Reto: Darknet (@q3rv0), nivel medio/alto #CTF #Web + Premio: Libro Computación forense 2ed

Este CTF puede resultar muy muy muy complicado para los jugadores (por lo menos así nos lo advierte su desarrollador – Q3rv0), pero asegura unos buenos días de entretenimiento y aprendizaje. Donde será necesario un alto grado de creatividad precedida por una correcta metodología para este tipo de desafíos.

El objetivo como en muchos otros CTF que he publicado, será obtener el contenido del famoso key.txt ubicado en la raíz del súper usuario root (/root/flag.txt).

Para poner en marcha el entorno virtual sólo basta con descargar y abrir la máquina (Darknet.vbox – virtualbox), pues la máquina ya está configurada para recibir una dirección IP mediante DHCP (tendremos que identificar el nuevo host conectado en nuestro segmento de red).

Una vez iniciada la máquina nos encontraremos con la siguiente pantalla:

Desde ahí todo queda listo para comenzar a jugar

El solucionario ganador será el mejor elaborado de los recibidos. Esto puede implicar aspectos como la solución más creativa, diferentes vulnerabilidades en el mismo sistema, capturas de pantalla, video, desarrollo de un exploit(???) y por supuesto todo esto de una manera amena y dirigida especialmente a personas que NO tienen conocimientos avanzados en estos temas y desean aprender por medio de la práctica.

Como incentivo adicional, la Corporación ElHackLab, obsequia un magnífico libro (en su segunda edición): Computación Forense de Jeimy Cano.

El reto comienza desde el  20-05-2015 hasta 31-05-2015.

Lo clasifico en un nivel medio/alto. Por lo tanto son bienvenidas todas las personas que recién están comenzando y las que llevan ya su tiempo :)

Pueden enviarme los solucionarios a 4v4t4r (AT) gmail (DOT) com

Descargar Darket by Q3rv0

1875810592f2f5354486fbfeacba3a6c darknet_q3rv0.rar – md5

¿Puedo ser Perito Informático Forense en un proceso judicial?

Varias veces me consultan sobre los requisitos, experiencia y certificaciones o acreditaciones necesarias para ejercer actividades como Perito Informático en procesos judiciales en los que se requiere la experticia relacionada a la informática forense. Es por ello que comparto a continuación algunos de los artículos claves del Código de Procedimiento Penal (Colombia) que responden muy claramente estas inquietudes.

Prueba Pericial

Artículo 405. Procedencia. La prueba pericial es procedente cuando sea necesario efectuar valoraciones que requieran conocimientos científicos, técnicos, artísticos o especializados. Al perito le serán aplicables, en lo que corresponda, las reglas del testimonio.
Artículo 406. Prestación del servicio de peritos. El servicio de peritos se prestará por los expertos de la policía judicial, del Instituto Nacional de Medicina Legal y Ciencias Forenses, entidades públicas o privadas, y particulares especializados en la materia de que se trate. Las investigaciones o los análisis se realizarán por el perito o los peritos, según el caso. El informe será firmado por quienes hubieren intervenido en la parte que les corresponda. Todos los peritos deberán rendir su dictamen bajo la gravedad del juramento.
Artículo 407. Número de peritos. A menos que se trate de prueba impertinente, irrelevante o superflua, el juez no podrá limitar el número de testigos expertos o peritos que sean llamados a declarar en la audiencia pública por las partes.
Artículo 408. Quiénes pueden ser peritos. Podrán ser peritos, los siguientes:

  • 1. Las personas con título legalmente reconocido en la respectiva ciencia, técnica o arte.
  • 2. En circunstancias diferentes, podrán ser nombradas las personas de reconocido entendimiento en la respectiva ciencia, técnica, arte, oficio o afición aunque se carezca de título.

A los efectos de la cualificación podrán utilizarse todos los medios de prueba admisibles, incluido el propio testimonio del declarante que se presenta como perito.
Artículo 409. Quiénes no pueden ser nombrados. No pueden ser nombrados, en ningún caso:

  • 1. Los menores de dieciocho (18) años, los interdictos y los enfermos mentales.
  • 2. Quienes hayan sido suspendidos en el ejercicio de la respectiva ciencia, técnica o arte, mientras dure la suspensión.
  • 3. Los que hayan sido condenados por algún delito, a menos que se encuentren rehabilitados.

Artículo 410. Obligatoriedad del cargo de perito. El nombramiento de perito, tratándose de servidor público, es de forzosa aceptación y ejercicio. Para el particular solo lo será ante falta absoluta de aquellos. El nombrado sólo podrá excusarse por enfermedad que lo imposibilite para ejercerlo, por carencia de medios adecuados para cumplir el encargo, o por grave perjuicio a sus intereses. El perito que injustificadamente, se negare a cumplir con su deber será sancionado con multa de diez (10) a cien (100) salarios mínimos legales mensuales vigentes, equivalente en moneda legal colombiana.
Artículo 411. Impedimentos y recusaciones. Respecto de los peritos serán aplicables las mismas causales de impedimento y recusación señaladas para el juez. El perito cuyo impedimento o recusación haya sido aceptada, será excluido por el juez, en la audiencia preparatoria o, excepcionalmente, en la audiencia del juicio oral y público.

Artículo 412. Comparecencia de los peritos a la audiencia. Las partes solicitarán al juez que haga comparecer a los peritos al juicio oral y público, para ser interrogados y contrainterrogados en relación con los informes periciales que hubiesen rendido, o para que los rindan en la audiencia.

Artículo 413. Presentación de informes. Las partes podrán presentar informes de peritos de su confianza y solicitar que estos sean citados a interrogatorio en el juicio oral y público, acompañando certificación que acredite la idoneidad del perito.
Artículo 414. Admisibilidad del informe y citación del perito. Si el juez admite el informe presentado por la parte, en la audiencia preparatoria del juicio oral y público, inmediatamente ordenará citar al perito o peritos que lo suscriben, para que concurran a la audiencia con el fin de ser interrogados y contrainterrogados.
Artículo 415. Base de la opinión pericial. Toda declaración de perito deberá estar precedida de un informe resumido en donde se exprese la base de la opinión pedida por la parte que propuso la práctica de la prueba. Dicho informe deberá ser puesto en conocimiento de las demás partes al menos con cinco (5) días de anticipación a la celebración de la audiencia pública en donde se recepcionará la peritación, sin perjuicio de lo establecido en este código sobre el descubrimiento de la prueba. En ningún caso, el informe de que trata este artículo será admisible como evidencia, si el perito no declara oralmente en el juicio.
Artículo 416. Acceso a los elementos materiales. Los peritos, tanto los que hayan rendido informe, como los que sólo serán interrogados y contrainterrogados en la audiencia del juicio oral y público, tendrán acceso a los elementos materiales probatorios y evidencia física a que se refiere el informe pericial o a los que se hará referencia en el interrogatorio.
Artículo 417. Instrucciones para interrogar al perito. El perito deberá ser interrogado en relación con los siguientes aspectos:

  • 1. Sobre los antecedentes que acrediten su conocimiento teórico sobre la ciencia, técnica o arte en que es experto.
  • 2. Sobre los antecedentes que acrediten su conocimiento en el uso de instrumentos o medios en los cuales es experto.
  • 3. Sobre los antecedentes que acrediten su conocimiento práctico en la ciencia, técnica, arte, oficio o afición aplicables.
  • 4. Sobre los principios científicos, técnicos o artísticos en los que fundamenta sus verificaciones o análisis y grado de aceptación.
  • 5. Sobre los métodos empleados en las investigaciones y análisis relativos al caso.
  • 6. Sobre si en sus exámenes o verificaciones utilizó técnicas de orientación, de probabilidad o de certeza.
  • 7. La corroboración o ratificación de la opinión pericial por otros expertos que declaran también en el mismo juicio, y
  • 8. Sobre temas similares a los anteriores.

El perito responderá de forma clara y precisa las preguntas que le formulen las partes. El perito tiene, en todo caso, derecho de consultar documentos, notas escritas y publicaciones con la finalidad de fundamentar y aclarar su respuesta.
Artículo 418. Instrucciones para contrainterrogar al perito. El contrainterrogatorio del perito se cumplirá observando las siguientes instrucciones:

  • 1. La finalidad del contrainterrogatorio es refutar, en todo o en parte, lo que el perito ha informado.
  • 2. En el contrainterrogatorio se podrá utilizar cualquier argumento sustentado en principios, técnicas, métodos o recursos acreditados en divulgaciones técnico-científicas calificadas, referentes a la materia de controversia.

Artículo 419. Perito impedido para concurrir. Si el perito estuviera físicamente impedido para concurrir a la audiencia pública donde se practicará la prueba, de no hallarse disponible el sistema de audiovideo u otro sistema de reproducción a distancia, esta se cumplirá en el lugar en que se encuentre, en presencia del juez y de las partes que habrán de interrogarlo.
Artículo 420. Apreciación de la prueba pericial. Para apreciar la prueba pericial, en el juicio oral y público, se tendrá en cuenta la idoneidad técnico científica y moral del perito, la claridad y exactitud de sus respuestas, su comportamiento al responder, el grado de aceptación de los principios científicos, técnicos o artísticos en que se apoya el perito, los instrumentos utilizados y la consistencia del conjunto de respuestas.
Artículo 421. Limitación a las opiniones del perito sobre insanidad mental. Las declaraciones de los peritos no podrán referirse a la inimputabilidad del acusado. En consecuencia, no se admitirán preguntas para establecer si, a su juicio, el acusado es imputable o inimputable.
Artículo 422. Admisibilidad de publicaciones científicas y de prueba novel. Para que una opinión pericial referida a aspectos noveles del conocimiento sea admisible en el juicio, se exigirá como requisito que la base científica o técnica satisfaga al menos uno de los siguientes criterios:

  • 1. Que la teoría o técnica subyacente haya sido o pueda llegar a ser verificada.
  • 2. Que la teoría o técnica subyacente haya sido publicada y haya recibido la crítica de la comunidad académica.
  • 3. Que se haya acreditado el nivel de confiabilidad de la técnica científica utilizada en la base de la opinión pericial.
  • 4. Que goce de aceptabilidad en la comunidad académica.

Artículo 423. Presentación de la evidencia demostrativa. Será admisible la presentación de evidencias demostrativas siempre que resulten pertinentes y relevantes para el esclarecimiento de los hechos o para ilustrar el testimonio del experto.

(Y)

Reto: Persistence: 1 (@superkojiman), nivel medio/alto #CTF #Web + Premio: Libro Sistemas SCADA

“The fact of continuing in an opinion or course of action in spite of difficulty or opposition”

“La Energía y la persistencia conquistan todas las cosas.” (Benjamin Franklin)… Esta es una de las frases “motivacionales” que acompañan el readme de este “frustrante” (en un inicio) CTF propuesto por @superkojiman.

El objetivo como en muchos otros CTF que he publicado, será obtener el contenido del famoso key.txt ubicado en la raíz del súper usuario root (/root/flag.txt).

Este CTF puede resultar un poco complicado para las personas “poco persistentes”, pero asegura unos buenos días (en mi caso) de entretenimiento y aprendizaje. Donde será necesario un alto grado de creatividad precedida por una correcta metodología para este tipo de desafíos.

Para poner en marcha el entorno virtual sólo basta con importar la imagen del disco (*.ova) con el software de virtualización que utilicemos (VMWare fusion/player/workstation & VirtualBox), pues la máquina ya está configurada para recibir una dirección IP mediante DHCP (tendremos que identificar el nuevo host conectado en nuestro segmento de red).

Una vez iniciada la máquina nos encontraremos con la siguiente pantalla:

Desde ahí todo queda listo para comenzar a jugar 😉

Como incentivo adicional, la Corporación ElHackLab, obsequia un magnífico libro sobre diferentes aspectos relacionados con Sistemas SCADA (mismo nombre del libro). Entre ellos: Guía de diseño, Normativa, Principios de seguridad y una Guía práctica de Vijeo Citect (Software para control y monitoreo).

El solucionario ganador será el mejor elaborado de los recibidos. Esto puede implicar aspectos como la solución más creativa, diferentes vulnerabilidades en el mismo sistema, capturas de pantalla, desarrollo de un exploit(???) y por supuesto todo esto de una manera amena y dirigida especialmente a personas que NO tienen conocimientos avanzados en estos temas y desean aprender por medio de la práctica.

El reto comienza desde el  23-09-2014 hasta 04-10-2014.

Lo clasifico en un nivel medio/alto. Por lo tanto son bienvenidas todas las personas que recién están comenzando y las que llevan ya su tiempo :)

Pueden enviarme los solucionarios a 4v4t4r (AT) gmail (DOT) com

Descargar Persistence 1

e0d075e552cfd556ca527e6eca50f8cfec8bc536 ctf_key.txt.rar – sha1

Solucionario del Reto: Reto: SecOS-1 (@PaulWebSec), nivel medio + Premio: Libro Hacking y seguridad en internet #CTF #Web por @itsecurityco

Solucionario propuesto por @itsecurityco al reto SecOS-1 (@PaulWebSec), nivel básico #CTF #Web, quien se convierte en el ganador del desafío #CTF #Web. Asimismo se convierte en el ganador del libro Hacking y seguridad en internet.

Como siempre animar y recordar a los recién iniciados y expertos a participar de estos desafíos, pues no hay mejor manera de aprender que enseñando…

Aprovecho además para agradecer la excelente participación de @dantemc y @Q3rv0 quienes elaboraron unos magníficos solucionarios… Fue muy difícil seleccionar al ganador, por ese motivo también los publico y aliento a que participen en los siguientes que también vienen con premio :)

Solucionario propuesto por @itsecurityco (Ganador)

Solucionario propuesto por @Q3rv0

Solucionario propuesto por @dantemc

Reto: SecOS-1 (@PaulWebSec), nivel medio #CTF #Web + Premio: Libro Hacking y seguridad en internet

 

 

SecOS-1 es un nuevo reto (que promete ser consecutivo, así que deben ir guardando las banderas para futuras publicaciones) de seguridad en aplicaciones web, que espero además de ser solucionado en este desafío, también sea utilizado como material académico de laboratorios y reuniones de los diferentes HackLabs. Paul A. (PaulSec) nos comenta que la idea del reto nació cuando desarrollaba algunas herramientas de seguridad. Específicamente CSRFT, que precisamente presentó hace poco en Bsides London. (hint???).

El reto consiste en una aplicación Web vulnerable. En la cual reside el “famoso” archivo /root/flag.txt Obviamente nuestro objetivo será el de acceder a éste :D. Aunque la máquina está desarrollada para ser ejecutada en Vbox siempre prefiero utilizar VMWare (preferencia personal) Así que está garantizado que funcione en ambas soluciones de virtualización. Tan solo abrir la máquina con VBox (en mi caso crear nueva máquina con características avanzadas para seleccionar el archivo SecOS-1.vmdk y al final decidí convertir a formato moderno). La máquina ya funciona perfecto con DHCP así que de manera automática recibirá una dirección IP. Utilicé el modo NAT y funcionó perfectamente. Tan solo basta realizar un scan ping en el segmento en que se tenga la configuración NAT y desde allí podremos identificar la nueva máquina en la red.

Gracias a la Corporación El HackLab premiaré al mejor solucionario con el libro Hacking y seguridad en internet de García-Morán, Antonio Ramos, entre otros.

Premio: Libro Hacking y seguridad en internet

El solucionario ganador será el mejor elaborado de los recibidos. Esto puede implicar aspectos como la solución más creativa, diferentes vulnerabilidades en el mismo sistema, capturas de pantalla, desarrollo de un exploit(???) y por supuesto todo esto de una manera amena y dirigida especialmente a personas que NO tienen conocimientos avanzados en estos temas y desean aprender por medio de la práctica.

El reto comienza desde el  23-05-2014 hasta 01-06-2014.

Lo clasifico en un nivel medio. Por lo tanto son bienvenidas todas las personas que recién están comenzando y las que llevan ya su tiempo :)

Pueden enviarme los solucionarios a 4v4t4r (AT) gmail (DOT) com

Descargar SecOS-1

MD5 (SecOS-1.tar.gz) = e8c01ab49b98926a37f79e2ea414cfc5

Solucionario del Reto: Kioptrix 2014, nivel básico #CTF #Web por @Killr00t

Solucionario propuesto por @Killr00t al reto Kioptrix 2014, nivel básico #CTF #Web, quien se convierte en el ganador del desafío #CTF #Web. Asimismo se convierte en el ganador del libro Ethical Hacking – Un enfoque metodológico para profesionales de @holesec

Como siempre animar y recordar a los recién iniciados y expertos a participar de estos desafíos, pues no hay mejor manera de aprender que enseñando…

Aprovecho además para agradecer la excelente participación de los profesionales @nyerkym y kagure zama quienes elaboraron unos magníficos solucionarios… Fue muy difícil seleccionar al ganador, por ese motivo también los publico y aliento a que participen en los siguientes que también vienen con premio :)

Solucionario propuesto por @KillR00t (Ganador)

Archivos: backdoor.pl + poc.pl

Solucionario propuesto por @nyerkym

Solucionario propuesto por kagure zama

Reto: Kioptrix 2014, nivel básico #CTF #Web + Premio: Ethical Hacking – Un enfoque metodológico para profesionales de @holesec

Kioptrix es un “viejo conocido” en Sec-Track, también ha sido fuente de recursos en diferentes desafíos y laboratorios realizados desde El HackLab. Asimismo ha sido referenciado en múltiples libros dedicados a las pruebas de intrusión. Que por demás está decir que estos son bastante actuales y reconocidos en el sector. Pues bien, luego de 2 años de “ausencia” Steven McElrea  nos comparte un nuevo desafío con el estilo característico de los entornos Kioptrix.

El reto consiste en una aplicación Web vulnerable. En mi caso monté la máquina virtual (VMWare) en la solución workstation. Y según recomendación del propio desarrollador del reto eliminé y adicioné nuevamente la tarjeta de red. En mi caso en modo NAT funcionó perfectamente. Tan solo basta realizar un scan ping en el segmento en que se tenga la configuración NAT y desde allí podremos identificar la nueva máquina en la red.

Gracias a la Corporación El HackLab premiaré al mejor solucionario con el libro Ethical Hacking – Un enfoque metodológico para profesionales de @holesec. (Magnífico libro del cual aun debo un resumen 😉 )

El solucionario ganador será el mejor elaborado de los recibidos. Esto puede implicar aspectos como la solución más creativa, diferentes vulnerabilidades en el mismo sistema, capturas de pantalla, desarrollo de un exploit y por supuesto todo esto de una manera amena y dirigida especialmente a personas que NO tienen conocimientos avanzados en estos temas y desean aprender por medio de la práctica.

El reto comienza desde 11-04-2014 hasta 20-04-2014.

El reto realmente no es complejo… Lo clasifico en un nivel básico. Por lo tanto son bienvenidas todas las personas que recién están comenzando y las que llevan ya su tiempo :)

Pueden enviarme los solucionarios a 4v4t4r (AT) gmail (DOT) com

Descargar Kioptrix 2014 

Link directo

Archivo Oficial

MD5 (kiop2014.tar.bz2) = 1f802308f7f9f52a7a0d973fbda22c0a
SHA1 (kiop2014.tar.bz2) = 116eb311b91b28731855575a9157043666230432

Conferencia: SCADA, Infraestructuras Críticas… and How to…

Hace unas semanas tuve la oportunidad de participar en los Primeros Juegos Cibernéticos Regionales. Allí además de estar al frente del desarrollo e implementación de la competencia entre los CERT’s / CSIRT de diferentes países participantes, también pude realizar una conferencia introductoria a los sistemas SCADA y las infraestructuras críticas en general.

A continuación dejo todo el recorrido de la presentación realizada en este importante evento.

Introducción y presentación de proyectos y agenda:

Proyecto Corporación ElHackLab: www.HackLab.me

Proyecto Colaborativo de Entrenamiento en Seguridad: Sec-Track.org

Proyecto Colaborativo Contra Pederastas en Internet: Anti-Depredadores.org

Proyecto Colaborativo de Publicación de Retos en Seguridad: TryToHack.me

Proyecto Colaborativo de Lectura, Análisis y Distribución de Recursos Académicos en Seguridad Informática: InfoSecNotes.me

Mi primer acercamiento a las infraestructuras críticas (y creo que el de muchos)… Una gran mayoría de personas las conocimos gracias a ellos:

 

Luego las vimos así en las películas:

Ahora bien… ¿Qué son las Infraestructuras Críticas?

Aquí hago la presentación de un increíble recurso para el aprendizaje didáctico de los sistemas SCADA. Y tomo como referencia el magnífico libro a modo de historieta SCADA and ME de Robert M. Lee con ilustraciones de Jeff Haas.

Esta corta historieta nos hace un recorrido sobre la historia del pequeño Bobby, en su proceso de aprendizaje sobre los sistemas SCADA. Todo esto de la mano de Matt, un amigo que le explica de la mejor manera en qué consisten y los desafíos en seguridad de los mismos.

Aquí los autores de esta maravillosa obra

Origen de los sistemas tecnológicos

Continúa la historia

Desde aquí una vez que Bobby (y nosotros) sabemos qué son los sistemas SCADA, decidí hacer una prueba de concepto de cómo podemos identificarlos desde Internet. Todo esto utilizando la plataforma ShodanHQ.

Otra manera muy sencilla de identificar estos sistemas puede ser utilizando las propias empresas que implementan o están relacionadas de alguna manera con estas. Con un poco de Google Hacking podríamos identificar plenamente las mismas, gracias a la típica costumbre de publicar quienes son los clientes de las empresas.

Siguiendo la recomendación de Matt en la historieta, veamos como podemos proteger SCADA. Aquí hago la presentación de un entorno de trabajo llamado SamuraiSTFU (Security Testing Framework for Utilities). Una distribución de los mismos autores de SamuraiWTF (Samurai Web Testing Framework) y basada en la misma, pero enfocada al Test de Seguridad a dichas tecnologías.

Algunos ejemplos de estos

Recomendaciones finales

Aquí hice la presentación de un pequeño desafío introductorio a lo que sería el CTF en el propio evento. Para ello implementé un pequeño sistema simulado de SCADA que fue comprometido por delincuentes informáticos. La misión del juego era recuperar el control del sistema y restablecer la temperatura de un sistema automatizado de control. El cual fue alterado por los ciber criminales para que de manera automática se incrementara la temperatura del mismo en un periodo de 24 horas. Tiempo establecido para la realización del desafío.

Ninguno de los participantes pudo recuperar el acceso del sistema. Por lo tanto el premio y el reto quedarán abiertos para otra oportunidad (estén atentos). Pues hice la presentación de un nuevo proyecto enfocado al entrenamiento en seguridad de sistemas SCADA, sobretodo a lo que a pruebas de intrusión se refiere. Este proyecto decidí llamarlo HackingSCADA.me

 

Como reflexión final dejo un concepto clave. Y es precisamente la integración de la seguridad física y lógica en las infraestructuras críticas. Estas a su vez compartiendo una responsabilidad por parte del sector público y privado.

Prueba de Concepto de Phishing “Patrocinado” por la misma Entidad Bancaria

Un saludo… En este corto post pretendo mostrar como podría realizarse toda una campaña de Phishing “patrocinado” por la misma entidad bancaria.

Cuando me refiero a lo de “patrocinado” es debido a que la propia entidad por medio de un “pequeño” error de bien sea: Diseño, Desarrollo, Implementación y/o Revisión olvidó un “detalle”. Este “pequeño error” podría convertirse en un completo dolor de cabeza para los responsables del mismo o de toda la entidad… Y por supuesto, para nosotros los usuarios :/

Aquí viene bien el post que realicé hace algún tiempo, donde dejaba la reflexión sobre: Finalmente… ¿Quiénes son los responsables de la (in)seguridad?

Veamos entonces:

Hace unos días recibí el típico email de phishing de la entidad bancaria de turno de cualquier delincuente informático que se dedique a esto… Nada fuera de lo común desde hace muchos años.

Normalmente visualizo este tipo de emails, pues por motivos laborales e investigativos me gusta enterarme de cómo van mejorando sus técnicas o si por el contrario se quedaron siempre en lo mismo. En este caso el email tenía un componente que alcanzó a alegrarme la noche. Pues ofrecía un componente que nunca había visto. La posibilidad de descargar un pequeño software por parte de la entidad para “proteger mi seguridad” mientras navego en mi banca en línea.

Para quienes disfrutamos del análisis de malware este componente obviamente llama nuestra atención, pues como dije anteriormente nunca había visto un phishing así… Siempre es el típico “clave bloqueada”, “cambio de clave”, “lo que sea con clave”, etc… En este mensaje se combinan dos componentes: Phishing y Malware.

“Desafortunadamente” para mi análisis, el enlace que prometía una descarga de malware, terminó siendo otro enlace más de phishing.

Y ya en este mismo se identificaban evidentes errores en diseño y funcionalidades. Desafortunadamente también, aunque dichos sitios estén repletos de errores no faltan los pobres incautos que siguen y seguirán cayendo en este tipo de fraudes.

Aun así, decidí explorar el sitio malicioso con el objetivo de encontrar en alguno de sus directorios y/o enlaces la opción de descargar el prometido “software de protección”. Antes de esto también navegué como si fuese uno de tantos incautos para tratar de identificar más errores y/o el mismo software.

Entre los errores más notorios se identifica la solicitud inmediata de la segunda clave. Esto NUNCA ocurre en el inicio principal de la entidad bancaria. No hay solicitud de preguntas secretas (una muy buena medida implementada por la entidad bancaria)

Al final de esto el sitio como era de esperarse nos envió mediante un redirect a la página real de inicio de sesión en la entidad. Práctica muy utilizada por los delincuentes informáticos para “despistar” a sus víctimas.

Bueno, nada fuera de lo normal en el típico phishing… Entonces, de qué va lo de Prueba de Concepto de Phishing “patrocinado” por la misma entidad bancaria?

Como es normal cuando recibo este tipo de correos (phishing bancario, correos, servicios) lo primero que hago es notificarlo por medio del equipo de Segu-Info.

¿Por qué no lo hago directamente a la propia entidad? Sencillo, estoy seguro que pocas veces obtendré una respuesta positiva sobre lo realizado. Además que el diseño del sitio NO permite una correcta navegación para visualizar el simple email para notificarles. A esto le podemos sumar que TODAS las entidades deberían tener un simple formulario VISIBLE en el que podamos realizar notificaciones de fallas, amenazas, sugerencias, etc… Esto es una realidad, ahora no solo los usuarios necesitan información de las sedes, horarios y servicios. Vivimos en una época en la que la inseguridad de la información está latente y presente en nuestro día a día.

Búsqueda por medio de Chrome+Google a un sistema de reporte de este tipo de prácticas maliciosas.

No hubo forma de hacer bajar ese scroll para visualizar correctamente el correo al que deberíamos enviar dichas notificaciones (incompatibilidad con el navegador :S )

Continuando con mi búsqueda en el portal sobre un apartado dedicado a la seguridad pude encontrar fácilmente una sección en la página principal para ello. (Muy buena medida)

En dicho portal es posible encontrar la más completa información sobre TODO lo relacionado con diferentes actividades maliciosas por parte de los delincuentes informáticos y comunes. Todo esto con el objetivo de educar y prevenir este tipo de técnicas delincuenciales dirigidas a nosotros los usuarios finales.

Justo allí es donde pude identificar el problema. Y claro está, la posibilidad de realizar una prueba de concepto de Phishing “patrocinado” que desafortundamente podría haber realizado un delincuente informático real para aprovecharse del mismo para engañar a los usuarios de la entidad y robar su dinero.

Desde la misma página de seguridad es posible visualizar varios botones que actualmente son muy comunes en las aplicaciones Web. Me refiero a los botones “sociales”, en este caso Facebook y Twitter.

Como se observa en la captura anterior, el botón de twitter de la propia entidad bancaria hace referencia a un perfil @bancolombia_ . Dicho perfil al momento de realizar la prueba NO se encontraba registrado. Pues el perfil oficial de dicha entidad es @Bancolombia

Así que decidí realizar la prueba de concepto. En la cual iba a crear una cuenta con nombre @bancolombia_ cambiar la imagen avatar de la misma, e incluirle el texto “Twitter NO oficial de Bancolombia.” Inclusive a la imagen le agregué el texto: “PoC Cuenta Phishing”

Dicho perfil a la fecha se observa de la siguiente manera:

Ahora bien… Y como decía en el post. Finalmente… ¿Quiénes son los responsables de la (IN)seguridad? en este caso, NO vale decir que no hagamos clic en enlaces que no sean los propios de la entidad. Pues la propia entidad es la que está enlazando un perfil “oficial” de la entidad en Twitter. Fácilmente el delincuente podría enviar enlaces desde allí a los usuarios seguidores del Twitter. Pues como vemos en solo 2 días, y sin un solo tweet y peor aun, explicando que NO es el oficial y que además es de Phishing, éste ya tiene 17 seguidores :/

Aquí si, la entidad si sería la responsable directa de cualquier fraude cometido por medio de la explotación de dicha falla. Pues como sabemos, por más que le digamos a los usuarios: No hagan clic en enlaces que no sean los propios de la página de internet (ingresar directamente desde el navegador), Cambien la clave regularmente, etc, etc. Los usuarios siempre vamos a fallar.

Como dato curioso durante la realización de la prueba de concepto recibí varias menciones en mi timeline gracias a una publicación que se hizo a modo de chiste por un tercero y este equivocó el nombre de usuario de la entidad y agregó el “_” a la misma. Dicha publicación alcanzó a tener varias interacciones por parte de varios amigos expertos en seguridad informática en mi país.

En el momento de realizar esta publicación envié un tweet desde dicha cuenta y mi cuenta personal a la oficial de la entidad, con el objetivo de que dicha falla sea solucionada.

Esperemos alguna notificación positiva al respecto. Desde este momento…

Solucionario del Reto: HackLab OWASP Hackademic, nivel básico #CTF #Web por kagure zama

Solucionario propuesto por kagure zama al reto HackLab OWASP Hackademic, quien se convierte en el ganador del desafío OWASP Hackademic #CTF #Web. Asimismo se convierte en el ganador del libro Seguridad y Redes de @MatiasKatz.

Como siempre animar y recordar a los recién iniciados y expertos a participar de estos desafíos, pues no hay mejor manera de aprender que enseñando…

Solucionario:

Lo primero creación de máquina virtual para arrancar el live cd yo he utilizado virtual box para tal fin.  Abrimos Virtual box y damos click en Nueva, luego se abrirá un asistente que nos guiará durante el proceso de creación de la máquina.
Aquí asignaremos el nombre y el sistema operativo de la máquina en este caso es Linux y  aunque no se en cual está basado elijo Other Linux. Next

En memoria elijo la que él me sugiere ya que si el ISO pesa 46 megas no creo que el Linux que está corriendo sea muy exigente. Next

Aquí elegí no crear disco duro para la maquina ya que en la descripción del reto decía que era live cd y pues no era necesario. Crear

Nos dara una alerta acerca de que no estamos creándole un disco daremos Click en continuar

Lo siguiente será configurar el hardware y desde donde queremos que arranque la máquina virtual y asignarle que tipo de red queremos que tenga Nat, Red en Puente O red interna. Las siguientes capturan Son la configuración que yo he elegido. Pero cada uno puede varias algunas cosas de acuerdo a su conveniencia.

Así queda finalmente la configuración YA solo queda dar click en Iniciar en el menú de virtual box

Máquina virtual iniciando

Ya con la maquina corriendo solo queda identificar que ip le fue asignada a la maquina yo como estoy sobre el rango 192.168.0.1 elijo lo siguiente con el scanner que tengo a mano en este caso es el Advance Ip Scanner pero vale cualquiera. Aquí tenemos el resultado 4 host en el mismo segmento de red solo tres levantados el 101 es mi maquina el 102 la virtual en este caso nuestro objetivo y la otra es la puerta de enlace o router.

En el navegador ingreso la ip 192.168.0.102 y obtengo lo siguiente

Doy click de nuevo en la imagen y me lleva a la descripción de los desafíos

Desafío 002
Tu país necesita de tu ayuda para encontrar la contraseña de acceso a un sitio web enemigo que contiene información útil, si no es encontrada a tiempo, la paz de la región estará en riesgo.
Debes tener éxito en la búsqueda de la contraseña de este sitio web militar (Sitio Web Militar).
Buena suerte!
El pantallazo inicial del reto nos muestra una caja de texto donde debemos ingresar nuestra clave para poder pasar el reto habitualmente lo que se debe hacer es revisar el código fuente de este tipo de retos y ayudarnos de herramientas como firebug o en chrome con la herramienta consola de javascript. Ya que estas nos permite poner paradas o breakpoint en el código para evaluar, comparar y asi llevar al proceso que llaman debugear.

Luego miro el código fuente y veo el siguiente scritp que es el que contiene el algoritmo que codifica la contraseña.

Aquí sabiendo quien es el que genera la clave paso a debugearla con el firebug sobre la web oprimo f12 y aparece firebug doy click en script y luego en regargar voy hasta el final del código y allis pongo una parada o breakpoint en la línea 95 para comparar lo que yo ingre en la caja de texto con la respuesta verdadera,(Tener en cuenta para nunca dejar la seguridad del lado del cliente).

Aquí solo escribo una letra o frase lo que quiera en la caja de texto y doy enter y me aparece la respuesta al lado derecho en este caso es antievolutionary pruebo y siiiii! Esa es.

Desafío 003
Los ataques XSS permiten que un usuario malicioso inyecte su propio código en páginas Web Vulnerables. Según el TOP 10 de OWASP de Seguridad en Aplicaciones Web, los ataques de XSS clasifican como el segundo más peligroso de la lista.
Su objetivo es hacer un “Alert Box” con el mensaje “XSS” en la siguiente página Web:
Sitio Web,”XSS me”.

Ya con la descripción uno sabe qué hacer, en caso de no saber tiene un punto de partida para buscar algún artículo relacionado con ataques XSS. En este caso es realmente fácil porque es el clásico XSS <script>alert(“XSS”);</script> pongo este script en el la caja de texto de la página y me aparase el alert con el mensaje que me piden en el reto.

Doy click en aceptar y me redirige a un nuevo mensaje.

Desafio 004
Un Hacker nos informó que el siguiente sitio web tiene una vulnerabilidad del tipo XSS.
(Sitio Web XSS) Lamentablemente, perdió las anotaciones que había tomado de cómo podía explotar dicha vulnerabilidad.
Su objetivo es hacer que aparezca un cuadro de alerta con el mensaje “XSS”. Cabe señalar además, que este sitio tiene un mecanismo de protección frente a este tipo de ataques.
Ingresando al reto como es acostumbrado.

Aquí tuve que leer un buen rato y sobre todo probar, probar y probar adjunto el link que leí y donde encontré la respuesta jejeje http://thehackerway.com/2011/05/23/explotandovulnerabilidades-xss-en-aplicaciones-web/ la solución que me sirvió fue la 14 del artículo lógicamente adaptada a mi necesidad o más bien a la del reto aquí pidenel alert debe decir XSS quedando el script <script>alert(String.fromCharCode(88,83,83))</script> también me sirvió este link http://ascii.cl/es/ para sacar el código ASCII de XSS.

Desafío 005
Es necesario que acceda al contenido del siguiente Sitio Web. Para lograrlo, usted debe comprar el navegador web “H4x0rBr0ws3r”. Ya que éste es demasiado costoso, usted tendrá que “engañar;” al sistema de alguna manera, para que éste le permita visualizar el contenido del sitio.
Para este reto he instalado la extensión o complemento llamado Tamper Data en Firefox pero para casos prácticos se puede hacer con netcat, User Agent Switcher o algún proxy como burp proxy.

Aquí nos están dando el user agent H4x0rBr0ws3r necesario para que nos muestre lo que queremos y pasar la prueba. Abro el tamper data y doy click en comenzar modificación

Luego en oprimo f5 para recargar la web y obtengo lo siguiente hay solo doy click en Modificar para cambiar el user agent

Luego cambio el user agent por defecto en este caso es el de Mozilla Firefox , quedando como muestra la imagen y generándome la recompensa .

Desafío 006
En esta misión usted debe probar sus habilidades de Caballero. los Caballeros no han desaparecido.
Aún existen, ocultando sus secretos. Su misión es infiltrarse en el siguiente Sitio Web. Obviamente hay un pequeño problema. No sabemos la contraseña. Podrías encontrarla?
Buena suerte!

Como de costumbre ingreso al reto y me encuentro con el siguiente mensaje y una caja  de texto a la espera que introduzca la respuesta, creí que iba a tener un poco de suerte pero no me da el siguiente mensaje donde me confirma que mi código no es correcto.

Decido ver el código fuente de la web que en Firefox CTRL + U y veo un caos completo

LA clave aquí está en <script language=”JavaScript”> document.write(unescape hago una búsqueda en google acerca de esto y entro en la siguiente web que tiene una muy interesante herramienta que nos devolverá el código html en claro.

Ya con el código html y java script en claro busco el script que valida el CODE y me encuentro con lo siguiente.(No pongo todo el código ya que es bastante alarga mucho el texto sin ser necesario)

A grandes rasgos este codigo es que validad lo que uno ingresa en la caja de texto del reto aqui vemos que si se ingresa la palabra easyyyyyyy! Habremos pasado el reto de lo contrario dara el mensaje Wrong Code…!! Habiendo pasado el reto. No sin antes haberme sorprendido por que no aparecia nada asi que seleccione todo y apareció el mensaje ufff.

Desafío 007
Tengo un buen amigo que estudia en la Universidad ACME, en la facultad de Informática y Telecomunicaciones. Por desgracia, sus notas no son tan buenas. Se lo que estas pensando “Gran noticia”… Hummm, tal vez no. Lo que si es una gran noticia, es la siguiente: El administrador de la red le solicitó 3000USD por cambiarle las malas calificaciones.
Esto obviamente es un caso de abuso de autoridad administrativa y fraude. Por lo tanto…  Es un una buena oportunidad para desenmascararlo y exponerlo de manera pública… Tengo que ingresar al sitio Web como administrador y cargar un archivo index.html en el directorio raíz, para presentar toda la evidencia de los fraudes cometidos en la Universidad.
Sólo necesito que consigas la contraseña de administración del sitio Web.
Buena suerte! >> Universidad ACME – Facultad de Informática.
Ingreso a la dirección del reto y me encuentro con lo siguiente, como ya estoy cogiendo hace unos retos atrás la buena costumbre de ver el código fuente.

YA estudiando el código fuente veo cosas interesantes como spoudastes/Banner01.bmp entro pero me da un error que no se encuentra ni la careta ni los archivos. Sigo viendo y me encuentro con algo muy interesante http://192.168.0.102/Hackademic/ch007/index_files/logo.png

Quito logo.png y me con el famoso y archiconocido Index Off (Es parte de la mala configuración de un servidor web en que se permite listar los archivos almacenas en ese direcotrio) de abro el archivo lastlogin.txt con el siguiente contenido:
Last Login user:
Irene Pretty : Irene
at 14/3/2000 10:59:00am

Ya con esa información regreso e ingreso Irene en la caja de texto dado como resultado la siguiente captura.

Aquí estuve un ratoooooooooooooooooo!!! Estancando hasta que se me ocurrio ver con la extensión firebug de Firefox y viendo las opciones había una que decía Cookies y el valor de userlevel era user asi que di click derecho editar y lo cambie por admin acepte y felicitaciones.

Desafío 008
Después de varios intentos, usted a logrado subir una webshell (Locus7Shell) en trytohack.gr
El problema es que con el fin de poder ejecutar comandos en el servidor, usted debe tener permisos de administrador (root). Su objetivo es elevar privilegios en el sistema.

Como siempre en este tipo de retos lo importante es leer todo lo que nos muestre para intentar comprender y a mi parecer este es uno de los más fáciles. Siguiendo mi propio consejo lo que hice fue escribir help y me mostro los comando permitidos siguiendo el orden el primero que ejecute fue ls que en el sistema operativo Linux se utiliza para listar los archivos y directorios, al utilizarlo me listo dos archivos index.php y b64.txt lo único que hice fue pegar b64.txt en la url quedando así:
http://192.168.0.102/Hackademic/ch008/b64.txt y dándome como resultado.

LS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0NClVzZXJuYW1lOiByb290IA0KUGFzc3dvcmQ6IGcwdHIwMHQNCi0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0tLS0t

El mismo archivo da la pista de en qué esta codificado en este caso en base 64 una rápida búsqueda en google y entre en esta web obteniendo en texto claro el usuario y el password para elevar privilegios como pedían en el reto. Luego utilize el comando su me logué con el user root password g0tr00t y obtuve mi recompensa.

Desafío 010
Le gustaría convertirse en un Hacker?. Le gustaría convertirse en un miembro activo del grupo de Hackers más reconocido del mundo? El n1nJ4.n4x0rZ.CreW!
Antes de poder unirse debes demostrar que eres capaz de pasar la prueba que se encuentra en: http://n1nj4h4x0rzcr3w.com
Si tienes éxito en completar el reto, obtendrás un serial que debes usar para obtener la contraseña que le permitirá formar parte del grupo.
Su objetivo es eludir los mecanismos de autenticación, buscar el serial que se suministra con el nombre de usuario y contraseña del equipo de administración del sitio Web. Vamos a ello como siempre la captura inicial del reto .

Aquí mi aliada fue la extensión Tamper Data que ya había utilizado en el desafío 5 para hacer el spoofing (Falsear) el user agent del navegador aquí estuve un buen tiempo atascado de hecho dos días viendo el código fuente tratando de ver qué pasaba cada vez que enviaba caracteres diferentes ya que el password que me pedían no lo tenía hasta que en una de esas vi algo muy curioso cada ves que enviaba una frase o carácter aparecía una variable llamada LetMeIn con el valor False y como siempre lo básico lo lleva a uno a grandes cosas recordé el clásico enable = activado disable = desactivado 1 0 y vino a mi cambiar False por True y reenviar la petición me apareció un alert con una cadena rara pero que ya había visto en el desafío 006 y que era un UNESCAPE.

Solo copie la cadena de caracteres extraña pero ya identificada la pegue en el mismo decoder online que encontré para el desafio 006 y obtuve un serial.

Después de dar click en aceptar me redirigió a la siguiente web donde en título del mail era acerca de un seria así que solo introduje el serial puse mi Nick y le di send y aunque me enviaba un mensaje diciendo que el password estaba mal también me aparecía un mensaje de felicitación diciéndome que lo había logrado y que documentara el proceso.

Para finalizar decir que estuvo entretenido y aunque no pude hacer ni el desafío 001 ni el 009 en este solo pude averiguar que tenía un adminpanel.php por medio de nikto luego quise hacerle fuzzer de archivos por fuerza bruta con oswap dirbuster pero tardaba una eternidad así que lo deje así por el momento. Decir que el que quiera se lance al mundo genial de la seguridad informática y demás ramas, sin temor a saber o no, ya que todo con tiempo, dedicación, curiosidad y estudio se logra.

The "Do" to Security