intención de vigilar sus contenidos en busca de "información sensible" y su disposición para facilitar IPs a las autoridades está claro que dejar cualquier información en su portal ya no asegura en absoluto el anonimato.

Ahora el grupo People’s Liberation Front perteneciente a Anonymous ha anunciado una alternativa segura para todos aquellos que deseen mantener su privacidad. El servicio se llama AnonPaste (
www.AnonPaste.tk) y se basa en el software de código abierto ZeroBin.

Este software es un "pastebin" online donde el texto pegado se cifra con AES256 en el lado del cliente (navegador) y luego se envía al servidor, y se puede acceder por otros usuarios sólo si se les da la dirección URL completa que contiene la clave de cifrado. Por lo tanto no se podrá ni habrá control de contenidos ni censura.

No obstante nos surgen todavía algunas dudas con las redirecciones a la web del grupo hacktivista (
por ej. http://www.peoplesliberationfront.net/anonpaste/index.php?52bbb628dad3f5ff#plpmOnB9HmzERP5E2AUZrq70QSD2xf04ghdbrzakn7Q=) y el uso (eso sí opcional) del acortador de URLs snipurl.

Ojo también con el portal http://anonpaste.org/ :-S

Ocultando el backdoor PHP Weevely en los metadatos de un JPG

En esta entrada veremos como usar los metadatos EXIF de una imagen JPEG para ocultar código PHP, por ejemplo para dejar un backdoor en la imagen de nuestro avatar en un servidor web comprometido.

Existen muchas herramientas para manipular los campos de metadatos. Nosotros usaremos la herramienta jhead y una pequeña imagen JPG para pruebas. Primero observamos los metadatos que ya tiene la imagen:

C:\>jhead skull.jpg
File name : skull.jpg
File size : 13504 bytes
File date : 2012:04:17 00:33:40
Resolution : 100 x 105
Comment : CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 100
Ahora procedemos a añadir nuestro código:
C:\>jhead -ce skull.jpg

Recopilatorio de recursos de análisis de malware de Claus Valca

Claus Valca del blog grand stream dreams ha publicado una interesante lista de recursos para análisis de malware. Este recopilatorio se complementa con otra de sus entradas y queríamos postearlo también aquí para tenerlo siempre a mano:
Escáners en línea y herramientas de análisis de Virus/Malware

Número 68 de Phrack

Hemos tenido que volver a esperar más de un año pero ha merecido la pena: ¡ya está disponible el número 68 del ezine Phrack!.
Ya puedes descargar el número completo aquí o acceder directamente a cualquiera de sus artículos:

IntroductionThe Phrack Staff
Phrack Prophile on FXThe Phrack Staff
Phrack World NewsTCLH
Linenoisevarious
LoopbackThe Phrack Staff
Android Kernel Rootkitdong-hoon you
Happy Hackinganonymous author
Practical cracking of white-box implementationssysk
Single Process ParasiteCrossbower
Pseudomonarchia jemallocumargp & huku
Infecting loadable kernel modules: kernel versions 2.6.x/3.0.xstyx^
The Art of Exploitation: MS IIS 7.5 Remote Heap Overflowredpantz
The Art of Exploitation: Exploiting VLC, a jemalloc case studyhuku & argp
Secure Function Evaluation vs. Deniability in OTR and similar protocolsgreg
Similarities for Fun and ProfitPouik & G0rfi3ld
Lines in the Sand: Which Side Are You On in the Hacker Class Waranonymous author
Abusing Netlogon to steal an Active Directory's secretsthe p1ckp0ck3t
25 Years of SummerConShmeck
International Scenesvarious

Happy hacking, Phrackers!

Descubren un 0-day en WICD que permite escalado de privilegios en Linux

En el transcurso de un CTF, un estudiante anónimo del Instituto InfoSec de los EE.UU ha descubierto un exploit 0-day que afecta al popular gestor inalámbrico de Linux WICD (Wireless Interface Connection Daemon) y que podría permitir a un atacante obtener una shell de root en la máquina destino.Enlace
La vulnerabilidad CVE-2012-2095 permite escalar privilegios a través de las últimas versiones de WICD y fue probada con éxito en varias distribuciones Linux, incluyendo la última versión de BackTrack (5 R2) (de hecho, hubo cierta controversia porque algunos lo bautizaron erróneamente "backtrack 0-day").

El fallo es debido a un error en la validación de entrada dentro del método "SetWiredProperty()" (wicd-daemon.py) que puede ser explotado por un usuario local con acceso al interface DBUS para ejecutar código arbitrario con privilegios de superusuario.

Podéis encontrar el exploit en Python y mayor detalle técnico en la entrada de Infosec.

WICD ya ha liberado la versión 1.7.2 que corrige el bug.

Obtención de información sensible en Android mediante aplicaciones sin permisos

Normalmente ya hemos visto muchas aplicaciones de Android que hacen mal uso de los permisos pero, ¿a qué datos puede acceder una aplicación cuando no tiene ningún permiso?

Esa es la pregunta que se hizo Paul Brodeur del grupo Leviathan, que ha creado la aplicación "No Permissions" para ver qué información se puede extraer de un dispositivo Android mediante una aplicación que se instala sin ningún permiso.

Ciertamente, los resultados son preocupantes:

- es posible acceder en modo lectura a los ficheros no ocultos de la tarjeta SD (directorio /sdcard), por ejemplo fotos, copias de seguridad o ficheros de configuración externos de otras aplicaciones.

- se puede obtener un listado de aplicaciones instaladas leyendo /data/system/packages.list y escanear los directorios de cada aplicación para leer los ficheros de aquellas aplicaciones que no tengan los permisos configurados correctamente.

- es posible obtener información de identificación del propio dispositivo, como el ID de la red GSM y de la SIM. La aplicación también es capaz de leer /proc/version e identificar la versión del kernel y de la ROM.

Además y para más inri, aún podemos enviar la información recolectada. Y ¿cómo es posible si no tenemos el permiso INTERNET? Pues, aunque la mayoría del acceso a red está restringido, todavía tenemos la opción de llamar a URI ACTION_VIEW, abrir un navegador y enviar los datos mediante una petición GET.

Si no te lo crees, el desarrollador pone a nuestra disposición el código fuente y el apk de la aplicación, que ha sido probada en Android 4.0.3 Ice Cream Sandwich y Android 2.3.5 Gingerbread:

Código fuente: NoPermissions.zip
Fichero APK: NoPermissions.apk
Web Leviathan: http://leviathansecurity.com/blog/archives/17-Zero-Permission-Android-Applications.html

exploit-exercises.com: entrenamiento en explotación de sistemas

exploit-exercises.com provee máquinas virtuales, documentación y retos que pueden ser usados para aprender un interesante variedad de aspectos de seguridad como escalado de privilegios, análisis de vulnerabilidades, desarrollo de exploits, depuración o ingeniería inversa.

Actualmente el proyecto se compone de tres módulos, cada uno es la progresión del anterior e incluye distintos niveles:

- Nebula: contiene una selección de 20 retos de nivel básico-medio que cubren escalado de privilegios en Linux, lenguajes de scripting y race conditions en sistemas de ficheros. Nebula es el sitio ideal para iniciarse en la explotación de sistemas Linux.

- Protostar: nos introduce en aspectos básicos de corrupción de memoria como desbordamientos de buffer, format strings y explotación de cabezeras en sistemas Linux antiguos que no utilizan las modernas técnicas de mitigación de exploits. Incluye hasta 24 niveles clasificados en distintas categorías: Network programming (Byte order, Handling sockets), Stack overflows, Format strings y Heap overflows.

- Fusion: fue lanzado el pasado 8 de abril y ya tiene 29 niveles. Continua con las vulnerabilidades anteriores pero en escenarios más avanzados y con sistemas de protección modernos. Es recomendable empezar por este módulo sólo si ya se está familiarizado en la explotación de Linux y se desea aprender sobre sistemas de prevención de exploits.

Detectando y eliminando el troyano Flashback de Mac

Poco más podemos decir acerca del revuelo que ha causado Flashback, que viene a desmontar el falso mito de que los ordenadores de Apple son invulnerables al malware (aunque realmente el troyano se aproveche de una vulnerabilidad de un componente de java).

Sea como fuere, acaba de publicarse una pequeña herramienta (38KB) para comprobar si un equipo Mac ha sido infectado por Flashback. Se llama Flashback Checker (descarga) y ha sido liberada por el desarrollador Juan León de Garmin International, simplificando enormemente el proceso de detección:

Como veis, en el equipo de prueba no hay evidencias de infección. Pero, si nuestro equipo fuera uno de los "agraciados", podríamos seguir las siguientes instrucciones para eliminar las variantes I y K (clasificadas según F-Secure):

Liberados módulos de Metasploit que atacan a infraestructuras críticas

Se han publicado dos módulos diferentes para Metasploit que tienen el potencial de atacar a los controladores lógicos programables (PLC) de algunas infraestructuras críticas como refinerías, grandes fábricas, plantas de gestión de agua y otras instalaciones en producción.

Los exploits se aprovechan de algunas vulnerabilidades en el diseño de los PLC Modicon Quantum hechos por Schneider-Electric, valorados en unos 10.000 dólares.
Concretamente el problema es que PLC Modicon Quantum no requiere autenticación al equipo que se comunica con él o para cualquier comando que se le envíe. Sin esa protección, cualquiera con acceso a la red puede enviar comandos maliciosos a los dispositivos para tomar el control de los mismos, o simplemente enviar un comando "Stop" para detener el sistema y que deje de funcionar.

Listas de Twitter para a seguir a gente de (in)seguridad y hacking

Recientemente Bill Brenner, editor de CSO, publicó una lista de nombres en Twitter a los que recomendaba seguir, de forma similar a la lista que publicamos aquí hace tiempo.

Hemos recopilado esos nombres y hemos creado una lista para que podáis seguirlos más fácilmente:

Lista BillFFSec
*old* Lista ensectwitters


Y cómo teníamos pendiente crear una lista de cuentas en español, podéis también encontrar la siguiente lista:


Por favor, no dudéis en comentar este post para recomendarnos más cuentas!

pd. Bueno, supongo que imagináis que no hemos añadido cuenta por cuenta cada nombre a cada lista, simplemente hemos usado un sencillo script en Ruby:

Enema v1.6: herramienta para inyecciones SQL

Enema es una herramienta para inyecciones SQL muy interesante (¡vaya nombre, muy apropiado! xddd). Aunque tiene un interfaz gráfico amigable, no es un software para script kiddies de autohacking, si no una herramienta dinámica para gente que sabe lo que hace. Su desarrollo está enfocado a las últimas versiones de base de datos (por ej. no soporta mysql 4.x).

Versión actual estable: 1.6

Qué trae nuevo:
Añadidas inyecciones ciegas basadas en tiempo (Blind Time-based): MSSQL(waitfor), MySQL(sleep)

Última versión en desarrollo:
svn checkout http://enema.googlecode.com/svn/trunk/ enema-dev

UE: Hasta la posesión de herramientas de hacking podría considerarse un delito

Los ciberataques a los sistemas de TI pueden convertirse en un delito punible con al menos dos años de prisión en toda la UE en virtud de un proyecto de ley respaldado por la Comisión de Libertades Civiles.

La posesión o distribución de software y herramientas de hacking también serían un delito, y las empresas serían responsables de los ataques cibernéticos cometidos en su beneficio.

La propuesta, que vendría a actualizar la legislación comunitaria existente relativa a los ataques cibernéticos, fue aprobada con 50 votos a favor, 1 en contra y 3 abstenciones.

Adobe publica una herramienta para clasificar malware basándose en algoritmos de IA

Un investigador de seguridad de Adobe ha publicado una herramienta de código abierto que puede determinar si un fichero binario Win32 puede contener malware: Malware Classifier.

Karthik Raman, explicaba brevemente en el post de Adobe que usaba "algoritmos de aprendizaje de máquina" (comúnmente usados en Inteligencia Artificial) para clasificar el fichero en cuestión, ya sea un .exe o una .dll, como limpio, malicioso o desconocido.

Concretamente Malware Classifier es un script que, aunque se critica en varios foros dentro de la categoría "Cómo no escribir código en Python", ha tenido un interesante desarrollo utilizando como modelo los resultados de la ejecución de los algoritmos de aprendizaje J48, J48 Graft, PART y Ridor en aproximadamente 100.000 programas maliciosos y 16.000 programas limpios.

RDPKill4Android: explota MS12-020 de RDP mediante Android

Si recordáis hace tiempo Mark DePalma publicó una herramienta llamada RDPKill escrita en Visual Basic 6.0 con un interfaz muy sencillo para explotar la vulnerabilidad MS12-020 del Escritorio Remoto de Windows.

Ahora, el mismo autor ha portado la herramienta a Android: RDPKill4Android, así que imaginaros las posibilidades de "maldad" conectados a una red inalámbrica corporativa, abusando de sistemas Windows sin parchear...

Enlace de descarga
Vídeo demo