La Comunidad DragonJAR

La nueva consola de Nintendo, Wii U es la primera consola de nueva generación que ha salido a la venta, personalmente no me considero fanático de los vídeo juegos (igual no me queda mucho tiempo para dedicarles), pero a veces cuando el día esta lluvioso, me encuentro indispuesto o enfermo como para tomar un libro o un teclado, suelo dedicarle unas cuantas horas a la consola que tenga en el momento.

Hace unos días me compre la Wii U (aprovechando que la encontré a buen precio en puerto rico, no había escusa para no comprarla), siempre me ha gustado Nintendo y aunque ahora reciba criticas por su catalogo “escaso” no se puede negar que cambiará la forma en que se jugará en los próximos años (al igual que Wii lo hizo en su momento) ya que Nintendo ha conseguido sacar una consola que cumple las expectativas de los gamers mas hardcore, como de los mas casuales como yo. Leer más…

En una investigación en la que tenemos que tratar tráfico de red, si no contamos con algunos tricks puede ser una tarea bastante tediosa.

Una de las primeras cosas que tendremos que saber es:

¿Qué queremos obtener?

Imaginad que estamos en un equipo anti-fraude y tenemos que mandar a cerrar al ISP aquellos dominios relacionados con phishing o malware. En este caso nos dará igual las peticiones GET o POST (aunque también son útiles), lo más rápido que buscaremos son las peticiones DNS, por ejemplo. En este caso no hará falta que revisemos el pcap entero, podríamos directamente extraer las peticiones DNS, si además lo podemos scriptar mucho mejor, por si hay que mirar mucha cantidad de paquetes.

¿Que herramientas nos pueden ayudar?

Bueno, en este caso mostraré la versión GUI de la herramienta y luego la versión consola, que es de lo que trata el artículo

Wireshark

Esta imagen nos debería de ser muy familiar, se trata de Wireshark, este programa nos sirve entre otras cosas para capturar el tráfico de red.

Si abrimos un pcap podemos ver gráficamente todo el flujo de datos, además podremos aplicar filtros para hacer las búsquedas que necesitemos.

Seleccionando el filtro adecuado podríamos obtener por pantalla el resultado del filtro en el pcap.

A mi me encantan las interfaces GUI, pero reconozco que es mucho más rápido y, además puedes procesar mas cantidad de información el poder usar alguna herramienta del tipo command line.

En este caso usaremos tshark, la versión de consola de Wireshark.

Se puede encontrar en los repositorios, para instalarlo solo hemos de hacer:

apt-get install tshark

Vamos a ver unos ejemplos para obtener cierta información de un pcap.

Extrayendo peticiones DNS

Para extraer peticiones DNS de un pcap tendríamos que lanzar tshark de la siguiente forma:

tshark -r PCAP -T fields -e ip.src -e dns.qry.name -R “dns.flags.response eq 0″

En este caso veríamos por pantalla:

Extrayendo User-agents

En una determinada investigación, puede ser útil extraer los user agents del pcap, la sentencia de tshark sería:

tshark -nn -r PCAP -T fields -e ip.src -e http.user_agent -R “http.user_agent”

Por pantalla podemos ver los resultados

Extrayendo peticiones MYSQL

Imaginad que en una investigación una base de datos forma parte de la investigación, también podemos extraer facilmente información del pcap

La sentencia de tshark sería:

tshark -r PCAP -d tcp.port==3306,mysql -T fields -e mysql.query

Por pantalla podemos ver los resultados de nuevo:

Peticiones GET:

Si queremos de manera rápida, extraer las peticiones GET, con tshark realizamos:

tshark -r PCAP -R “http.request.method==GET”

Por pantalla nos muestra:

Aunque hemos visto que podemos extraer información de un pcap, con tshark, podremos también capturar tráfico de red y pedir con filtros tráfico específico

Capturar peticiones HTTP:

La sentencia con tshark sería:

tshark ‘tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)’ -R ‘http.request.method == “GET” || http.request.method == “HEAD”‘

Y lo que veríamos en el output de tshark es:

190.302141 192.168.0.199 -> 74.125.77.104 HTTP GET / HTTP/1.1
190.331454 192.168.0.199 -> 74.125.77.104 HTTP GET /intl/en_com/images/srpr/logo1w.png HTTP/1.1

190.353211 192.168.0.199 -> 74.125.77.104 HTTP GET /images/srpr/nav_logo13.png HTTP/1.1190.400350 192.168.0.199 -> 74.125.77.100 HTTP GET /generate_204 HTTP/1.1

En este artículo hemos visto como podemos con tshark extraer información de un pcap, además de como podemos capturar tráfico aplicando un filtro específico.

No he podido encontrar un cheatsheet de tshark, ¿Te animas a compartir algún script con tshark?

Bueno primero que todo me presento, Soy Edward Osorio (@_mrpack) en algunos foros me conocen como Mr.Pack,  Co-Fundador de la Comunidad de Seguridad Informática  www.r00tc0d3rs.org   junto con Juan Diego (@c0lds0ft)  y  Jhon Serrato (@n4p573r), Estudiante de Ing. Sistemas – actualmente vivo en la ciudad de Santiago de Cali, me dedico en gran parte a la auditoría web, Estaré ayudando a crear contenido en cuanto se me sea posible para la comunidad  DragonJar, espero  poder cumplir las expectativas de todos los lectores, si tienen algún tipo de recomendación o critica por favor no dudar en hacerlo la idea es mejorar y crear contenido de calidad para todos los que estén interesados en él.

Uno de los problemas más comunes que tiene los dispositivos móviles de Apple, es que después de un tiempo considerable de uso el botón home empieza a fallar (especialmente si sueles utilizar mucho el modo DFU y realizar tareas poco comunes con él), existen muchas guías en la red que aseguran solucionar el problema, la mas popular de ellas es la de la calibración por software, pero en mi caso ninguna funcionaba, casi me habia acostumbrado ya al Assistive Touch pero hoy gracias a la recomendación de un amigo que tenia el mismo problema, he podido arreglar mi botón home fácilmente y quiero compartir el proceso con ustedes.

Leer más…

Acaba de finalizar diciembre, una fecha para estar mas cerca de los familiares y amigos, muchos tratamos de desconectarnos un poco de la vida online, pero cuando te apasiona la tecnología a veces es muy difícil desprenderte de ella, aunque ya no la uses para trabajar sino simplemente para divertirte o explicarle gráficamente a algún familiar curioso a que te dedicas…

No conocía la debilidad de mi portátil por la cerveza hasta el pasado diciembre, donde literalmente se tomó una botella entera de 330ml (menos mal no fue una cerveza chilena), cuando le conté a algunas personas sobre lo sucedido me animaron a escribir al respecto para que quede documentado el proceso por si a alguien más para por la misma situación y esa es la razón de este post. Leer más…

mega.co.nz es lanzado después de un año del cierre de www.megaupload.com, tal y como lo prometió su creador Kim dot Com el servicio de Mega (antes megaupload) ya esta disponible y ha tenido una gran aceptación en las personas, logrando en su primer día mas de un millón de usuarios registrados.

Las características de mega.co.nz son superiores a las del antiguo www.megaupload.com, con un alojamiento gratuito de hasta 50GB para los usuarios registrados (superior a cualquier otro servicio de su estilo), y planes iniciando en 9.99usd para 500GB de espacio.
Leer más…

Ha pasado mucho tiempo desde que recomendamos “las mejores 20++ películas hacker“, un post con muy buena acogida entre los visitantes y que gracias a sus aportes fue creciendo y lo sigue haciendo, ahora aprovechando que algunos todavía están en vacaciones y otros apenas las inician les dejo un buen listado de series que hablen sobre seguridad informática que seguramente disfrutaran.

Solo se tendrán en cuenta series pensadas para televisión o televisión vía Internet (en canales como Revision3), los Podcast y Video Podcast no serán tomados en cuenta ya que tienen su listado aparte, la serie debe tener componentes de seguridad informática, no solo de la cultura geek (ejemplo The Big Ban Theory tiene mucho contenido geek pero poco de seguridad informática) aunque su contenido técnico no sea muy alto. Leer más…

Saludos dragonautas, termina el año y nuestra comunidad a crecido en experiencias, proyectos, miembros y contenidos a compartir,  en esta epoca que estamos con nuestras familias y personas mas cercanas, alejados un poco (los que podemos permitírnoslo) de la red  a la cual le dedicaremos el otro 99%  del año nuevo.

Con este post pretendo hacer un resumen y mostrar algunas de las mejores entradas de nuestra comunidad puestos a disposicion de la comunidad a si que aqui va .

ENERO

• Entrevista a Andrés Ormaza sobre la ley 1273 y Habeas Data
• Entrevista a Jorge Uyá, Director de TBSecurity para LatinoAmerica
• ¿Cómo ser un Hacker?
• Consigue las fotos, trinos y vídeos publicados en un área específica
• Al que no quiere caldo… le dan SOPA
• Alternativas a www.megaupload.com
• Curso Gratis de Criptografía
• El perro se comió la tarea
• Instalando Metasploit en un iPhone, iPad o iPod Touch
• Curso Completo de Metasploit Framework
• Entrevista al equipo de la Rooted CON
• Man in The Middle, Ataque y Detección
• DUST – Distribuye tus feed a través de redes P2P

* febrero y marzo fueron casi que en su totalidad dedicados al ACK Security Conference, la primera edición de nuestro encuentro internacional de seguridad informatica *

FEBRERO

• Webinario sobre Amenazas Avanzadas Persistentes (APT)
• Capacitación gratuita para realizar el CEH de EC-Council
• ACK Security Conference
• Entrevista a Lorenzo Martínez de Security by Default
• Actualizar BackTrack 5 R1 a Backtrack 5 R2 sin reinstalar

MARZO

• BackTrack 5 R2
• Ejemplo Reporte de PenTest
• Resumen de la rueda de prensa ACK Security Conference
• Crónica primer día de Conferencias RootedCon 2012 (Dia 2) (Dia 3)
• Programa especial sobre Seguridad Informática en Versión Beta
• Buenas prácticas de seguridad en entornos corporativos

ABRIL

• Internet es Nuestro – NO a la Ley Lleras
• Como saltarse técnicamente la ley LLeras 2.0
• Mil gracias ponentes y participantes del ACK Security Conference
• El ACK Security Conference en Medios
• La seguridad de los Teclados virtuales
• Entrevista a Sergio de los Santos de Hispasec
• Así fue el ACK Security Conference 2012 – Día I (Día II) (Día III) (Día IV)

MAYO

• Webinario gratuito sobre Seguridad Informática, CEH y CyberSecurity
• La Piña Wifi o WiFi Pineapple Mark IV en Español
• WifiSlax 4.1
• Análisis de un malware de infección automática, caso @Hack_x_Crack – Parte I
• LNIntruder: Miniservidor de Intrusión de Redes Privadas Remotas
• Configurar GMail de forma segura

JUNIO

• Todas las charlas de Seguridad en la Campus Party Colombia 2012 en Video
• Análisis Forense de Dispositivos iOS
• Reto Forense Campus Party 2012
• Consejos Simples de Seguridad para ir a la Campus Party
• Ocultando la Piña WiFi en un viejo libro
• WiBOG – Wireless Bogotá

JULIO

• PWNedList servicio gratuito para revisar si tus datos han sido expuestos
• Hackeando el Sistema
• WAppEx suite para auditar aplicaciones web, de los creadores de Havij
• Descargar Mac OS X Mountain Lion Gratis
• Pautas de seguridad en WordPress
• 101 Libros de Seguridad Informática Gratis
• Entrevista a Raúl Siles co-fundador de Taddong

AGOSTO

• Así fué el 3er Encuentro de Delitos Informáticos
• Mundo Hacker TV
• HTExploit – Herramienta para saltar protección con archivos .htaccess
• Seguridad en Android
• winAUTOPWN – Ataques automáticos de entornos Windows
• PaulDotCom en Español – Podcast de Seguridad Informática en nuestro idioma
• Video Ministra de Juventud de Costa Rica Karina Bolaños y el Sexting

SEPTIEMBRE

• Katana – Múltiples Distribuciones de Seguridad en tu USB
• The Social-Engineer Toolkit
• Las Peores 500 Contraseñas de Todos los Tiempos
• Resetear un teléfono Samsung con solo visitar un enlace
• Instalar Mac en un PC – Mountain Lion
• Mensajes Oculto a la vista de Todos
• Deja tu mensaje, que otros te lo escucharán
• Nos ha pasado
• Cuevana.tv y su plugin espia
• Los aviones de los famosos no son tan privados
• DDoS Análisis de Ataques Coordinados
• Como transferir dominio de Godaddy
• Reputación Online
• Manual NO Oficial de la FOCA Forensic
• Airdrop en instalaciones Hackintosh

OCTUBRE

• DEFT (Digital Evidence & Forensic Toolkit)
• Enumeración de Usuarios en WordPress (Fingerprinting) – Presentando wp_users.sh
• DragonJAR TV Episodio 2
• Nessus 5.0.2 y sus novedades
• Video Tutorial SET (Social Engineering Toolkit)
• CAINE – Distribución Live CD para Análisis Forense
• !11 años y los que faltan¡
• Manual en PDF de Creación de Exploits en Español
• BackTrack 5 R3 personalizado para La Comunidad DragonJAR

NOVIEMBRE

• DragonJAR TV Episodio 3
• Defacement como herramienta de publicidad a nivel gubernamental
• La cadena se rompe siempre por el eslabón más débil
• Cracking con OllyDbg
• Asi fué la 8.8 Security Conference 2012
• Nuestros Retos Forenses
• Metasploitable 2 – Guía en Video
• ACK Security Conference 2013 – CFP Abierto!!

DICIEMBRE

• Entrevista exclusiva con el Captain Crunch para La Comunidad DragonJAR
• Asi fué el INFOTEK 2012
• DragonJAR TV Episodio 4
• Programación en Java Orientada a la Seguridad Informática – Episodio 1
• Programación en Java Orientada a la Seguridad Informática – Episodio 2
• ¡Feliz Navidad, Prospero y Seguro 2013!
• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Crypt4you – Aprende criptografía y seguridad informática de otra forma y GRATIS
• Curso de Asterisk

Les dejo entonces un buen listado de contenidos de calidad, para que se entretengan estas vacaciones… Que lo disfruten…

PD. FELIZ AÑO NUEVO, LES DESEA LA COMUNIDAD DRAGONJAR