Firefox 17 0day en Freedom Hosting

Esta noticia ha sido un impacto en muchos sitios, así que no podíamos dejar de informar a los lectores de DragonJAR de lo que ha pasado. Eric Eoin Marques es dueño de un ISP llamado Freedom Hosting. Según el FBI este ISP es el mayor distribuidor de pornografía infantil. Es por eso que el FBI ha presentado a Irlanda una solicitud de extradición para Eric. Según lo leído por ahí Freedom Hosting es uno de los proveedores de hosting que más sitios .onion tiene dentro de la red de Tor. A parecer el FBI ha podido localizar a Eric aún usando la red Tor… Muchos de nosotros que somos usuarios de esta red nos preguntaremos ¿Pero como es posible? ¿Esta red no arrojaba privacidad?, ¿Anonimato? Antes de sacar conclusiones vamos a ver que ha pasado realmente…. Primero, para quien no lo sepa, vamos a explicar por encima que es un hidden service de tor, esos .onion que encontramos por ahí. Hidden Services Los servicios que ocultan la localización (por ejemplo, la dirección IP) de quien provee el servicio (Ej. un servicio web accesible sólo desde la red Tor) se les suele llamar servicios de localización oculta (en inglés location-hidden services) o simplemente servicios ocultos (en inglés hidden services). -Wikipedia A priori sería imposible poder localizar a Eric. Pero, parece ser que el FBI colocó un exploit con el que pudo localizar y obtener la IP aún usando TOR. El código javascript para explotar el fallo que usaron se encuentra en el siguiente link => http://pastebin.mozilla.org/2776374 El software que era vulnerable es la versión Firefox 17 ESR (que es el que se basa el Tor Browser oficial) Una vez que el exploit era ejecutado con éxito, se cargaba un payload, el enlace con el análisis está aquí => http://pastebin.mozilla.org/2777139 http://tsyrklevich.net/tbb_payload.txt Enlaces de interés: [+] https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting [+] http://www.twitlonger.com/show/n_1rlo0uu [+] http://www.reddit.com/r/onions/comments/1jmrta/founder_of_the_freedom_hosting_arrested_held/...

Leer Más

¿Qué pasa en mi red?

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red. Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos. Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google. Vamos ha hacer una prueba mirando una captura de tráfico: En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc.. Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente: Habilitamos network name resolution, nos ayudará en las capturas de tráfico. Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos. Podremos ver tráfico de red, de equipos preguntando por otros equipos. Si queremos filtrar en la captura por tráfico DHCP, por ejemplo. Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto. Los filtros de Wireshark son muy potentes. Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas. Vemos en la captura que ese usuario está usando Virtualbox....

Leer Más

KodiakDNS, fingerprinting

En una auditoría de seguridad lo mas probable es que antes de llegar ha hacer aquella auditoría interna nos pidan de poder obtener toda aquella información pública que nos sea posible. Una de las aplicaciones que podemos usar y que podemos lanzar contra el dominio es KodiakDNS. Para hacerlo funcionar tendremos que instalar dos componentes distintos. Net:DNS:: usad cpan para instalarlo Whois, que lo podemos bajar de aquí => wget http://search.cpan.org/CPAN/authors/id/B/BS/BSCHMITZ/Net-Whois-IP-1.04.tar.gz Una vez que tengamos los dos componentes ya podremos usar KodiakDNS. Lo bajamos usando git clone git clone https://github.com/lain77z/kodiakDNS.git Lo lanzamos sobre un dominio [email protected]:~/tools/kodiakDNS# perl kodiakDNS.pl policia.com kodiakDNS.pl – DNS Gathering Tool _         _ ((`’-“””-‘`)) )  –   –  ( /   x _ x   \     コディアック`DNS \   ( + )   / ‘-.._^_..-‘ [Domain] policia.com [Resolving DNS NS] policia.com.    86400    IN    NS    sell.internettraffic.com. policia.com.    86400    IN    NS    buy.internettraffic.com. [Resolving DNS MX] [Resolving DNS A] sell.internettraffic.com.    58414    IN    A    176.74.176.170 sell.internettraffic.com.    58414    IN    A    176.74.176.169 buy.internettraffic.com.    26850    IN    A    208.87.35.120 buy.internettraffic.com.    26850    IN    A    208.87.35.121 [Resolving DNS by bruteforcing] accounting.policia.com.    300    IN    A    208.87.35.108 billing.policia.com.    300    IN    A    208.87.35.108 directory.policia.com.    300    IN    A    208.87.35.108 email.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 exchange.policia.com.    300    IN    A    208.87.35.108 ftp.policia.com.    300    IN    A    208.87.35.108 gallery.policia.com.    300    IN    A    208.87.35.108 mail.policia.com.    300    IN    A    208.87.35.108 marketing.policia.com.    300    IN    A    208.87.35.108 public.policia.com.    300    IN    A    208.87.35.108 reserch.policia.com.    300    IN    A    208.87.35.108 smtp.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 www.policia.com.    300    IN    A    208.87.35.108 Como veis realiza varias comprobaciones, pero KodiakDNS no se queda aquí y sigue extrayendo mas información [Resolving Reverse DNS [PTR]] 176.74.176.0-255 4.176.74.176.in-addr.arpa. PTR 10ge.por-5ltp1a-xe3-1.peer1.net 18.176.74.176.in-addr.arpa. PTR ns02.networkeq.net 20.176.74.176.in-addr.arpa. PTR mx01.ltp.uk.networkeq.net 74.176.74.176.in-addr.arpa. PTR dnbsource.com 84.176.74.176.in-addr.arpa. PTR hietatoolbox.biz 85.176.74.176.in-addr.arpa. PTR mail.hieta.biz 88.176.74.176.in-addr.arpa. PTR mail.iguanaconsultancy.co.uk 90.176.74.176.in-addr.arpa. PTR rubble.heppell.net 91.176.74.176.in-addr.arpa. PTR mail.learningspaces.net 92.176.74.176.in-addr.arpa. PTR mail.inter-concept.co.uk 94.176.74.176.in-addr.arpa. PTR mail.yumauk.eu 169.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 170.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 210.176.74.176.in-addr.arpa. PTR gss-exploit-server.com 208.87.35.0-255 1.35.87.208.in-addr.arpa. PTR 208-87-35-1.securehost.com 2.35.87.208.in-addr.arpa. PTR 208-87-35-2.securehost.com 3.35.87.208.in-addr.arpa. PTR 208-87-35-3.securehost.com Como veis hace un recorrido completo, cuando acabe esta parte nos preguntará sobre si resolver los AS: Do you want to resolve AS Numbers [y/n] (y) ? y [Resolving AS Number] 217.116.0.0-255 Y cuando acabe de resolver los AS, preguntará si queremos comprobar los resultados en listas de revocación. Do you want to look for IPs in DNS-based block list information/database [y/n] (y) ? n Como veis, KodiakDNS nos permite tener toda la información relacionada con el DNS. muy útil para tener esta herramienta en nuestro...

Leer Más

DragonJAR TIP 01! – Sniffer Vmware Fusion

Inauguramos una “serie de artículos” en las que os traeremos un pequeño truco para que podáis practicar alguna disciplina en concreto. Estos TIPS podrán ser pequeños scripts o pequeñas funcionalidades que os podemos enseñar. El TIP de hoy se titula Sniffer VmwareFusion VmwareFusion es la aplicación de vmware para MAC. En sistemas windows y GNU/Linux lo tenemos bastante mas fácil para poder capturar tráfico desde fuera de la máquina virtual. Pero en MAC OS X no es tan sencillo, es por eso que podemos crear un script como el siguiente para capturar el tráfico. #Script para analizar el tráfico de vmware fusion echo "Se esta capturando el trafico de $1" sudo /Applications/VMware\ Fusion.app/Contents/Library/vmnet-sniffer -e -w ~/Desktop/vmnet.pcap $1 Con este pequeño script que tendremos que ejecutar desde el terminal, podremos capturar el tráfico de...

Leer Más

Explotando vulnerabilidad Java 0day y buscando soluciones

Un investigador publicaba hace días en su blog, la vulnerabilidad 0day que afectaba al último update de Java. Yo mismo escribí sobre ella en el blog de S21Sec. En el post de aquí vamos a ver como explotar la vulnerabilidad con Metasploit y como podemos llegar a defendernos de la vulnerabilidad si no podemos desactivar Java, aunque la recomendación es desactivarlo hasta que Oracle solucione el fallo. Explotando el fallo con Metasploit. Primero de todo, actualizamos y arrancamos Metasploit, luego buscamos el expoit de Java correspondiente. Para actualizar Metasploit lo hacemos con msfupdate y lo arrancamos con msfconsole Para ver que opciones hay que indicarle al exploit introducimos show options  Solo tendremos que indicarle IP y puerto, indicamos los datos y lanzamos el exploit: Cuando el usuario visite la web verá lo siguiente: En Metasploit obtendremos una sesión de Meterpreter: Con la sesión explotada podremos obtener información del equipo, volcar contraseñas… etc ¿Como podemos evitar la vulnerabilidad? El primer consejo es deshabilitar Java, en al documentación de Oracle tenemos la información de como hacerlo. Si por lo que sea no podemos o no queremos deshabilitarlo, podemos usar herramientas que eviten la explotación de la vulnerabilidad. Por ejemplo si navegamos con Firefox podemos usar No Script. Si usamos este addon para Firefox, cuando el atacante intente explotar la vulnerabilidad no le será posible. El usuario vería lo siguiente: El atacante no obtendrá sesión con Metasploit: Aplicar el parche antes que Oracle Ya que Oracle no ha sacado actualización que solucione el fallo ya existen posibilidades de aplicar nosotros mismos el parche de manera no oficial. Podemos consultar el detalle...

Leer Más

Consejos Simples de Seguridad para ir a la Campus Party

Se acerca la Campus Party Colombia, la fiesta de tecnología más grande de nuestro país y una de las más grandes del mundo, por este motivo desde La Comunidad DragonJAR queremos darte una serie de consejos simples, que cualquier persona pueda seguir, para que tú seguridad y la de tu equipo no se vea comprometida en esta fiesta. Estos consejos están divididos en 2 partes, la seguridad por software, te indica qué configuraciones o medidas debes tomar para mejorar la seguridad de tu equipo, en entornos como el de la campus party, y seguridad física, con consejos para evitar la perdida o robo de tus dispositivos. Seguridad por Software Realizar Copias de Seguridad Nuestra información es muy importante y no podemos darnos el lujo de perderla, por eso antes de salir hacia la campus party, es muy recomendable que realices un backup de toda la información sensible que tengas almacenada en tu computador por si sucede cualquier inconveniente con él, no perdamos información valiosa. Te recomiendo realizar 2 copias de seguridad, una para dejarla en la casa y otra que nos acompañe en la campus, para mas seguridad. Si tienes un PC de escritorio en casa puedes dejar un backup de tus archivos delicados en él para no gastar tanto en medios de almacenamientos externos. Actualizar el Sistema Las actualizaciones de seguridad de Windows solucionan vulnerabilidades del sistema, lo hacen más seguro y estable, por lo tanto son necesarias y descargarlas es recomendado, sobre todo si el PC está expuesta a una red con posibles equipos infectados (como lo es la campus party) que se aprovechen de alguna vulnerabilidad en el sistema. Microsoft generalmente libera los parches el segundo martes de cada mes y las descargas se encuentran disponibles en Windows Update y por el sistema automático de descargas de Windows. Si no deseas descargar las actualizaciones por Windows Update puedes hacerlo con Winup, un práctico pack que contiene todos los parches oficiales de Microsoft para Windows XP con instalador propio. Lo mismo va para usuarios con GNU/Linux, Mac OS X y otros Sistemas Operativos, realicen la actualización de su sistema operativo ya sea con el gestor de paquetes de su distribución GNU/Linux o con el Apple Software Update.   Instala y Actualiza tu Antivirus Tener instalado en nuestro sistema un software antivirus, debidamente actualizado, nos va a proteger de posibles amenazas de virus que encontraremos en la campus party, recordemos que aunque tú no estés infectado con algún malware, otras personas pueden estarlo y transmitirlos atreves de la red, si tu software antivirus integra además un herramienta de firewall es mucho mejor, yo recomiendo la suite ESET Smart...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES