Mejora los sistemas de seguridad informática en tu empresa
Cualquier persona que se juntase con un grupo más o menos amplio de gente y preguntase cuantos de ellos tienen interés en mejorar los sistemas de seguridad informática de sus empresas, es altamente probable que viera un bosque de manos levantadas…pero seguramente si a continuación les preguntara que cuántos de ellos tienen claro en cómo invertir sus presupuestos para alcanzar este objetivo podría ver el terror en sus ojos. La realidad es que no es sencillo priorizar tales proyectos, incluso en muchas ocasiones alguno puede llegar a plantearse (en silencio, eso sí) “¿Qué son los sistemas de seguridad informática? ¿Yo tengo de eso?” Pues la verdad es que sí. Todos tenemos de eso. Algunos más avanzados y otros menos pero cualquier empresa dispone de tecnologías y procedimientos que forman parte de los distintos tipos de sistemas. ¿Qué son los sistemas de seguridad informática? En este tipo de industria existen un montón de sistemas de seguridad informática, y adaptados especialmente a cada escenario, por eso es imprescindible conocer cuál es el nuestro antes de que hagamos pito pito gorgorito y nos pongamos un NAC “porque me han dicho que esto protege mogollón”. Para ello debemos comprender previamente nuestras necesidades antes de ponernos a arrojar billetes alegremente al aire. Es mucho más productivo plantear una reunión con especialistas que nos ayudarán a separar estos proyectos y a priorizarlos, que implantar un sistema de última generación sin confirmar con antelación que este va a cumplir los objetivos que nos hemos marcado. Por ello y para actuar como guía de forma generalista, os voy a proporcionar una lista de distintos tipos de sistemas de seguridad informática y posibles beneficios que pueden aportar a vuestra empresa. Es una lista de carácter general, no significa que un sistema sea mejor que otro, ni que teniendo todos tendréis el máximo beneficio, sino más bien quiero que tengáis claro el abanico de opciones y que es necesario analizar el escenario para implantar una, otra o todas esas medidas. Tipos de sistemas de seguridad informática: Medidas de control de acceso: Las podemos dividir en dos puntos diferentes. Autenticación y autorización. Para la autenticación podemos usar numerosas maneras para verificar que somos quienes decimos ser, y es competencia nuestra decidir cuál es la que más encaja en nuestra operativa diaria. Contraseñas, autenticación de doble factor (2FA), autenticación multifactor (MFA), biometría, tarjetas inteligentes… Respecto a la autorización es de suma importancia decidir, una vez verificada nuestra identidad, a qué recursos deben acceder esas identidades. No sería la primera vez que se obtienen accesos no autorizados por una mala política de permisos. Listas de control de acceso (ACL), accesos basados en roles (RBAC) control de acceso basado en atributos (ABAC) son varias de nuestras opciones. Firewalls: Los firewalls o cortafuegos restringen el tráfico no autorizado mediante una serie de reglas basadas en una estricta parametrización realizada por un especialista. Los tenemos de hardware, de software, e incluso de aplicaciones web (WAF). Detección y prevención de intrusiones (IDS/IPS): Los firewalls son estupendos, pero no son muy listos, básicamente son como los droides de starwars, si la regla está definida, genial, si no, irá regla por regla hasta que llegue a la última. Pensar, lo que se dice pensar, no lo hacen mucho. De ahí la importancia de los sistemas de detección y prevención de intrusiones. Dichos sistemas se encargan de analizar comportamientos extraños, como cuando nuestro perro pasea sospechosamente cerca del bocadillo de bacon. Algunos de ellos se basan en red (NIDS), en host (HIDS) o incluso reactivos (IPS). Antimalware: Todos sabemos que la del malware no es una batalla justa, los ciberdelincuentes “facturan” millones de euros y los reinvierten en programar nuevo malware que les reporte beneficios constantes en un ciclo periódico de programación-distribución-infección-recolección económica-vuelta a empezar. Sin un buen software que haga de barrera, vamos a tener muy complicado el evitar este tipo de ataques. Estos constan de varios módulos, que pueden incluir antispyware, anti-ransomware, anti-rootkits, detección de comportamiento… UTMs en el sistema de seguridad informática: Una mención aparte a los UTM, los cuales suelen englobar las tres últimas secciones siempre y cuando se incluyan en el presupuesto ciertos módulos adicionales. Estos módulos pueden activarse mediante licenciamiento y puede incluir antimalware, IDS, firewall de aplicación, etc…siempre por un módico precio por supuesto. Quizás se pueda pensar que estos módulos son innecesarios pero la experiencia dice que la integración de estos directamente en el propio firewall de la compañía aumenta exponencialmente la seguridad. Sistemas de gestión de parches La gestión de las vulnerabilidades puede convertirse en un infierno en infraestructuras amplias. Son muchas máquinas y no solo hay que prestar atención a los parches de sistema operativo si no también al software de terceros y el firmware de nuestro material de red. Es un trabajo que, si lo hace una persona, es de dedicación exclusiva. Para evitar dilapidar todo nuestro tiempo en parchear constantemente existen los sistemas de gestión de parches. Software especializado que despliega de forma automatizado estas actualizaciones, incluidos los temidos parches de terceros. Gestión de eventos y registros Estos sistemas permiten aglutinar todos los logs existentes en nuestra infraestructura y en función de su complejidad podemos establecer correlación para establecer alertas y reacción ante incidentes en tiempo real. Los sistemas responsables de esto suelen denominarse SIEM y el equipo especializado que los opera para coordinar las operaciones necesarias en caso de incidente es denominado SOC. Tomar la decisión de anexionar estos sistemas a nuestra compañía es una de las mejores decisiones que podemos tomar, ya que nuestra seguridad aumentará muchísimo, permitiéndonos tener visibilidad de cualquier anomalía presente en nuestra empresa. Auditorías de seguridad Este tipo de procesos nos permiten desde un análisis pormenorizado de los sistemas seguridad informática de la compañía (análisis de vulnerabilidades) hasta la simulación de un atacante que nos permita encontrar estos agujeros de seguridad y ver cuál hubiera sido su posible impacto (test de intrusión) pasando por ejercicios que ponen a prueba a nuestros especialistas y procesos de seguridad internos para verificar su efectividad
¿Cómo mejorar la ciberseguridad en las empresas?
Año tras año vemos publicadas noticias acerca de cómo mejorar la ciberseguridad, donde gigantes de la industria caen como fichas de dominó ante hordas de ciberdelincuentes, hackers de sombrero negro, hacktivistas y distintos asaltos cibernéticos de todo tipo de sabores. Como los helados, ya sean de vainilla o chocolate, no son gratis e igualmente cuestan dinero a todas las empresas, pequeñas o grandes. Muchos se preguntarán que cómo es posible que empresas de tal envergadura carezcan de sistemas eficaces de seguridad. El hecho es que los tienen, y bastante buenos…pero la realidad es que todo esto es como intentar que un solo muro detenga absolutamente todos y cada uno de los intentos de ser traspasado, es una perspectiva impracticable. Lo único que podemos hacer, es intentar que ese muro sea lo más alto posible para detener al mayor número de personas con aviesas intenciones que pulule en sus inmediaciones. La ecuación más simplificada del riesgo lo cuantifica en probabilidad X impacto. Siempre es bueno estar preparado para lo peor, y para ello existen los planes de continuidad de negocio, disaster recovery y todas esas metodologías maravillosas que ayudan a que nosotros y nuestros empleados no acabemos calentándonos las manos en un bidón ardiendo bajo un puente. Esto es lo que comúnmente se conoce como mitigación del impacto. Innumerables empresas hacen uso de ello y destinan ingentes recursos económicos a su aplicación. Sin embargo, muchísimas menos destinan la misma cantidad de recursos a la mitigación de la probabilidad. Si cubrimos bien esta última, unido a mantener un buen disaster recovery, podemos tener cubierto un porcentaje muy grande del riesgo asociado a nuestra infraestructura. ¿Qué tipo de procesos podemos abordar para mitigar la probabilidad? Hay varios, pero hoy concretamente hablaremos del uso de la auditoría y el pentesting para mejorar la seguridad. Puede tener un nombre muy abstracto, pero realmente es algo sencillo: comportarnos como atacantes para verificar que nuestros sistemas de seguridad (el muro) están cumpliendo de la forma que esperábamos. Los planes que sobre el papel parecían magníficos (como usar fibra de carbono y titanio en un sumergible experimental mientras rechazamos todo tipo de pruebas de seguridad de la industria) pueden acabar convirtiéndose en terribles realidades. Un pentesting o test de intrusión si castellanizamos la expresión, es una batería de técnicas y metodologías más propias de los hackers (lleven el sombrero que lleven) que de cualquier otra profesión. Los especialistas que las realizan deben conocerlas de igual manera que un cerrajero sabe abrir las cerraduras que los revientacajas operan con el objetivo de desvalijar nuestras propiedades. Sin embargo, y ahí radica la diferencia, es que dicho especialista actúa siempre con permiso del cliente y con una serie de precauciones que garantizan que ningún servicio pueda verse interrumpido por sus actividades. Única y exclusivamente hace uso de estas técnicas para comprobar que la seguridad del cliente es la adecuada. Normalmente encontrará puntos de mejora y vulnerabilidades que plasmará en un informe, utilizando la empresa este para mitigar todo aquello que el auditor haya encontrado como peligroso y mejorar así la ciberseguridad. Es normal que la primera vez se descubran muchos fallos si nunca hemos realizado un test de intrusión. Nunca hay que agobiarse por ello y les pasa absolutamente a todos. El consultor se encargará de recomendar la prioridad con la que debe abordarse cada proyecto para que el cliente tenga claro por donde debe empezar cuando decida ponerse manos a la obra. Global Technology se adapta a las necesidades de cada negocio para mejorar la ciberseguridad Global Technology siempre tiene en cuenta la infraestructura actual del cliente y sus sistemas en producción para maximizar la seguridad aplicada al núcleo duro de su metodología empresarial para mejorar la ciberseguridad. El test de intrusión es un proceso que deberíamos incorporar a nuestras compañías siempre que podamos, nos mostrará la foto que necesitamos para ver el estado real de nuestra ciberseguridad. Por supuesto, una vez iniciado este proceso y subsanadas las vulnerabilidades más garrafales a lo largo de varios ciclos, nuestro estado de madurez habrá subido tanto que podremos abordar otro tipo de ejercicios más avanzados, tales como la inclusión de un Blue Team (un equipo especializado en la detección y respuesta a incidentes de seguridad) y Red Team (el grupo que se encarga de simular ataques y camuflarlos para que el anterior pruebe sus técnicas) hasta acabar con un Purple Team, el cual es completamente hibrido y fusiona los dos anteriores en una amalgama de especialistas formados tanto en ataque como en defensa. La ciberseguridad es un ciclo y como tal, es de vital importancia que se repita para permitirnos evolucionar a un estado que nos mantenga seguros en el pandemónium de ciberataques del abismo de internet. Defended el muro. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology
Hackear con tecnología
En mi último artículo, hablaba de las bondades del hacking sin tecnología, donde explotábamos las debilidades intrínsecas del ser humano mediante ingeniería social. Todo esto es muy bonito y seguro que más de un psicólogo tendría algo que aportar a mis palabras…pero hoy voy a irme al lado opuesto: el uso de la tecnología. No voy a centrarme en ninguna categoría concreta, pero si voy a hacer una especie de menú de degustación para que podáis tener una visión general y seáis vosotros mismos los que decidáis en cual queréis invertir. Normalmente cuando hablamos de esto solemos ceñirnos a un contexto de software y nos quedamos ahí, pero lo que veo que habitualmente no se menciona es la tremenda cantidad de hardware físico que existe para facilitarnos el arte de la intrusión. Suele ser el gran olvidado, y por este motivo creo que un artículo que aporte algo de información puede ser útil a todas las personas que estén interesadas en esta disciplina. Obviamente cada dispositivo es útil en un contexto y aunque suele ser de consenso común el conocimiento de en cual aplicamos cada cacharrito os aseguro que hay gente con una capacidad increíble de encontrar utilidades nuevas continuamente. Dispositivos inyectores de teclado Hay muchos a este respecto actualmente, pero de los primeros en salir al mercado, por no decir el primero, fue Rubberducky de Hak5. Este dispositivo con el aspecto de un simple pendrive permite inyectar comandos simulando un teclado conectado al equipo. ¿Qué significa esto? Significa que si consigues enchufarlo a un puerto USB de la víctima podrás escribir a velocidad de vértigo toda una serie de comandos, scripts o lo que se os ocurra que pueda hacerse con un teclado convencional. Podría pareceros poco, pero imaginad un escenario donde lo llevamos en un bolsillo y en el momento en el que alguien se levanta para ir al baño aprovechamos para conectarlo. Solo necesitamos 1 segundo para abrir una consola de comandos e insertar un usuario administrador en el sistema, incluirlo en el grupo de administradores de escritorio remoto y permitir todas las conexiones en el cortafuegos de Windows. Y quien dice esto dice filtrar hashes ntlmv2, abrir una shell inversa mediante powershell, invocar mimikatz…y un inmenso etcétera de funcionalidades, solo limitadas por vuestra imaginación o capacidades de scripting. Y la guinda del pastel es que a todos los efectos es un teclado. Ningún endpoint va a enfadarse por un teclado ¿verdad? Por muy quisquilloso que sea el antivirus de turno para el solo es una persona escribiendo, no un diabólico software (salvo que nos invoquemos mimikatz desde internet, claro). Originalmente cuando buscábamos un efecto de este calibre teníamos que limitarnos a Rubberducky, pero actualmente han aparecido muchas marcas blancas mediante la denominación Badusb o HID Injector que podéis encontrar en plataformas como Aliexpress o Amazon. Básicamente son clones de Rubberducky con hardware libre y con algunas mejoras. ¿Cuáles son estas mejoras? Si bien antes teníamos que conectar el dispositivo y de inmediato lanzaba su secuencia única de teclado previamente programada, ahora disponemos de algunos que incluyen wifi y nos permiten conectarnos desde una aplicación del móvil para activarlo a voluntad, con espacio de almacenamiento incluido para poder seleccionar el efecto que más nos convenga. Eso abre la posibilidad de simplemente esperar sentado cómodamente a que la persona se despiste y ejecutar el pandemónium en su equipo en el momento adecuado. Keyloggers de hardware Todos conocemos los de software, un programita malvado que instalamos cuando tengamos acceso al equipo en cuestión que registra las pulsaciones de teclado para robar contraseñas, conversaciones privadas y esas cosas que los que amamos la privacidad no nos hace gracia que nos roben. Este tipo de dispositivos hacen la misma labor, pero mediante hardware, donde los molestos antivirus no pueden buscarnos las cosquillas. Los más conocidos son los de Airdrive que únicamente tenemos que poner entre el puerto USB y el teclado como si un extensor se tratase y él ya se encargará de registrar todas las pulsaciones a las cuales podremos acceder cómodamente desde su punto de acceso wifi. Evidentemente debemos esperar un descuido de la persona para poder colocarlo en su lugar y con equipos portátiles no nos sirve de mucho salvo que tengan un teclado conectado, pero en estaciones de trabajo es maravilloso para obtener passwords cuando todo el mundo vuelve de la hora de comer. Drones de intrusión ¿Qué ocurre cuando queremos robar un handshake de una red inalámbrica y en la empresa han hecho bien su trabajo y han reducido el rango de cobertura únicamente al interior de su perímetro? Pues que o lloramos en un rincón o usamos un dron. Si amigos, actualmente hay distribuciones para Kali que funcionan en una raspberry pi mediante ARM y en algún momento alguien pensó “¿un momento…y si ato una a un dron?”. De eso tratan este tipo de proyectos. Pilotas el dron hasta el tejado del edificio, donde tengamos cobertura de la red inalámbrica y desde ahí hacemos todas las maldades que nos plazca. Discreto y eficaz. Es habitual usar el kernel de Re4son para proporcionar una forma fácil de acceder a ciertas funcionalidades clave a través de una pantalla táctil situada en el dispositivo volador. Y muchos chismes más El abanico es inmenso, dispositivos de clonado NFC, falsos cables de carga con un badusb incluido, pendrives que fríen los componentes electrónicos solo con conectarlos, interceptadores tipo Man in the Middle de hardware, jammers wifi como apoyo para nuestros ataques…existe de todo lo que os podáis imaginar, y cada vez habrá más, porque la tecnología evoluciona constantemente y su abaratamiento nos permite integrarla en casi cualquier cosa. Así que, cuando ese misterioso comercial de una empresa que nunca habéis oído hablar os regale un ratón con su logo quizás deberíais plantearos si conectarlo es la mejor opción. Yo he llegado a incluir sorpresas hasta en un calentador de tazas USB ¿queréis café calentito? Tened cuidado ahí fuera. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y
Hackear sin tecnología: ingeniería social
Eso es. Habéis leído bien. Sin tecnología. Nada. Cero. Imagino que ahora estáis pensando que bromeo, que lo último y lo más elite es hacer uso de un Log4j para obtener un RCE y tomar el control de la máquina, o mejor aún, aprovechar un zero day, desarrollar nuestro propio exploit y seguir hasta que los desarrolladores nos pillen. Pero no. Las vulnerabilidades en el software se parchean, pero las del ser humano…ay amigos, esas permanecen inalterables por los siglos de los siglos. En efecto, hoy hablaremos de ingeniería social. Como dijo Tony Dientes de Bala en Snatch “nunca subestimes lo predecible que puede ser la estupidez”, y tenía mucha razón pese a que posteriormente en el metraje el no tuviera en cuenta su propio axioma y las cosas acabaran terriblemente mal para su sesera. En realidad, lo triste, es que no hace falta ser estúpido para caer en las trampas de ingeniería social. Jugando con el miedo El primer grupo de ataques suelen basarse en el miedo de las personas. La gente somos miedosos por naturaleza, y ante una situación de urgencia presentada por un personaje investido de cierta autoridad (jefes, policía…) tendemos a ser mansos cuan corderitos y nos comportamos tal y como suponemos que esa persona va a reaccionar mejor. Uno de los ejemplos más maravillosos de este grupo es la estafa del CEO: Un ciberdelincuente llama a uno de los empleados del departamento financiero de la empresa, preferiblemente ese que ves en Linkedin jovencito y con cara asustada de recién llegado al océano del mundo laboral. Con un tono imperativo y agresivo, insta al empleado a hacerle una transferencia URGENTE a cierta cuenta debido a ciertos problemas surgidos en uno de sus viajes de índole ejecutiva para negociar la compra de un edificio, compañía, nave espacial…Cosas importantes, ya saben. No conviene calentar al CEO– piensa nuestro pececito recién llegado- Además, suena muy seguro de sí mismo. Si nuestro pezqueñin osa poner algún tipo de pega, como querer confirmar la transferencia con el director financiero, o cualquier otra, despertará de inmediato la ira de nuestro estafador. Parece que se esta rifando un despido y nuestro amigo empieza a comprar papeletas. Si empezaba a plantearse alguna objeción, rápidamente se disipa. – A sus órdenes, oh, mi señor. Nuestro pececito acaba de descubrir que en el océano hay tiburones…pero aún no lo sabe, claro, lo averiguará cuando su jefe le pregunte donde han ido a parar esos 150.000 euros que acaba de transferir. Otro excelente ejemplo de este tipo de ataques es lo que a mi me gusta llamar las ONGs de soporte técnico: ¿De qué va esto? Pues es fácil. El ciberdelincuente llama a un usuario vulgaris, aquel que usa el ordenador para trabajar de vez en cuando pero su experiencia no es especialmente amplia. Alguien al que le da miedo romper las cosas. Vuestro tío Juan, o mi padre, por ejemplo. Rápidamente le informa de que es el servicio técnico de Microsoft, y que ha detectado que su ip está haciendo cosas malas y remalas, que seguramente tenga uno de esos virus informáticos que causan estragos y que hay que detenerlo o el mundo arderá en llamas…o lo que es peor, van a llover las denuncias. Mi padre es un tipo cabal, pero esas cosas de los ordenadores como que no, que los carga el diablo, que ya lo vió en “La rebelión de las maquinas” y no quiere que esto se convierta en una masacre, así que se presta a colaborar con el señor Soporte de Microsoft para arreglar el entuerto. -Esto es muy fácil, señor-dice el estafador– solo necesita instalar este pequeño programita para poder darle soporte remoto y yo me encargo de fumigar su equipo con un puñado grande de antivirus para que no se le infecte la impresora. Después de una descarga, unos clicks aquí y allá, el equipo y las cuentas de mi padre ya están en manos del ciberdelincuente. Adiós a mi herencia. Avaricia Muchas veces no es el miedo lo que nos hace movernos, si no la avaricia. Todos somos muy buenos, pero cuando alguien nos pone dinero fácil ante nuestras narices tendemos a querer cogerlo…materialista que es uno. En este tipo de cosas se basan los mails típicos de estafa a la nigeriana, que no siempre vienen de Nigeria, pero son como la tortilla francesa, que ellos llaman simplemente “tortilla”. Estos mails esconden un largo discurso explicando la grata noticia de que el señor Mongonga Mhamba acaba de fallecer dejando la cantidad de 635342 millones de dólares en el banco y oh fatalidad, no hay nadie para reclamarlos, de forma que el fondo monetario internacional ha decidido bloquear los fondos a perpetuidad por no poder darles a nadie. Si es que estas cosas pasan, y el mundo esta lleno de millones bloqueados que nadie puede gastarse. Afortunadamente te han encontrado a ti, querido lector, que debido a tus apellidos tan comunes puedes actuar como pantalla ante el fondo monetario internacional y recibir esos millones para poder desbloquearlos. Una vez hecho esto, saldrán de tu cuenta, pero te dejarán una jugosa comisión de unos cuantos milloncejos como propinilla. No está mal por responder un mail. Ay, pero funesto destino, en mitad de esa transacción algo se tuerce y es necesario pagar unas comisiones por la transferencia. Nada muy alto. 1000 o 2000 euros. Rápidamente te contactan para que puedas solucionar esta fruslería. Una vez hecho, el dinero alcanza el destino que siempre tendría que haber tenido: los bolsillos del estafador. Baja tecnología Finalmente mencionaremos esas soluciones que yo denomino baja tecnología, porque, aunque se hacen mediante esta, forman más parte de la ingeniería social que de lo que tiene luces y botones. Estas se basan en el despiste y en el arte del trilero. Consiste en enviar masivamente mails con todo tipo de engaños, desde el clásico “Hotmail va a cerrar, haz click aquí para activar tu cuenta” al más moderno “Su cuenta de Netflix ha tenido un problema
El password cracking no es pasar un diccionario (2ª parte)
En capítulos anteriores… En el artículo anterior, exploramos las venturas y desventuras habituales al empezar en el mundo del password cracking, así como los posibles dolores de cabeza resultantes de una mala metodología que pueden desembocar en un irrefrenable deseo de tirarnos llorosos a las ruedas de un coche. Para evitar todo ello desarrollamos una serie de conceptos básicos que siempre deben tenerse en cuenta a la hora de abordar esta disciplina. Por recapitular de forma rápida, actualmente deberíamos siempre tomarnos un tiempo antes de empezar, para evaluar el tipo de hash, la política y el contexto. Esta triada, detallada en el texto previo nos permitirá calcular la viabilidad de un ataque concreto antes siquiera de empezar. A partir de aquí, podemos comenzar el laborioso trabajo de la extracción de patrones, los cuales también se mencionaron anteriormente. Hoy trabajaremos algo más en profundidad en este tema. Descubrimiento de patrones El descubrimiento de patrones es toda una ciencia y necesitamos de una serie de ingredientes imprescindibles para aumentar nuestra tasa de éxito. Muchos patrones podemos deducirlos simplemente pensando, como aquellos que se mencionaron en el articulo anterior, pero otros sencillamente no se nos van a ocurrir. ¿De que forma podemos dar con un patrón desconocido? Únicamente conociendo la palabra patronizada. ¿Y cómo podemos descubrir esta sin conocer su patrón? Ah, ahí habéis dado con la clave de esto: es un maravilloso bucle infinito, como la escalera de Penrose. Yo suelo llamarlo el bucle de password cracking. El objeto de este articulo es aprender a romperlo. Primera llave: Fuerza bruta Decía Asimov que la violencia es el ultimo recurso del incompetente, pero seguro que el no contaba con una RTX 3080 Ti con 10240 nucleos CUDA listos para machacar a esos entrometidos hashes que se empeñan en seguir intactos. Si compañeros, la paralelización es nuestra amiga en la fuerza bruta, especialmente con longitudes de 1 a 7 caracteres. Debo señalar que la relevancia aquí no es crackear unos cuantos hashes más que se nos resisten, si no encontrar aquellos patrones que los gobiernan. Un hash es para hoy, pero un patrón es para siempre. Esto se realiza en hashcat con este simple comando: hashcat -a 3 -m [TIPO DE HASH] -w 3 -p : -O –hwmon-disable –outfile-format=2 -i –increment-min=1 –increment-max=7 -1 ?d?l?u?s [ARCHIVO DE HASHES] ?1?1?1?1?1?1?1 De esta manera, en escasos minutos calcularemos todas las permutaciones hasta 7 caracteres de mayúsculas, minúsculas, dígitos y símbolos. Si alguien tiene patrones de esta longitud, serán nuestros…y recordad que podremos extrapolarlos a longitudes mayores una vez obtenidos. Segunda llave: Diccionario con reglas aleatorias Hashcat nos permite aplicar reglas a los diccionarios que utilicemos. ¿Qué es una regla? Es una forma de modificar la palabra original aplicandole un patrón predeterminado. Por ejemplo, poner la primera letra en mayúscula y agregarle una admiración al final. Esto es maravilloso cuando conocemos los patrones, pero inútil si son desconocidos. No obstante, también posee una opción completamente apropiada en este escenario: la generación aleatoria. Yo uso esta opción para que el propio azar genere patrones que yo he podido pasar por alto, una vez obtenidas estas passwords podemos incorporar lo averiguado a nuestro conocimiento de patrones y utilizarlo para extrapolar otras passwords aun sin descubrir. hashcat -a 0 -m 1000 -w 2 –force -p : –hwmon-disable –outfile-format=2 -g 1000000 [ARCHIVO DE HASHES] [ARCHIVO DE DICCIONARIO] Este método puede ser aún más potente si hacemos uso de otra opción poco conocida, el debug-mode. Esto nos permite comprobar que reglas han sido exitosas y guardarlas en un archivo para su posterior análisis. Todas estas reglas se redirigen haciendo uso de la siguiente sintaxis. –debug-mode=1 –debug-file=[ARCHIVO DONDE GUARDAR LAS REGLAS] De esta manera, con el tiempo suficiente, podremos diseñar un conjunto de reglas de forma totalmente automatizada basada en nuestros descubrimientos. Conclusiones Como hemos visto, para romper el bucle del password cracking tenemos que encontrar maneras de obtener aquellos patrones que rigen las contraseñas que aun no hemos conseguido. Esto podemos intentar hacerlo simplemente pensando patrones no descubiertos, pero no es la más eficiente, y por eso hemos mencionado dos claves que nos pueden aportar una valiosa ayuda en estos escenarios. En las próximas entregas veremos como convertir esos patrones obtenidos en valiosos archivos de reglas que podremos utilizar en conjunción a nuestros diccionarios para aumentar su efectividad. Hasta entonces, paciencia. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology
El password cracking no es pasar un diccionario
Introducción Muchos pentesters cuando se menciona el password cracking hacen una mueca de desagrado como si estuviéramos hablando de un trabajo ingrato, tipo embadurnarse el cuerpo con filetes de ternera y tirarse al mar para hacer de cebo para tiburones. El porque de esta reticencia nunca lo he tenido muy claro, he recibido diversas explicaciones al fenómeno, desde el clásico “no le veo muchas posibilidades” al innovador “si ya tienes los hashes, es que ya tienes acceso”. En mi opinión, el password cracking es una disciplina que bien aplicada, puede ayudarnos en contextos donde de ninguna otra forma obtendríamos un acceso. Las interpretaciones anteriores son puntos de vista que normalmente no recogen la enorme variedad de escenarios donde el cracking de contraseñas es un arma verdaderamente útil. El objetivo de este articulo es mostrar una visión general de los distintos contextos donde puede ser utilizado con éxito y sentar unas bases para comenzar a mejorar las técnicas aplicadas. Normalmente la gente que tiene unas expectativas tan bajas es debido principalmente a que sus éxitos con la disciplina son pobres o nulos, de ahí la importancia de saber distinguir cada escenario para poder aplicar la metodología apropiada. Pasos previos Para entrar en materia, separaremos los distintos escenarios y los requisitos necesarios para que estos sean aplicables. Para ello comenzaremos matizando lo que en mi opinión es la parte más relevante del password cracking: el tiempo. Aunque la relatividad general diga que el tiempo es relativo, no hay nada menos relativo que el tiempo de proceso de un diccionario y un conjunto de reglas para un hash cuyo algoritmo tenga un tiempo de computación extremadamente lento. Esto puede implicar que las horas necesarias se multipliquen exponencialmente varias ordenes de magnitud hasta convertirse en algo totalmente impracticable. La forma más sencilla de entender el tiempo es conocer las métricas de ese hash, las cuales pueden obtenerse con un comando muy sencillo de hashcat: hashcat -b Esto procesará todos los tipos de hashes que la herramienta puede computar, dándonos los valores individualmente. Como podéis ver en mi captura de ejemplo, no es lo mismo procesar NTLM (39016.3 MH/s) que WPA-EAPOL (369.7 kh/s) ya que hay tanta diferencia entre ellos que el ataque aplicado a uno, forzosamente no puede servirnos para el otro. Esto es algo que normalmente no veo mencionado cuando alguien habla de la materia, y su relevancia es absoluta. ¿Qué conclusión debemos sacar de esto? Que en función del escenario y el hash obtenido, deben aplicarse unas técnicas u otras. Es algo sencillo de comprender, un diccionario que tarde en pasarse 1 hora en NTLM tardará 41 días en WPA-EAPOL aproximadamente, todo esto en condiciones ideales. Una vez entendido esto, aquellos que hayáis tenido escaso éxito en el password cracking, podréis empezar a vislumbrar donde esta parte del problema. Otro concepto que debe entenderse previamente es la política y el contexto del entorno de cada hash. No son el mismo tipo de passwords las que se usan para acceder a un servicio online (para lo cual es necesario un ataque online, perdiendo todas las ventajas posibles del uso de paralelización de GPU y siendo este el más lento) que las que alguien pone en el inicio de Windows, aquellas con las que cifra un documento Excel o la que pone en la red inalámbrica de su casa. Son contextos distintos y deben tratarse de distinta manera. Usar los mismos ataques solo nos hará perder el tiempo. Pondré varios ejemplos reales de passwords obtenidas en distintos contextos: Tipo Password Inicio de Windows (NTLM) Carlos1974! Wifi (WPA) Familiagomezpiso3b Excel (Office 2013) contrasena Debo remarcar que estas passwords no son inventadas, están extraídas del mundo real y ejemplifican correctamente aquello de lo que os hablo: los contextos de entorno. En una empresa con una infraestructura basada en un dominio, normalmente las reglas que imperan suelen ser: cambio de password regular cada 90-180 dias, recordatorio de las ultimas passwords utilizadas para evitar su repetición y cierta complejidad. No obstante, el usuario medio de una empresa tiene una imaginación limitada, y la rotación continua no le ayuda en absoluto, ya que a nadie le gusta tener que memorizar algo complejo cada vez que toca cambiarla. El hastio juega a favor del password cracker, ya que implica PATRONES. Tarde o temprano, un gran porcentaje de los usuarios forzados a cambiarse la password con regularidad desarrollan un patrón. A todo el mundo le gusta sentirse especial y creer que somos como copos de nieve únicos e inimitables, pero la realidad es que somos todos muy similares a la hora de desarrollar maneras de crear passwords viables. Como ejemplos os citaré varios de los patrones que yo me he encontrado: (Mes)(año) (Ej: Marzo2020): En lugares con requisitos mas laxos es posible poner este tipo de passwords sin problema. El usuario suele elegir el mes y el año en el que le obligaron a hacer la rotación de contraseña (lo que suele provocar que a veces se encuentren varias contraseñas iguales) y también se encuentra alguna permutación de este patrón como (Estaciondelaño)(año) estilo Primavera2021. (Nombrepropio)(año)(símbolo) (Ej: Maribel2012%): Un patrón que cumple la mayoría de requisitos de complejidad de contraseña en un dominio Microsoft. Suelen rotar el nombre entre el suyo, pareja e hijos y cuando finalizan la rotación ya ha cambiado el año. Aparentemente es una buena password: tiene mayúsculas, minúsculas, símbolos y números, así como 12 caracteres…pero que cumpla los requisitos de complejidad no significa que criptográficamente hablando sea segura. Lo primero que se hace en criptoanálisis es buscar patrones, en nuestro caso analizar el mensaje cifrado no nos proporciona información al ser un algoritmo de un único sentido pero si podemos hacer ataques de diccionario basados en reglas para obtener todas las posibles permutaciones de ese patrón en concreto y tendremos éxito en aquellos usuarios que lo utilicen. (Ciudad)(año)(símbolo) (Ej: Sansebastian1994.): Similar al anterior, muchos optan por ciudades o incluso países pero básicamente el patrón es el mismo. (palabraenleetspeak) (Ej: r3n7@b1l1d@d): Parece más complejo pero no lo
BlueKeep desencadenado
Cuando en 2017 apareció EternalBlue no penséis que cundió el pánico y que la gente empezó a correr hacía sus refugios subterráneos a prepararse para The Walking Dead. Eso vino luego. Recordemos que la vulnerabilidad, que afectaba al protocolo SMB, había sido parcheada el 14 de marzo ya por Microsoft y el exploit de la NSA fue filtrado por Shadow Brokers el 14 de abril. Es cierto que debido al protocolo, salvo casos de inconsciencia absoluta su explotación desde la parte externa de la red, no era posible, así que pasó como siempre, que el mundo siguió girando y nadie le prestó atención. Nadie excepto presuntamente un norcoreano llamado Park Jin Hyok, el cual se puso las pantuflas de programar malware y se sacó de la chistera el infame Wannacry, el cual siempre era ejecutado en la parte INTERNA de la red, ya que usaba técnicas de infección como si fuera un troyano (venía de regalo con otros archivos) y de dispersión como gusano (usaba EternalBlue para propagarse por la red de la victima). Y entonces la gente SI empezó a correr. Miles y miles de sistemas afectados, perdidas millonarias, grandes e importantes empresas completamente paradas…y eso solo fue la punta del iceberg. Al principio la explotación tenía su complejidad, que al fin y al cabo lo habían robado a la NSA junto a su framework de exploting y esa gente no son muy amigos de repartir documentación. Después el exploit se hizo mainstream y fue incorporado a metasploit, donde cualquiera en un día de lluvia puede ponerse a ejecutarlo sin muchos problemas. Gracias a ello, cualquiera que se encuentre una maquina vulnerable (y aun ahora, siguen existiendo…) puede tomar el control en menos tiempo de lo que cuesta explicarle a mi madre como mover las fotos de las vacaciones de una carpeta a otra. Aceleremos un poco el tiempo. En mayo del año pasado se reporta BlueKeep, una vulnerabilidad igual de crítica que EternalBlue pero que afecta al protocolo RDP. ¿Qué significa esto? Significa que es una situación como Wannacry pero PEOR. En la situación anterior estaba afectado el protocolo que utilizamos (entre otras cosas) para compartir archivos a través de la red local y acceder a dispositivos, pero ahora estamos hablando del protocolo de acceso remoto por excelencia en todos los sistemas Microsoft. Todas las maquinas importantes lo tienen activado para poder ser gestionadas desde cualquier lugar…y lo que es peor, mucha gente publica estos servicios hacia el exterior de una forma totalmente indiscriminada. Hay miles de pequeñas y medianas empresas que mantienen estos servicios publicados alegremente hacia el exterior para facilitar sus tareas de mantenimiento en los servidores críticos, y a diferencia de lo ocurrido en el 2017, aquí no ha habido ningún malware famoso con gran repercusión mediática…por lo tanto mucha gente ni siquiera se ha asustado lo suficiente como para parchear. Estas empresas, ajenas al peligro que corren, probablemente ya hayan sido atacadas sin que se den cuenta, ya que a diferencia de EternalBlue, BlueKeep esta siendo usada para implantar backdoors, servicios de minado de criptomonedas o para labores de espionaje. Muchos investigadores de ciberseguridad y varias empresas del sector ya han advertido de esto. Por si fuera poco, a finales del año pasado surgió un exploit funcional, y fue incorporado a metasploit. El exploit aún es una prueba de concepto, y sus requisitos para hacerlo funcionar es conocer ciertas posiciones de memoria en la maquina victima que son distintas en función de la versión del sistema operativo y si ejecuta hardware físico o virtualizado…si no lo que ocurre es que provocamos una de esas fantásticas pantallas azules de Windows, básicamente, se convierte en una herramienta de denegación de servicio. Es el problema de no usar correctamente el exploit. ¿Y que creéis que empezó a pasar en cuanto se publicó? Que miles de maquinas con el RDP expuesto empezaron a caer masivamente como fichas de dominó. La gente ya había empezado a hacer pruebas. Y con eso llegamos a la fecha actual. Año 2020, del COVID-19, donde millones de empresas se han visto obligadas a reorganizar sus metodologías de trabajo debido a un virus nada informático…donde han publicado sistemas de gestión remota como RDP exponiéndolos directamente a ese abismo de internet… y como ya bien sabía Nietzsche cuando miras el abismo, este te devuelve la mirada… Ese momento llegará pronto, en cuanto los exploits disponibles dejen de ser meras pruebas de concepto y se conviertan en algo mainstream. Todo el mundo debería estar preparado para ello. En un futuro no muy lejano, veremos BlueKeep desencadenado. Pedro Benito DuránConsultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology
Ataques SMB Relay
Hay veces que hay ataques que parecen magia. El SMB Relay es uno de esos. Cuando lo ves bien ejecutado, y no sabes que esta pasando por el cacumen de la maquina lo primero que piensas es… ¿Cómo es posible? Y es que parece un conjuro sacado de algún grimorio polvoriento…un par de comandos en un par de consolas et voila, estamos dentro, como dicen esos hackers de las películas que teclean muy rápido contraseñas como si no tuvieran software que lo haga por ellos, pobrecillos. Como ya habréis podido deducir, no es un ataque complejo, al menos su realización. Lo que ya requiere darle más a la cabeza es entender que ocurre, el porque esa misteriosa letanía obra tal grato milagro en forma de acceso instantáneo. Para ello, tenemos que inevitablemente hablar, de protocolos. Una épica historia en SMB Relay No os voy a soltar el típico rollo para definir los protocolos implicados, quien quiera algo oficial, puede irse a Wikipedia que esta mucho mejor explicado, pero si voy a contaros que ocurre cuando queremos acceder a un recurso compartido que esta en un equipo que no es el nuestro. Lo primero que necesita nuestra máquina, es saber como se llega a ese recurso, del cual solo tiene el nombre, y para darle un aire más místico a todo el asunto les daremos unos nombres acorde a las circunstancias. Dramatis personaje: FRODO: Nuestra máquina. GANDALF: El servidor de ficheros. SAM: El servidor DNS. GOLLUM: El hacker. Al principio todo es paz y amor en la Comarca. FRODO no suele saber por donde anda GANDALF, ya que siempre esta en alguna loma fumando esa hierba que suelen llevar los magos en uno de sus múltiples bolsillos, y para ello le pregunta a SAM, en forma de petición DNS, que siempre sabe donde esta todo el mundo porque es el jardinero del pueblo. SAM le responde a su amigo FRODO y le indica que este anda por 192.168.0.58. De esta forma cuando FRODO quiere pedirle el anillo único a GANDALF, ya sabe donde ir para solicitarle tan temible joya. Ahora FRODO ya puede enviarle un mensaje a GANDALF para decirle que quiere el anillo único para “una movida de un volcán”. Hasta aquí, todo estupendo. ¿Pero que pasa cuando SAM no esta? Aquí la cosa se complica. Hay muchos motivos por los cuales esto puede ocurrir. Puede ser que aunque SAM es un tipo muy bien informado, nunca haya escrito en su lista donde esta GANDALF. Si el DNS no tiene en su registro la ip asociada a cierto nombre de domino…no podrá resolverla. También existe la posibilidad de que alguien este distrayendo a propósito a SAM para que no le de tiempo a contestar a las preguntas de FRODO, o poniendo música a todo trapo al lado de su casa para que este sea incapaz de escuchar sus preguntas. Denegar el servicio de DNS, ya sea mediante inundación de trafico, o simplemente con un ataque de arp spoofing para que este sea incapaz de contestar, son medidas que alguien con malas intenciones podría realizar. Finalmente es posible que FRODO entre toda la emoción de ir a pedirle el anillo unico a GANDALF lo llame PANDALF equivocándose en el nombre, y todos sabemos que GANDALF es un mago muy quisquilloso, y si te equivocas en su nombre no te hace ningún caso. Cuando alguien solicita acceso a un recurso compartido cuyo nombre esta equivocado y no existe, nadie consigue resolver esa entrada. Entonces repito. ¿Qué ocurre si SAM no esta? La respuesta esta muy clara, a FRODO no le queda otro remedio que ponerse a gritar por todo el pueblo a ver si alguien le contesta. Esto implica que en ausencia de DNS, pasamos al protocolo LLMNR, que es un protocolo de resolución de broadcast. Es a partir de aquí cuando entra en juego GOLLUM. En cuanto escucha a FRODO gritar por todos los lados buscando a GANDALF, el pega un grito y responde poniendo voz grave: -¡Aquí estoy estimado compañero! ¿Qué quieresssss? Y FRODO responde: -Please, dame el anillo único. Y GOLLUM en simultaneo le dice a GANDALF: -Hooola GANDALF, soy FRODO, dame el tesssoro…quiero decir, el anillo único. Y GANDALF le responde: -Si eres FRODO, dime la contraseña que acordamos y usa la palabra “pepinillos” para cifrarla en el lenguaje elfico. Obteniendo de esta forma el “challenge” necesario para la comunicación. Entonces con la palabra “pepinillos” en su poder, GOLLUM le dice a FRODO: -Claaro…amigo. ¿Cuál es la contraseña que acordamos? Cifrala en elfico con la palabra “pepinillos”. -Claro, aquí tienes, mi contraseña cifrada en elfico es: “[pepinillos]FrodoBolson!”. Y en este momento, es cuando se obra la magia…el avido GOLLUM le dice a GANDALF: -Sssssi, mi contrasssseña essss “[pepinillos]FrodoBolson!” . Con la contraseña cifrada con el challenge adecuado, ya podemos acceder al recurso. Si el usuario tiene privilegios de administrador sobre la máquina, también podrá ejecutar comandos remotamente, los cuales usamos para abrir una shell de sistema. Y ya lo tenemos. GOLLUM con el anillo único. El proceso Como veis, hay un gran trasiego de dimes y diretes, de engaño y suplantación. Y la clave más importante, es que el que solicita un recurso no pueda resolverlo, para que de esta forma, respondiendo a sus paquetes LLMNR de broadcast, nosotros podamos obtener su hash NTLMv2 cifrado con el challenge de la maquina a la que queremos acceder. Esto puede ocurrir de las formas que hemos citado, ya sea denegando el servicio al DNS, equivocándose el usuario al escribir (os sorprendería la cantidad de veces que esto ocurre) o simplemente teniendo mapeada alguna unidad de red antigua que ahora no esta online. El proceso para realizar este ataque es mucho menos místico que toda la magia que ocurre por debajo. Para ello haremos uso de las maravillosas herramientas de Laurent Gaffie, las cuales vienen de serie en Kali. Lo primero que deberemos hacer, será editar /usr/share/responder/Responder.conf para asegurarnos que la parte que muestro en la imagen siguiente, esta de