Yuzi download

En varios artículos hemos hablado de cómo hacer ataques de Network Packet Manipulation a entornos de bases de datos. Hablamos de cómo ownear MySQL colocándonos en medio de la comunicación del cliente y el servidor. En otro artículo comentamos cómo hackear Wordpress con la misma técnica. Al final todo se basa en que el tráfico entre las aplicaciones web y el motor de base de datos puede ir sin cifrar, así es por defecto en la instalación de los motores de base de datos y es labor de los administradores configurar las protecciones y el cifrado.

Figura 1: Fortificación de comunicación entre WordPress y MySQL

En el artículo de hoy nos pondremos del lado del Blue Team y hablaremos de cómo fortificar tu Wordpress cifrando las comunicaciones entre éste y el  motor de MySQL.

Punto 0. Mi Wordpress por defecto

Partimos del siguiente esquema:

- Máquina A con dirección IP 192.168.56.103 tiene instalada un Wordpress.
- Máquina B con dirección IP 192.168.56.106 tiene instalado y configurado MySQL por defecto.

Si analizamos las peticiones se puede ver como accediendo al WordPress, entre la máquina 192.168.56.103 y 192.168.56.106 se realizan una serie de consultas a la base de datos. Estos paquetes son susceptibles de ser manipulados.

Figura 2: Trafico de WordPress a MySQL sin cifrar

Punto 1. Fortificando la conexión a MySQL con SSL

En este punto lo que vamos a hacer es preparar los tres componentes necesarios para que MySQL acepte conexiones bajo SSL. En primer lugar hay que consultar si la compilación de MySQL que se está utilizando permite utilizar SSL, si no fuera así habría que instalar una versión más nueva o compilarla con soporte a SSL.

Para verificar esto accedemos a MySQL con un cliente y ejecutamos la siguiente consulta “show variables like ‘%ssl%’;”. Si las variables have_openssl y have_ssl tienen como valor DISABLED significa que está soportado pero no activo. Si por el contrario encontramos el valor NO, significa que la compilación de MySQL no soporta SSL. Si aparece el valor YES, significa que está correctamente configurado y el servidor permite conexión bajo este mecanismo. Además, hay que ver las rutas de las variables ssl_ca, ssl_cert y ssl_key que indican la ruta de la CA, del certificado del servidor y de la clave de éste.

Figura 3: variables de MySQL para configurar SSL

En este punto vamos a utilizar OpenSSL para generar la CA, el certificado y la clave. Para ello ejecutamos las siguientes instrucciones:

- openssl genrsa 2048 > ca-key.pem
- openssl req –sha1 –new –x509 –nodes –days 3600 –key ca-key.pem > ca-cert.pem

Con esto tenemos creado el certificado y la clave privada de la CA. Nos pedirán que rellenemos varios datos como país, ciudad, dominio, e-mail, etcétera.

- openssl req –sha1 –newkey rsa:2048 -days 730 -nodes -keyout server-key.pem > server-req.pem

Con esto generamos la clave privada para el servidor. A continuación, exportamos la clave privada del servidor a tipo RSA con la ejecución del siguiente comando:

- openssl rsa -in server-key.pem -out server-key.pem

Por último, generamos un certificado de servidor utilizado el certificado de la CA.

- openssl x509 -sha1 -req -in server-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

Los ficheros cacert.pem, server-cert.pem y server-key.pem deben estar en la ruta /etc/mysql. Aunque esto puede ser configurado en el fichero de configuración de MySQL /etc/mysql/my.cnf. Editando dicho fichero y buscando a partir del campo “[mysqld]” debemos descomentar la parte de SSL y asegurarnos de que las variables tienen la configuración adecuada, tal y como puede verse en la siguiente imagen.

Figura 4: Configuración del fichero my.cnf

Ahora, reiniciamos el servicio de MySQL. Una vez el motor arranque y lea la configuración del fichero sabrá de dónde leer la información del certificado, la CA y la clave privada. Ahora, podremos conectarnos con un cliente MySQL a través de SSL. Como ejemplo rápido utilizamos el propio MySQL. La instrucción es la siguiente:

-  mysql –u [user] –p –ssl-ca=[ruta cacert]. 

Para comprobar que la conexión se ha realizado a través de SSL podemos consultar la variable Ssl_Cipher.

Figura 5: Configuración de la conexión

Si abrimos ahora WireShark y aplicamos el filtro de MySQL para ver el tráfico observaremos que ya no vemos nada. Sin embargo, si utilizamos un filtro “tcp.dstport == 3306” veremos que hay conexión con dicho puerto de la máquina 192.168.56.106.

Figura 6: Tráfico cifrado entre WordPress y MySQL

Las consultas están siendo cifradas, y por eso WireShark no reconoce contenido de los datos que se envían al motor de MySQL.

Punto 2. Configurar Wordpress para que cifre con SSL la conexión con MySQL

Ahora, hay que indicar en el fichero wp-config.php de WordPress que éste debe entender los flags de MySQL para SSL. Para ello, añadimos al fichero la instrucción “define(‘MYSQL_CLIENT_FLAGS’, MYSQL_CLIENT_SSL);”, tal y como se puede ver en la imagen siguiente.

Figura 7: Configuración de WordPress

Ahora accedemos al sitio web de nuestro WordPress y las consultas a MySQL irán por un canal cifrado, tal y como puede verse en la imagen. En este momento los ataques de NPM (Network Packet Manipulation) ya no es válido, ya que no podemos detectar y manipular las cadenas de MySQL. Si probamos con WireShark veremos que solo accedemos a la conexión al MySQL, pero nada de las consultas, si que veríamos la conexión al puerto 3306, pero todo cifrado.

Figura 8:Conexión a MySQL desde WordPress

De esta forma estamos fortificando el intercambio de información entre el WordPress y la base de datos MySQL. También se puede forzar a que usuarios concretos sólo puedan hacer conexiones bajo SSL, lo cual es interesante para fortificar.

Más artículos sobre seguridad y fortificación en WordPress:

- Hackear WordPress con ataques de Network Packet Manipulation
- Fortificar WordPress frente ataques de fuerza bruta
- WordPress: Ten cuidado con el cacheo de borradores
- WPHardening: Automatizar la fortifación de WordPress
- Listar los plugins de WordPress
- Configurar Latch en WordPress

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking" y “Pentesting con Powershell”

Parece que no ha pasado el tiempo desde que empecé a jugar con los metadatos en documentos Microsoft Office y los metadatos en documentos Open Office. De aquellos juegos surgió la idea de comenzar a desarrollar FOCA, que culminó en la publicación del Whitepaper titulado "Disclosing Private information from metadata, hidden info and lost data" que publicamos para la edición de BlackHat Europa 2009, de hace ya siete años. Todos aquellos trabajos culminaron en una herramienta de protección llamada MetaShield Protector, que era útil para evitar fugas de información en la empresa y cumplir la legislación, por ejemplo el Esquema Nacional de Seguridad, y que incluso llegó a recibir un premio a la innovación.

Aún así, para los sistemas Apache, Web Clean-Up y OS X estamos desarrollando un módulo especial que tendremos en el futuro, así que es posible que próximamente vuelva a hablar de este proyecto de investigación personal que surgió de un trabajo en un blog por aquí.

Saludos Malignos!

No son muchas las actividades que tenemos organizadas para este mes de Julio que, ya bien entrado el verano, es tiempo para que muchos se tomen las más que merecidas vacaciones. Si eres estudiante y has terminado con buenas notas el curso, es momento para hacer los proyectos personales que tenías aparcados, además de aprender cosas periféricas a tus estudios y recargar las pilas para el verano siguiente.

Por si alguno quiere participar en alguna de las cosas en las que participo yo, mis compañeros de Eleven Paths, Telefónica o 0xWord, os dejo la lista de cosas que tengo apuntadas, que como veréis no es muy larga. Aquí va.

Esta tendrá lugar mañana mismo, y será una sesión en plan entrevista más turno preguntas y respuestas del público. Será a partir de las 17:30 horas en el Campus de Alcobendas de la Universidad Europea de Madrid. Puedes apuntarte gratuitamente en el siguiente enlace: IMPACT Talk - Chema Alonso.

Probablemente será la última sesión que daré antes de Septiembre, después ya os contaré mi calendario para los últimos meses del año.

Nuestro compañero en Chile, el gran Gabriel Bergel, impartirá una sesión dedicada al análisis de riesgos de seguridad dentro de la gestión de la seguridad de una empresa. Será emitida justo por este canal de Youtube.

Figura 3: Eleven Paths Talks

Es la última de esta primera temporada de Eleven Paths Talks, así que no te la pierdas. Es gratuita, online y de una hora de duración.

Las últimas actividades de este mes de Julio son las formaciones que, utilizando los libros de 0xWord como material didáctico, se imparten en The Security Sentinel.

Figura 4: Cursos Online de The Security Sentinel con libros de 0xWord

El calendario de cursos que comienzan en este mes son:

Estos son los últimos del verano, en Agosto creo que la cosa bajará aún más, pero en Septiembre el calendario de actividades volverá a remontar como es habitual. Disfrutad el domingo.

Saludos Malignos!

Uno de los grupos del Máster de Seguridad de la UEM ha hecho un trabajo tutorizado por el profesor Jorge Rey para implementar una solución de privacidad de conexiones VPN de bajo costo utilizando Raspberry Pi. El software que han utilizado para dicha tarea ha sido OpenVPN, y para dotar a la solución de mayor seguridad, han integrado el servicio Latch tanto en la autenticación de los usuarios, como en la protección del acceso vía SSH a la gestión del sistema operativo en la Raspberry Pi.

El trabajo resultante ha sido una documentación exhaustiva que explica cómo realizar, paso a paso la configuración de todos los elementos. Primero la configuración del sistema operativo en Raspberry Pi, luego la configuración del servicio OpenVPN para que funcionen correctamente las conexiones VPN y, por último pero no menos importante, la configuración de los plugins y SDKs de Latch para proteger tanto el acceso vía SSH como la autenticación de los usuarios vía VPN.

La configuración resultante es un servidor VPN de bajo coste con protección que permite a las personas realizar las conexiones en cualquier situación contra un servidor controlado al que, además se ha puesto la protección de Latch para saber quién está accediendo en cada instante.

En el documento, que he subido a SlideShare y podéis leer tranquilamente, se explica también como sacar partido a las estadísticas de Latch para saber que está pasando en cada momento con el servidor usando Latch Dashboard, aunque también se puede hacer una revisión detallada desde la propia aplicación móvil.

Si no tenías nada que hacer hoy domingo, ya sabes, día de bricolaje con la Raspberry Pi para tener montado tu propio servidor VPN y que nunca te quedes vendido por hacer una conexión a través de una red WiFi insegura en el momento equivocado. Gracias por la documentación generada a los miembros del grupo: A?lvaro Nu?n?ez-Romero Casado, Javier Jose? Pecete Garci?a, Alejandro Amori?n Nin?o y Juan Antonio Baeza Miralles.

Saludos Malignos!

Con la llegada del mes de Junio bajan un poco las actividades, y con el comienzo en mi nuevo rol no he querido comprometerme con más conferencias, por lo que no hay muchas actividades en las que yo vaya a estar presente. No obstante, desde Eleven Paths y Telefónica estaremos en varios sitios, y los libros de 0xWord estarán en algunos cursos. Éste es el calendario para la primera quincena de este mes:

02 - OpenExpo [Madrid]
07 - InfoSecurity [Londres]
07 - CNASI [Sao Paolo]
08 - ISACA [Madrid]

06: Curso Online Python para Pentesters
   [libro de Python para Pentesters]
13: Curso Online Hacking Ético de dispositivos móviles
   [libro de Hacking de Comunicaciones Móviles]

Saludos Malignos!

Como suelo hacer todos los meses, antes de que acabe el mes os traigo un adelanto de los eventos, cursos y conferencias en los que voy a participar yo, alguno de mis compañeros de Eleven Paths o apoyamos desde 0xWord. A lo largo del mes suele ir habiendo modificaciones de fechas, lugares o agenda, por lo que este mismo artículo lo iré actualizando según tenga la información disponible. Esto es lo que a día de hoy tengo en el radar.

Durante el mes de Marzo también darán comienzo tres cursos online de The Security Sentinel. Como sabéis, colaboramos con ellos desde 0xWord proporcionando los materiales. El calendario de los cursos disponibles este mes es el siguiente:

Por lo demás, ya sabéis, seguiré posteando mis cosas por aquí, recopilando las charlas en mi canal de Youtube y saldrán los últimos capítulos de la webserie "Risk Alert" que he grabado con A3Media.

Wetransfer es un servicio en Internet que permite enviar ficheros de gran tamaño sin la necesidad de darse de alta en el servicio o instalar una aplicación. En su versión gratuita permite transferir un máximo de 2 GB de información en forma de ficheros adjuntos junto a un breve mensaje para el destinatario de un mensaje de correo electrónico.

Figura 1: Cómo saber quién y para qué ha utilizado We Transfer

El servicio permite enviar la información adjunta a un correo electrónico de la persona destinataria o generar un enlace de descarga para enviarlo a una o más direcciones de correo electrónico, o simplemente tener ese contenido en el servidor del servicio para descargarlo cuando sea necesario. Eso sí, el contenido tiene un tiempo de vida máximo de 7 días, momento a partir del cual el contenido es eliminado y deja de estar disponible.

Figura 2: Forma de indicar en WeTransfer el destinatario de la información adjunta

En la siguiente Prueba de Concepto (PoC) se mostrará cómo terceras partes podrían:

• Obtener contenido enviado por WeTransfer o almacenado en sus servidores.
• Obtener URLs y parámetros enviados por GET a través de Archive.org.
• Obtener direcciones de correo de los destinatarios de los contenidos junto a sus mensajes.
• Obtener nombres de usuarios bajo ciertos nombres de dominio.

1.- Obtener contenido enviado por WeTransfer o almacenado en sus servidores

Como se ha comentado, la información que se envía adjunta por WeTransfer tiene un tiempo de vida de 7 días, momento en el cual desaparece de sus servidores. Una primera aproximación se basa en comprobar la existencia del fichero robots.txt y ver qué rutas no quiere el servicio que sean indexadas por los motores de búsqueda.

Figura 3: Fichero robots.txt de wetransfer.com

Si hacemos un poco de hacking con buscadores para ver si las opciones de indexación de la web son correctas, y preguntamos a Google qué contenidos tiene indexados referentes a la URL downloads observamos cómo únicamente devuelve un resultado, pero permite repetir la búsqueda e incluir los resultados que han sido omitidos.

Figura 4: Resultados devueltos inicialmente por Google

De esta forma, pasamos inicialmente de 1 resultado a 15000 resultados aproximadamente.

Figura 5: Resultados omitidos por Google en la primera consulta

Aquí he de indicar que no todas las URLs devueltas por Google permiten la descarga de contenido, pero algunas de ellas sí, y es posible acceder a este contenido si aún no ha caducado buscando la URL adecuada.

Figura 6: Descarga de un fichero ZIP - y su contenido - con fotografías indexado por Google

Se observa cómo es posible, en este ejemplo, acceder a más de 25MB de fotografías enviadas por WeTransfer, aunque no es posible conocer quién es el emisor y/o destinatarios de las mismas - sin utilizar servicios de terceros -, pero en ellas aparecen rostros de personas que puede que no hayan dado permiso para estar presentes en Internet.
2.- Obtener URLs y parámetros enviados por GET a través de Archive.org

Lo realizado en el punto anterior me parecía el “método clásico” de comprobar si cierto contenido era accesible a través de los buscadores, así que decidí enfocarlo desde otra manera para intentar que fuera algo más original. Para ello pensé en analizar las peticiones realizadas al servidor en el envío de la información adjunta para intentar obtener parámetros enviados por GET o POST, y a partir de ahí intentar obtener información un poco más sensible.

Figura 7: Ruptura de la cadena de certificación SSL a través de ZAP Proxy

Lo primero fue intentar capturar en el momento de envío de información adjunta las peticiones HTTP/HTTPS con ZAP y Burp Suite y no obtuve ningún resultado, ya que como se ve en la siguiente figura, la página no es capaz de cargarse de manera correcta al reenviar las peticiones HTTP/S a ZAP. Con Burp Suite los resultados fueron idénticos a los anteriores:

Figura 8: Ruptura de la cadena de certificación SSL a través de Burp Suite

A partir de aquí decidí consultar, sacando partido a las opciones que tiene Archive.org para hacer hacking, qué URLs bajo en nombre de dominio wetransfer.com habían sido capturadas por archive.org. En total, 2404 URLs.

Figura 9: URLs capturadas por archive.org

Pueden observase parámetros enviados por GET, como la dirección de correo de un destinatario de información enviada por WeTransfer. A partir de este momento, ya es muy sencillo buscar direcciones de correo electrónico de destinatarios de información, incluso los mensajes que le han sido enviados y nombres de usuarios bajo ciertos nombres de dominio.

3.- Obtener direcciones de correo de los destinatarios de los contenidos junto a sus mensajes

Llegados a este punto, es trivial extraer direcciones de correos de destinatarios de mensajes. Para ello únicamente habría que hacer búsquedas dentro de archive.org con patrones como to=, @gmail, %40, etcétera.

Figura 10: Direcciones de correo electrónico extraídas con el patrón "to="

Figura 11: Cuentas de correo electrónico extraídas con el patrón "@gmail"

Para la obtención del mensaje enviado a una cuenta de correo electrónico, podría utilizarse el patrón msg=:

Figura 12: Mensaje enviado junto con la cuenta de correo electrónico del destinatario

4.- Obtener nombres de usuarios bajo ciertos nombres de dominio

Para terminar, si queremos buscar, por ejemplo, si existe algún username con valor "admin" bajo un nombre de dominio, podemos utilizar el patrón admin@

Figura 13: Envío hacia el usuario admin@netwise.es

Pero esto se puede hacer con cualquier nombre de usuario del dominio y buscar si ha habido, por ejemplo alguna filtración hacia un determinado destinatario.

Conclusiones Finales

Como se ha visto, es posible acceder a información que aún no haya sido eliminada del todo en WeTransfer haciendo un poco de hacking con buscadores, así que no es una buena idea mandar información que pudiera llegar a comprometerte si cae en manos de un cibercriminal.

Tampoco utilices cuentas de correo de carácter corporativo para enviar información utilizando este servicio, ya que como se ha visto es posible conocer usuarios que están bajo ese nombre de dominio y puede que a veces coincida con el nombre de usuarios de servicios como Apache, FTP, SSH, etc. Además, no es una buena idea tener cuentas de correo corporativas del tipo admin@, ya que da una idea de cuál es el nivel de madurez en seguridad informática con el que cuenta esa organización.

Autor: Amador Aparicio de la Fuente (@amadapa)

Ayer publicamos en el blog de Eleven Paths un artículo sobre cómo utilizar Latch en Jenkins para que todos los que utilizan esta plataforma de integración continua puedan usar nuestro sistema de 2º Factor de Autorización en ella. Al final, dentro de nuestro trabajo intentamos fortificar todas las tecnologías con las que trabajamos internamente, así que hemos depurado algo que ya habíamos implementado en nuestros sistemas para que pueda ser utilizado por todo el mundo que quiera.

Si no eres de 450.000 usuarios que tiene a día de hoy Latch porque no conoces el sistema, te dejo una de las muchas charlas que di en el pasado sobre esta tecnología para que entiendas cuál es el pensamiento que nos llevó a crear esta pieza de nuestra visión de cómo debe ser un sistema de autenticación hoy en día.

La lista de plugins que tenemos hoy en día ya es muy larga y puedes acceder a todos ellos dentro del área de developer en la web de Latch. Como puedes ver, allí, en la sección de Plugins & SDK ya está disponible el último plugin que hemos lanzado.

Pero la lista es larga, y probablemente seguirá creciendo mucho. Además, hay integraciones de plugins que no son nuestras directamente, pero que están disponibles porque las ha hecho la comunidad. Desde integraciones en Django hasta plugins para el framework Laravel PHP. De todas ellas he intentado ir hablando por aquí, pero siempre puedes ir a la sección de documentación en la web de Latch o preguntar en la Comunidad de Eleven Paths para ver si hay una implementación disponible de Latch para tu sistema.

De muchos de esos plugins, además, hay vídeos disponibles en Youtube de cómo montarlos. En 10 minutos puedes aprender a proteger un WordPress, un Joomla! o un PrestaShop con Latch siguiendo los pasos de uno de los tutoriales. Hay cuatro listas de vídeos que tengo en el canal Youtube que te pueden ayudar a eso:

Al final, tras dos años y medio trabajando con Latch, el número de integraciones que hemos ido construyendo es alta, así que si necesitas alguna en particular, probablemente os podríamos ayudar, así que no dudes en contactar con nosotros para resolver cualquier duda. También está disponible para SalesForce o SugarCRM, que son algunas de las integraciones que nos solicitaron.

Como podéis ver hay una sección en la lista de vídeos de Latch dedicada al mundo del IoT (Internet of Thing). En esa lista podrás ver cómo Latch se puede integrar con diferentes partes del mundo físico, y esta tarde podrás ver cómo hacerlo tú mismo si asistes a la charla gratutita dentro de las Eleven Paths Talks que impartirá nuestro CSA Jorge Rivera. Como ya os dije, él está detrás de muchos de los proyectos IoT de integración con Latch, incluida la famosa hucha protegida por biometría y Latch que explica en este vídeo cómo funciona.

En la charla de esta tarde podrás ver cómo integrar el mundo físico utilizando alguno de nuestros SDKs para Latch que tienes disponibles en la sección de desarrolladores de Latch. Si estás en la universidad y tienes que hacer un Proyecto de Fin de Carrera o un Proyecto de Fin de Máster que quieres que sea tu carta de presentación en el mundo laboral, desarrollar alguna integración de Latch con el mundo IoT para añadir "El pestillo digital" al mundo físico puede ser una opción y tendrás nuestra ayuda. 

Como puedes ver en la image de arriba, hay SDKs para muchos entornos, así que si quieres animarte a hacer algo, no tienes excusas para no hacerlo. Aprender es un camino que se basa en hacer cosas que te aporten experiencia y conocimiento, por lo que tus proyectos personales te enriquecerán para siempre.

Saludos Malignos!