SSLMap, comprueba la seguridad de tu SSL
Hace ya tiempo que se está revisando que tipos de SSL se soporta a nivel de servidor para que ataques del tipo re negociación no nos tire el servidor abajo. Para el servidor es muy costoso, en términos de consumo de recursos una negociación SSL, por tanto los servidores evitan el tener que volver a generar las claves y de esta forma utilizar estos recursos para otras funciones. Por eso herramientas como las de la gente de THC son tan peligrosas en un entorno de producción. Cuando realizas un escaneo con herramientas como sslscan que suel estar en los repositorios no sabes hasta que punto soportar un tipo de cifrado es recomendable tenerlo o no. La herramienta SSLMap nos ayudará a clasificar los distintos tipos de cifrado que se soportan por nivel de riesgo. Lanzamos la herramienta para ver los resultados. darkmac:ssl marc$ python sslmap-0.2.0.py --host informatica64.com _ | | version 0.2.0 ___ ___| |_ __ ___ __ _ _ __ / __/ __| | '_ ` _ \ / _` | '_ \ \__ \__ \ | | | | | | (_| | |_) | |___/___/_|_| |_| |_|\__,_| .__/ | | [email protected] |_| [*] Scanning informatica64.com:443 for 229 known cipher suites. [+] TLS_RSA_EXPORT1024_WITH_RC4_56_SHA (0x000064) [+] TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA (0x000062) [+] TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00000A) [+] TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x000006) [+] TLS_RSA_WITH_RC4_128_MD5 (0x000004) [+] TLS_RSA_WITH_RC4_128_SHA (0x000005) [+] TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x000003) [+] TLS_RSA_WITH_DES_CBC_SHA (0x000009) [+] SSL2_DES_64_CBC_WITH_MD5 (0x060040) [+] SSL2_RC2_CBC_128_CBC_WITH_MD5 (0x040080) [+] SSL2_RC4_128_WITH_MD5 (0x010080) [+] SSL2_RC2_CBC_128_CBC_WITH_MD5 (0x030080) [+] SSL2_DES_192_EDE3_CBC_WITH_MD5 (0x0700C0) [+] SSL2_RC4_128_EXPORT40_WITH_MD5 (0x020080) ==================== Scan Results ==================== The following cipher suites were rated as HIGH: TLS_RSA_WITH_3DES_EDE_CBC_SHA The following cipher suites were rated as MEDIUM: TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA The following cipher suites were rated as EXPORT: TLS_RSA_EXPORT1024_WITH_RC4_56_SHA TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 TLS_RSA_EXPORT_WITH_RC4_40_MD5 SSL2_RC4_128_EXPORT40_WITH_MD5 The following cipher suites were rated as LOW: TLS_RSA_WITH_DES_CBC_SHA SSL2_DES_64_CBC_WITH_MD5 SSL2_RC2_CBC_128_CBC_WITH_MD5 SSL2_RC4_128_WITH_MD5 SSL2_RC2_CBC_128_CBC_WITH_MD5 SSL2_DES_192_EDE3_CBC_WITH_MD5 Como veis la herramienta ha sido capaz de clasificar los tipos de cifrado soportados por los que se deberían de quitar para soportarlos. Si queremos probar todos los cifrados en plan fuerza bruta podemos indicar la opción –fuzz. Si nos preocupa el tema del SSL, podemos visitar una web de referencia https://www.ssllabs.com/ Podemos incluir SSLMap en nuestras auditorías de la parte...
Robo de un certificado a Opera
El robo de certificados está a la orden del día. han habido casos muy sonados como son los de Adobe o los de bit9. En estos casos incluso firmaron malware con los certificados, por lo que algunos antivirus al estar firmados no detectan la muestra como algo malicioso. Un ejemplo de malware firmado: El anuncio del incidente lo daba a conocer la propia empresa Opera, en un comunicado que podemos recoger de la web de Una al día. “Esto puede permitirle distribuir software malicioso que aparezca incorrectamente como publicado por Opera Software, o que parezca ser el navegador Opera“ Ya hay muestras en servicios como Virus Total que han sido firmados con el certificado robado. Un ejemplo lo podemos encontrar aquí => Virus Total El hecho de que hayan podido acceder y robar un certificado hace posible que hayan podido sacar una actualización maliciosa del software por ejemplo. Ahora que vuelve a golpearnos el tema de los certificados no puedo dejar de recomendar la herramienta SSLCop. Esta herramienta te permite bloquear aquellas CA de los países que queramos. El responsable de Opera estima que la ventana de exposición habría sido desde las 01:00 a las 01:36 (entre las 3:00 y la 1:36 hora española) horario UTC del día 19 de junio. La recomendación por parte de Opera es actualizar el navegador en cuanto saquen la nueva release que soluciona el tema del certificado. Estad atentos para la actualización. Otra opción es tener instalado en el sistema software como Secunia, que se encargará de descargar la actualización por...
SSLScan, comprueba la seguridad de tu SSL
Siempre se ha dicho que es más fácil ser atacante que no defensor. El que ataca normalmente buscará todos los vectores de entrada posible, cuando crea que ha encontrado uno lo atacará. El defensor en cambio solo le resta ir revisando sus niveles de seguridad para que no le ataquen. Una de las cosas que se han de revisar es el SSL, desde hace dos años atrás están saliendo ataques relacionados con el y no está de mas revisar el SSL de nuestros servidores en la DMZ y en los servidores internos. Una de las herramientas que nos pueden ayudar es sslscan. En distribuciones como Ubuntu lo podremos instalar haciendo apt-get install sslscan Una vez instalado, lo iniciamos y vemos las opciones disponibles. darkmac:~ marc$ sslscan _ ___ ___| |___ ___ __ _ _ __ / __/ __| / __|/ __/ _` | '_ \ \__ \__ \ \__ \ (_| (_| | | | | |___/___/_|___/\___\__,_|_| |_| Version 1.8.0 http://www.titania.co.uk Copyright Ian Ventura-Whiting 2009 SSLScan is a fast SSL port scanner. SSLScan connects to SSL ports and determines what ciphers are supported, which are the servers prefered ciphers, which SSL protocols are supported and returns the SSL certificate. Client certificates / private key can be configured and output is to text / XML. Command: sslscan [Options] [host:port | host] Options: --targets=<file> A file containing a list of hosts to check. Hosts can be supplied with ports (i.e. host:port). --no-failed List only accepted ciphers (default is to listing all ciphers). --ssl2 Only check SSLv2 ciphers. --ssl3 Only check SSLv3 ciphers. --tls1 Only check TLSv1 ciphers. --pk=<file> A file containing the private key or a PKCS#12 file containing a private key/certificate pair (as produced by MSIE and Netscape). --pkpass=<password> The password for the private key or PKCS#12 file. --certs=<file> A file containing PEM/ASN1 formatted client certificates. --starttls If a STARTTLS is required to kick an SMTP service into action. --http Test a HTTP connection. --bugs Enable SSL implementation bug work- arounds. --xml=<file> Output results to an XML file. --version Display the program version. --help Display the help text you are now reading. Example: sslscan 127.0.0.1</blockquote> Como veis nos permite afinar el tipo de escaneo, además podemos incluso exportar los resultados. Vamos a escanear una página cualquiera: <blockquote>darkmac:~ marc$ sslscan www.minhacienda.gov.co _ ___ ___| |___ ___ __ _ _ __ / __/ __| / __|/ __/ _` | '_ \ \__ \__ \ \__ \ (_| (_| | | | | |___/___/_|___/\___\__,_|_| |_| Version 1.8.0 http://www.titania.co.uk Copyright Ian Ventura-Whiting 2009 Testing SSL server www.minhacienda.gov.co on port 443 Supported Server Cipher(s): Rejected N/A SSLv2 168 bits DES-CBC3-MD5 Rejected N/A SSLv2 56 bits...
Twitter ahora permite conexiones seguras SIEMPRE
Hasta hace poco Twitter solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información; Los ingenieros de esta red social se dieron cuenta del problema y empezaron a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, algo que Facebook empezó a hacer unos meses atras. En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran una de las mejores alternativas que teníamos para asegurar nuestra conexión segura en las redes sociales. Después de mucha espera, por fin Twitter ha decidido implementar esta funcionalidad, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento. Como activar conexiones SSL en Twitter siempre? Ingresa con tu cuenta en Twitter Click en la esquina superior derecha Cuenta/Configuración de la cuenta. Dentro de la configuración de la cuenta buscamos Solo HTTPS, y activamos la casilla Usar siempre HTTPS Le das al botón Guardar, y listo. Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de...
Facebook ahora permite conexiones seguras SIEMPRE
Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo). En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario). Después de mucha espera, por fin Facebook ha decidido implementar esta funcionalidad también en los perfiles de cuentas en español, pero no viene activada por defecto, es por eso que les dejo el siguiente proceso para que asegures las conexiones a tu cuenta de Facebook en todo momento. Como activar conexiones SSL en Facebook siempre? Ingresa con tu cuenta en Facebook Click en la esquina superior derecha Cuenta/Configuración de la cuenta. Dentro de la configuración de la cuenta buscamos Seguridad en la cuenta, y activamos la casilla Navegación segura (https) Le das al botón Guardar, y listo. Con estos simples pasos podrás proteger tu cuenta y evitar que un usuario mal intencionado se haga con tus credenciales o espíe tu comportamiento dentro de...
Diplomado de Seguridad Informática Ofensiva
