El port knocking (golpeo de puertos) es un mecanismo que permite abrir puertos a través de una serie predefinida de intentos de conexión a puertos que se encuentran cerrados.
El protocolo SSH suele utilizarse principalmente por administradores para ejecutar comandos de forma remota. Sin embargo, siempre existe el riesgo de exponer un tipo de servicio de estas características ya que suelen ser blanco de ataques. De esta manera, existe el port knocking como mecanismo adicional para la protección de este servicio o incluso otros.
Por ejemplo, cualquiera que tenga un sistema con un servidor SSH expuesto a Internet sabrá que no es nada infrecuente encontrar registrados diferentes intentos de intrusión en el sistema (en el /var/log/auth.log en un sistema Debian):
Oct 19 09:31:49 darkstar sshd[13481]: Invalid user fluffy from 202.102.XX.XX Oct 19 09:32:02 darkstar sshd[13493]: Invalid user oracle from 202.102.XX.XX Oct 19 09:32:08 darkstar sshd[13500]: Invalid user www from 202.102.XX.XX Oct 19 09:32:17 darkstar sshd[13508]: Invalid user postmaster from 202.102.XX.XX Oct 19 09:32:31 darkstar sshd[13520]: Invalid user file from 202.102.XX.XX
Si el servidor de SSH sólo permite autentificación por clave privada/pública (Autenticación trasparente por clave pública/privada con OpenSSH) podemos estar razonablemente tranquilos de que el intento de intrusión no tendrá éxito. Pero como nunca se puede estar seguro del todo, puede ser buena idea añadir, adicionalmente, un sistema de port knocking para abrir el puerto SSH sólo cuando realmente lo vayamos a usar.
En un sistema basado en Debian, esto se puede hacer muy fácilmente con el demonio knockd, uno de los paquetes oficiales de la distribución. Tras instalar el paquete, tenemos que editar el fichero /etc/default/knockd para permitir que el demonio arranque:
# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING START_KNOCKD=1
y especificarle cualquier opción que queramos usar, especialmente en qué interfaz tiene que escuchar si no es el "eth0":
# command line options # KNOCKD_OPTS=»-i eth1″
Hay que tener en cuenta que el knockd siempre ve los paquetes llegar, incluso si los puertos están cerrados y si alguna regla de iptables rechaza el paquete. Podríamos decir que se comporta como el tcpdump, en el sentido de que el interfaz se pone en modo promiscuo y ve todo lo que llega a él. Pero adicionalmente, según qué paquetes vea, ejecuta una acción. Por cierto, parece que no funciona poner dos interfaces con "-i eth0 -i eth1".
A continuación, tenemos que personalizar el fichero /etc/knockd.conf para especificar qué secuencia de puertos queremos y qué hacer cuando ésta llegue. En el “man knockd” encontramos interesantes ejemplos de uso, pero podemos centrarnos en el más típico que es el que instala Debian por defecto:
Vemos que cuando llega una secuencia de paquetes TCP con el flag de SYN a los puertos 7000, 8000 y 9000 en menos de 5 segundos, el demonio knockd añade una regla de iptables para permitir el acceso al servicio SSH a la IP que ha hecho el port knocking. Y con otra secuencia, podemos cerrar el puerto posteriormente.
Tras configurar el /etc/knockd.conf a nuestro gusto, arrancamos el knockd con “/etc/init.d/knockd start“.
Para mandar la secuencia que active la acción podemos usar, desde otro sistema, el comando knock, que se instala también al instalar el paquete knockd:
y en el sistema en el que hemos arrancado el knockd vemos cómo los paquetes llegan y se ejecuta la acción planificada para dicha secuencia:
Oct 19 21:55:17 darkstar knockd: 192.168.100.1: openSSH: Stage 1
Oct 19 21:55:17 darkstar knockd: 192.168.100.1: openSSH: Stage 2
Oct 19 21:55:17 darkstar knockd: 192.168.100.1: openSSH: Stage 3
Oct 19 21:55:17 darkstar knockd: 192.168.100.1: openSSH: OPEN SESAME
Oct 19 21:55:17 darkstar knockd: openSSH: running command: /sbin/iptables -A INPUT -s 192.168.100.1 -p tcp –dport 22 -j ACCEPT
El hecho de que podamos ejecutar cualquier comando nos da total flexibilidad. Por ejemplo, se me ocurre que en vez de, o adicionalmente a añadir o quitar reglas de iptables, también podríamos incluso arrancar o parar el demonio sshd:
Lo que nos quedaría por ver es qué alternativas tenemos para mandar la secuencia de puertos. Hemos visto que el propio paquete knockd de Debian lleva el comando knock. Pero, ¿hay alternativas? ¿y si queremos hacer port knocking desde Windows? ¿y si queremos hacerlo desde un sistema que no tenga ningún software especial?
La propia página de man de knockd nos sugiere algunas alternativas:
knock is the accompanying port-knock client, though telnet or netcat could be used for simple TCP knocks instead. For more advanced knocks, see hping, sendip or packit.
pero un inconveniente del KnockKnock es que lanza la secuencia más de una vez:
Oct 19 22:38:32 darkstar knockd: 192.168.100.1: Prueba: Stage 1 Oct 19 22:38:32 darkstar knockd: 192.168.100.1: Prueba: Stage 2 Oct 19 22:38:32 darkstar knockd: 192.168.100.1: Prueba: Stage 3 Oct 19 22:38:32 darkstar knockd: 192.168.100.1: Prueba: Stage 4 Oct 19 22:38:32 darkstar knockd: 192.168.100.1: Prueba: OPEN SESAME Oct 19 22:38:32 darkstar knockd: Prueba: running command: /sbin/iptables -A INPUT -s 192.168.100.1 -p tcp –dport 22 -j ACCEPT Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: Stage 1 Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: Stage 2 Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: Stage 3 Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: Stage 4 Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: OPEN SESAME Oct 19 22:38:33 darkstar knockd: Prueba: running command: /sbin/iptables -A INPUT -s 192.168.100.1 -p tcp –dport 22 -j ACCEPT Oct 19 22:38:33 darkstar knockd: 192.168.100.1: Prueba: Stage 1 Oct 19 22:38:34 darkstar knockd: 192.168.100.1: Prueba: Stage 2 Oct 19 22:38:34 darkstar knockd: 192.168.100.1: Prueba: Stage 3 Oct 19 22:38:34 darkstar knockd: 192.168.100.1: Prueba: Stage 4 Oct 19 22:38:34 darkstar knockd: 192.168.100.1: Prueba: OPEN SESAME Oct 19 22:38:34 darkstar knockd: Prueba: running command: /sbin/iptables -A INPUT -s 192.168.100.1 -p tcp –dport 22 -j ACCEPT
Si el comando a ejecutar se puede ejecutar más de una vez sin otros efectos, como es el caso del iptables, nos da igual, pero en otros casos, puede ser un problema.
Otra solución es usar el cliente de telnet de Windows contra los diferentes puertos para activar la secuencia. Para ello, en Windows se puede usar un .bat con este aspecto:
El resultado no siempre es el deseado. El telnet de Windows envía varios paquetes SYN cuando falla el primero y parece que el knockd no siempre acepta la secuencia. Pero bueno, normalmente antes de 4 o 5 intentos, ya ha funcionado la secuencia.
Por supuesto, el knockd es un punto de fallo adicional en el acceso al sistema. Si le pasa algo a este demonio, nos quedaremos sin poder acceder.
Port knocking es muy útil a la hora de proteger servicios que necesariamente deben estar expuestos a Internet. Solo las personas que tengan autorización, sabrán sobre que secuencia de puertos se deben realizar intentos de conexión para finalmente habilitar el firewall. Asimismo, esta no es la única variante en cuanto al port knocking, sino que existen otras alternativas a la hora de programar el comportamiento de este software. Esta es una de las diversas variantes para evitar que el sistema sea comprometido.
Como es de conocimiento de quienes andamos en el internet y siempre buscamos contenidos interesantes y de gran utilidad, nuestros amigos de @DragonJar al ver que no existía un repositorio donde las personas pudieran acceder a todo ese contenido generado en un orden cronológico y sin ninguna limitante de país o registro en distintas plataformas tuvieron la excelente idea de subir todos y cada uno de los capítulos que se generan de la serie Mundo Hacker TV Colombia y ponerla a disposición de toda la comunidad.
Siempre ha sido cuestionado el escaneo de puertos e incluso se discute siempre la legitimidad en los tribunales federales. Por el año 2000, se disputó en los tribunales americanos sobre la leagalidad entre dos contratistas por el tema de la exploración de puertos.
El demandante pensó que el escaneo de puertos era una violación, mientras que el acusado creía que sólo por el escaneo de puertos era capaz de determinar qué puertos estaban abiertos y cerrados en el lapso de la red que era responsable. El juez del tribunal de distrito dictaminó que la exploración de puertos era legal, siempre y cuando no causará daños.
¿Significa esto que cualquiera puede escanear todas y cada una de las redes a su antojo? ¡No! Aunque la exploración de puertos no es una violación, debe intentar obtener permiso antes de escanear una red. Además, los usuarios domésticos deben revisar los términos y condiciones de su ISP antes de escanear puertos. La mayoría de las organizaciones de Internet por cable y DSL previenen la exploración de puertos y mantienen el derecho de desconectar a los clientes que realizan tales actos, incluso cuando tienen permiso.
En resumen, es probablemente prohibido por la ley, y probablemente también por su proveedor de servicios de Internet. Nadie va a ganar un tribunal en su contra si no hace ningún daño con el escaneo de puertos y no sobrecargar el servicio. Claramente, teclear cualquier dominio en su barra de direcciones sería escanear puertos también.
WannaCry se presenta como uno de los más peligrosos ataques de la historia, ni bien la sociedad se andaba recuperando del Ransomware y aparece una versión mejorada y que además pide rescate de información por medio de dinero virtual no ratreable, Bitcoins.
El Centro Criptológico Nacional publicó rápidamente un comunicado alertando de la situación y aclarando conceptos básicos sobre el ataque. El pánico comenzó a sembrarse en las organizaciones y empresas españolas, que negaron cualquier incidencia pese a que se han confirmado ya más de 1.000 casos en España.
Nuestro amigos de DragonJar nos colaboran con un manual bastante interesante y muy práctico para prevenir la infección y qué hacer si ya estamos infectados. Documento WannaCry
Casi siempre nos olvidamos de las contraseñas que nos comparten para poder conectarnos a las diferentes WIFI y debemos volver a pedirla. En algunos casos nuestros dispositivos las guarda y nos conecta de forma automática, pero cuando esto no sucede la herramienta WiFi Password Viewer es la adecuada.
WiFi Password Viewer es solo un visor de contraseñas guardadas y puede ser descargada desde el siguiente link Descargar. Es importante mencionar que únicamente permite visualizar las contraseñas de las WiFi a las que nos hayamos conectado en alguna ocasión, mas no, descifras contraseñas de WiFi.
Además como se trata de una aplicación que va a acceder a la raíz de tu dispositivo Android y manipulará ciertos archivos que son privados, de tal forma que necesitará acceder al root, ya que de lo contrario no funcionará.
Las astucia de los ciberdelincuentes muchas veces hace posible la aparición de nuevos ataques. El conocido como pastejacking es la sensación del momento y en las últimas semanas está de moda su uso. Sin embargo, aunque hemos indicado que es nuevo en realidad esta afirmación no es del todo correcta.
Más conocido por “clipboard jacking”, este tipo de ataque carece en la mayoría de las ocasiones de sentido, sirviendo cuando el usuario ha copiado algún contenido al portapapeles para pegarlo en su equipo. Tal y como ya hemos mencionado no se trata de un ataque novedoso, ya que podría decirse que la primera versión de este hacía uso de las hojas de estilo (conocidas como CSS) para conseguir de forma eficaz modificar el contenido copiado por el usuario.
En esta ocasión, todo parece indicar que los ciberdelincuentes han abandonado esta vía y se han entrado en la utilización sobre todo de JavaScript. Los expertos en seguridad afirman que esta nueva versión es mucho más eficaz que la anterior, ya que permite responder a un evento en un tiempo menor y modificar de esta forma el contenido del portapapeles.
Añaden que la utilización de JavaScript es un auténtico problema para los usuarios, ya que es muy difícil de detectar y también de erradicar.
DESCRIPCIÓN DE PASTEJACKING
La técnica consiste en detectar el copiado de cierta información para ejecutar el script que lleva a cabo la modificación del contenido. Algo que es instantáneo y que tiene una clara ventaja con respecto a CSS. Mientras en el último caso el usuario debe seleccionar todo el texto para introducir el código malware, en el actual solo es necesario seleccionar parte o un solo carácter para que el script lleve a cabo su cometido.
LAS PÁGINAS HACKEADAS JUEGAN UN PAPEL IMPORTANTE
Resulta bastante habitual encontrar hoy en día páginas que están afectadas por fallos de seguridad y que distribuyen malware. Partiendo de esto, los ciberdelincuentes podrían a partir de ahora utilizar estas para añadir el código JavaScript correspondiente y así llevar a cabo el pastejacking sin que el usuario se percate de lo que está sucediendo. Además, este podría distribuir su amenaza de forma totalmente gratuita gracias a la página hackeada.
Los expertos en seguridad ya han confirmado que se trata de un ataque muy difícil de detectar y que en un futuro no muy lejano puede ser la tónica a la que los usuarios deban hacer frente.
Aquí les dejo un simpático manual que realicé para mis estudiantes de la materia Diseño e Implementación de Seguridades, donde muestro paso a paso la instalación de Kali Linux en una partición de nuestro disco duro teniendo instalado como Sistema Operativo principal, Windows.
Los ciberdelincuentes y los «spammers» son muy pocos los lugares seguros en el internet. Evidentemente ambos van por nuestra información personal, cada uno con un objetivo bastante específico y muy común en ellos, pero muy peligroso. Los spammers nos ingresan en listas de distribución de correos de productos y/o servicios que no necesitamos, mientras que los ciberdelincuentes utilizan nuestra información para suplantarnos, robarnos e incluso para secuestrarnos. Siendo el «ransomware» el ciberdelito que más creció en el 2015.
Si bien es cierto a diario utilizamos lo que hoy conocemos como «red social», cada una con sus diferentes aplicaciones. Sin embargo, nunca nos fijamos en los posibles métodos, trampas y trucos para engañarnos y poder acceder a nuestra información personal. Esto en el ciberespacio se lo conoce como #TrampasDeInternet, y las hay de todo tipo.
La red social #LinkedIn surgió como un punto de encuentro de profesionales en diferentes ramas de la ciencia, permitiendo compartir contenido, experiencias y hojas de vidas para posibles oportunidades laborales. Hoy también es una plataforma a la que nuestra información personal se encuentra un poco expuesta, siendo antes aquella plataforma que con toda seguridad podíamos compartir nuestro número de teléfono y correo electrónico personal.
En días pasados tuve la oportunidad de toparnme con esta situación:
1.- Petición de número de teléfono y correo electrónico para compartir contenido.
Aquí podemos apreciar lo siguiente: alguien ofrece contenido académico y solicita correos electrónico para el envío de información, mientras que en el otro caso se observa la solicitud de número de teléfonos celulares para formar un grupo de Whatssap, especializado en alguna temática.
Ambos caso y son dudarlo terminan formando parte de una lista de distribución de productos y/o servicios no deseados o quizás en manos equivocadas que pueden poner el riesgo nuestra integridad personal. Lo curioso de todo esto es que así como la persona que solicita dicha información, también los que la entregan tiene acceso a toda la información de los demás participante de dicha convocatoria.
Cuando realizamos auditorías de seguridad, por lo general nos topamos con una infinidad de equipos conectados a la red:
Impresoras
Switches
Routers
Cámaras
Sistemas de control
etc.
Todos y cada uno de ellos tienen o suelen tener, lo que llamamos contraseñas por defecto o de fabrica que si un administrador cauteloso no ha eliminado o modificado previamente en el proceso de administración e implementación, quedarán ahí hasta el final de los tiempos.
En Internet existen miles de sitios web que han hecho el trabajo de recopilar estas contraseñas, para que en nuestras labores de auditoría nos sea sencillo encontrar una puerta trasera para acceder a todos estos activos. Un ejemplo es http://www.defaultpassword.com/ donde podemos encontrar por lo menos unas 2.000 contraseñas diferentes:
Aquí los dejo con una guía para empezar con Kali Linux. En primer lugar, hay dos formas de instalar y utilizar Kali Linux, una instalación completa, o en alguna caja virtual como VMware o Virtual Box. Puede descargar VMware o Virtual Box haciendo clic en sus respectivos nombres. Yo personalmente prefiero Virtual Box, ya que tiene casi todas las características de VMware y es un programa gratuito (OMFG es gratis!). Y Kali descarga desde aquí.
Sólo hay diferencia de unos pocos pasos; que se sumarán a los usuarios de máquinas virtuales. Así que, yo sólo voy a demostrar a los usuarios Virtual Box.
Ahora, un paso muy importante, que tiene que permitir la visualización de su BIOS. Esto es diferente para todas las placas base, por lo que Google cómo hacerlo para su placa específica. Luego sólo tienes que seguir las capturas de pantalla a continuación.
Ahora que tiene Virtual Box y Kali Linux, es el momento de poner las cosas en marcha.Virtual Box Open, que se verá algo como esto, sin las máquinas virtuales a la izquierda.
Para crear una máquina virtual, haga clic en “Nuevo”,
Nombre que se le quiera, a continuación, haga clic en “Siguiente”. Se le pedirá que seleccione la cantidad de RAM que desea reservar para su máquina virtual.
Ahora, va a pedir la asignación de espacio en disco duro, acaba de salir a la opción por defecto, “Siguiente”!
Aquí, seleccione “VHD”, “Siguiente”,
Seleccione “asignado dinámicamente”,
Aquí, seleccione el tamaño deseado del disco duro virtual,
Ha creado una máquina virtual. ¡Adiós!
Solo bromeo…. todavía hay un montón.
Ahora, haga clic en Configuración> almacenamiento> haga clic en la imagen de CD en la esquina de la derecha, como se muestra. Ahora vaya a la imagen descargada. Haga clic en Aceptar.
¡Ya está completa. Haga clic en Inicio.
Por normal (no-VM) usuarios siguen a lo largo de aquí. Voy a estar explicando todas las maneras que usted puede instalar y utilizar Kali.
El primero es “Live” esta opción no guarda ningún cambio en su cuenta de Kali … es como desinstalar Kali cada vez que se apaga.
Entonces, hay persistencia, éste es exactamente opuesta a la primera, lo que ahorra todos los ajustes y datos.
Ahora, para la más importante para los usuarios que no VM (por lo menos yo lo creo: 3).Una nota preliminar – por favor haga una unidad flash de arranque (más de 8gigs se recomienda) con el Kali Linux .iso que se descarga; la persistencia y la perseverancia cifrada sólo funcionarán en unidades flash.
Por persistencia, hay muchas maneras de hacer esto, voy a describir el método Linux.
Tipo “gparted / dev / sdb”, encontrará “/ dev / sdb1 / dev / sdb2” y “zona sin asignar” haga clic derecho dentro de la sección no asignado, a continuación, seleccione nuevo en el menú desplegable que aparece. Crear una partición primaria, elija “ext 4” como el sistema de archivos, y la etiqueta de la partición con la palabra: “persistencia”. Haga clic en “Añadir” y luego “Aplicar” y dejar que el formato de computadora la partición en “ext 4” con la persistencia de la etiqueta. Cuando se haya completado el proceso de abrir una ventana de terminal y escriba lo siguiente:
“Reiniciar y arrancar la máquina con Kali y seleccione” Persistencia de USB Vivo “.
Para persistencia cifrada, es un proceso muy largo … así que … lo hará en un post más adelante.
Ahora el último, instalar … es sólo como parece, se instala de forma permanente kali Linux … esto es para las personas que deseen utilizar kali como su conductor diario.
Ahora, eso de que haya arrancado kali, aquí hay algunas cosas útiles que usted podría hacer la puesta en marcha y algunas correcciones para algunos problemas comunes.
En primer lugar, vamos a actualizar y actualizar nuestra instalación,
Tipo “apt-get clean && apt-get update && apt-get upgrade –y”.
Otro gran problema que he notado es que el sonido es siempre silenciado, para solucionar este problema, abra una ventana de terminal, escriba” apt-get install alsa-utils -y “, a continuación, haga clic derecho en el icono de volumen pequeño en la esquina superior derecha y seleccione Preferencias de sonido, cambiar el regulador de volumen de salida en ON. ¡Hecho!
Casi siempre nos olvidamos de las contraseñas que nos comparten para poder conectarnos a las diferentes WIFI y debemos volver a pedirla. En algunos casos nuestros dispositivos las guarda y nos conecta de forma automática, pero cuando esto no sucede la herramienta WiFi Password Viewer es la adecuada.
