ForoExotico.es

Posted in Animales, Insectos, Personal - 20 febrero 2008 - No comment

Acabo de poner un foro nuevo, que trata sobre cualquier tipo de animal exótico (no, no es de ningún señor de la Moncloa) tales como: escorpiones, escolopendras, tarántulas, geckos y muchos más. Es una de mis aficciones y quiero compartir y aprender de todos los que tienen esta aficción (como yo). El foro está en estos momentos vacío, pero tengo la esperanza de que sea un lugar ameno para los que tenemos este hobby (y trabajo, por qué no).

También me he fijado en que no hay demasiados foros de este tipo, por lo cual me animé a comprar un dominio para compartir información con los demás.

La dirección del foro es esta: http://foroexotico.es (podéis visitarla haciendo click encima, como de costumbre) y animo a todos los que sean amantes de este tipo de animales a publicar cualquier cosa que tenga que ver con ellos como dudas sobre su alimentación, terrarios, fotos de terrarios, cría de alimento vivo y todo ese tipo de cosas que uno se pregunta cuando empieza en este mundo.

Recordad: http://foroexotico.es

Gracias a todos por entrar y por aportar algo si es que lo hacéis y sino también :)

Conoce a tu enemigo: fingerprinting pasivo.

Posted in Interesante, Internet, Seguridad, Traducción, UNIX - 20 febrero 2008 - No comment

Bueno, a partir de ahora veréis estos documentos que me parecen interesantes traducidos en la categoría nueva que he creado: Traducción.

Aquí os traigo otro, es algo antiguo pero a ver qué os parece:

Identificar hosts remotos sin que ellos lo sepan.

Algo importante de la seguridad informática es saber cómo piensan los chicos malos. Para entender tus puntos débiles y protegerte de ellos tienes que conocer a tu enemigo. El fingerprinting pasivo es un método para aprender más sobre tu objetivo, sin que él lo sepa. Puedes saber el sistema operativo entre otra cosas del objetivo siguiendo sus huellas. No es 100% efectivo, pero puedes conseguir muy buenos resultados. The subterrain crew ha desarrollado siphon, un sistema pasivo de mapeo de red y de OS fingerprinting. Además, Michael Zalewski (de los mejores en Polonia) y Bill Stearns mantienen p0f. Juntas, estas dos utilidades demostrarán lo que hemos dicho.

  • Finderprinting.

El fingerprinting de un sistema operativo ya ha sido sacado con otros programas como queso o nmap. Estas utilidades operan con el principio de que todos las pilas IP de los sistemas operativos tienen sus propias indosincracias. Más concretamente, cada sistema operativo responde de forma diferente a los paquetes corruptos. Todo lo que tenemos que hacer es una base de datos de cómo responda cada sistema a los paquetes que acabamos de mencionar. Por lo tanto, para saber el sistema operativo de un determinado servidor le enviamos una serie de paquetes. Depende de cómo responda lo comparamos con la base de datos que tenemos. Nmap de Fyodor es un programa que esa este método. Él también ha escrito un documento detallado hablando sobre ello.

  • Las firmas.

Hay cuatro partes en el TCP que deberemos revisar para determinar el fingerprinting de un sistema operativo (también podemos usar otras). Las firmas son:

  1. TTL: ell tiempo de vida de un paquete que sale de la máquina seleccionado por el sistema operativo.
  2. Window size: Qué tamaño selecciona el sistema para el paquete.
  3. DF: Si el sistema usa el bit no fragmentado.
  4. TOS: Si el sistema operativo ha seleccionado el tipo de servicio (TOS) y dónde.

Analizando estos factores de un paquete, debes ser capaz de saber el sistema operativo del servidor. Este sistema, no es 100% seguro y es más efectivo en unos sistemas que en otros. De todas formas, mirando más firmas y combinando la información aumentarán tus posibilidades de tener éxito identificando el sistema remoto. Un ejemplo sería la mejor forma de explicarlo. Más abajo tenéis una traza capturada por un sniffer de un sistema que ha enviado un paquete. Este sistema, está intenando ejecutar el exploit para mountd contra nuestro sistema, así que queremos saber más acerca de él. No queremos lanzar un finger o un nmap a la máquina porque no dejaría fuera. Por el contrario, vamos a estudiar esa información de forma pasiva. La firma ha sido capturada usando snort, nuestra herramienta pasiva en este ejemplo.

04/20-21:41:48.129662 129.142.224.3:659 -> 172.16.1.107:604
TCP TTL:45 TOS:0×0 ID:56257
***F**A* Seq: 0x9DD90553
Ack: 0xE3C65D7 Win: 0x7D78

Basándonos en nuestro criterio de las 4 de antes:

  1. TTL: 45
  2. Window size: 0x7D78 (ó 32120 en decimal)
  3. DF: El bit para no fragmentar el paquete está activo.
  4. TOS: 0×0

Entonces comparamos esta información con la base de datos de firmas. Primero, miramos el TTL usado por el host remoto. Por la traza del sniffer anterior puedes ver que el TTL está en 45. Esto nos dice que hay 19 saltos antes de llegar a nosotros. Así que el TTL original es de 64. Basándonos en esto, parece que este paquete se envió desde un GNU/Linux o FreeBSD (aunque se tienen que añadir más firmas a la base de datos). Hemos confirmado el TTL haciendo un traceroute al host. Si eres consciente de que el host remoto puede detectar el traceroute, puedes asignar el tiempo de vida de tu traceroute (por defecto 30 saltos) para que sean uno o dos menos que el host destino (opción -m). Por ejemplo, en este caso haremos un traceroute al host remoto usando solo 18 saltos (traceroute -m 18). Esto nos dará información del camino que sigue (incluyendo su proveedor) sin tocar al host remoto. Para más información sobre los TTL, revisa Research Paper on Default TTL values“.

El próximo paso es comprar el “window size”. Hemos visto que el “window size” es otro dato muy atractivo, especialmente en cómo se usa y cómo cámbian a lo largo de una comunicación. En la firma anterior, vimos que es 0x7D78 un “window size” por defecto únicamente usado por GNU/Linux. Además, GNU/Linux, FreeBSD y Solaris tienden a mantener el mismo en una comunicación (como este hizo). También, los routers Cisco (incluído mi 2514) y el “window size” de Microsoft Windows NT cámbian constantemente. Hemos descubierto que es más fácil en la fase inicial del 3-way-handshake (a causa del lento inicio de las conexiones TCP). Para más información acerca de “Window Size” revisa: Stevens, “TCP/IP Illustrated, Volume 1″ Chapter 20.

La mayoría de los sistemas tienen activo el bit DF, de valor limitado. Sin embargo, esto hace más fácil identificar los sistemas que no esan este bit activo (como por ejemplo SCO y OpenBSD). Después de muchas pruebas, también determinamos que TOS también es un valor limitado. Esto parece estar más basado en las sesiones que en el sistema operativo. En otras palabras: no hay mucha información en el sistema operativo para determinar el TOS, salvo el usado por el protocolo. Definitivamente, TOS requiere más pruebas.Así que basándonos en la información anterior, más concretamente TTL y Window Size, puedes comparar la información con la tabla de firmas para determinar el sistema operativo (en nuestro caso GNU/Linux 2.2.X).

Ten siempre presente que, como en el fingerprinting activo, el pasivo tiene limitaciones. Primero, las aplicaciones que crean sus propios paquetes (como nmap, hunt, nemesis, etc) no usan las mismas firmas que el sistema operativo. Segundo, es relativamente simple para un host ajustar el TTL, el Window Size, o el TOS. Por ejemplo, para cambiar el valor por defecto del TTL:

Solaris: ndd -set /dev/ip ip_def_ttl ‘numero’
Linux: echo ‘numero’ > /proc/sys/net/ipv4/ip_default_ttl
NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

De todas formas, combinando un conjunto de paquetes y firmas, en este caso TTL y Window Size, puedes aproximarte mucho al host remoto.

  • Otras firmas y usos.

No estamos limitados a las firmas. Hay otras áreas que pueden revisarse tales como: números de secuencia iniciales, números de identificación IP, opciones TCP o IP… Por ejemplo, los routers Cisco tienden a empezar con el número de identifiación IP de 0, a pesar de asignarlos aleatoriamente. Para las opciones TCP, la opción Reconocimiento Selectivo SackOK es muy usada por Windows y GNU/Linux pero no es muy común en FreeBSD o Solaris. Con el tamaño máximo de segmento (MSS) la mayoría de los sistemas operativos usan 1460, Novell 1368 y algunas variantes de FreeBSD 512. También pueden usarse los paquetes ICMP. El miembro de Honey Net Ofir Arkin ha realizado una profunda investigación sobre las firmas ICMP, publicando el documento “El uso del ICMP en los scaneos“. Las firmas ICMP de las que habla en este documentos pueden ser usadas para hacer “passive fingerprinting” basándonos en las firmas de ICMP. Por ejemplo, los “payload” de las máquinas Windows únicamente contienen caracteres del alfabeto, mientras que por el contrario los sistemas Unix como Solaris, GNU/Linux, etc contienen números y símbolos.

El fingerprinting pasivo (passive fingerprinting) puede usarse con muchos propósitos. Puede ser usado por los chicos malos para sacar información. Por ejemplo, para determinar el sistema operativo de una víctima potencial como un servidor web, sólo tienen que mandar un paquete para la petición de la página web, y luego analizar las trazas con un sniffer. De aquí la necesidad de usar un IDS. También puede usarse para identificar proxies como cortafuegos. Como los proxy digamos reconstruyen la conexión para los clientes, es posible sacar “la firma” de las conexiones de los proxies como hemos descrito. Las empresas pueden usar el fingerprinting pasivo para identificar sistemas indeseados en la red. Sistemas que no son autorizados a estar en la red. Quedarías de piedra si vieras cuántas compañías no saben quién está en sus redes. También permite identificar sistemas críticos como (Unisys Mainframe). También podemos usarlo para detectar sistemas que no deberían estar en nuestra red, un sistema operativo no autorizado por decirlo así. Una indicación de que tenemos un blackhat en la red.

El proyecto (HoneyNet) ha desarrollado una base de datos de muestra para demostrar todo este concepto de fingerprinting pasivo. Ha sido hecha y probada en una variedad de si stemas con TELNE, FTP, HTTP y SSH. Ya no se sigue desarrollando y está únicamente con el propósito de demostración. Si quieres contribuir al desarrollo del fingerprinting, recomendamos ayudar a los proyectos anteriormente mencionados.

  • Conclusión.

El fingerprinting pasivo te da la habilidad de saber información del host remoto, sin que él lo sepa. Sin que por sí solos los datos del fingerprinting de un sistema operativo puedan servir de algo, combinándolos puedes acercarte mucho al sistema que estés analizando. Gracias a la gente que me ayudó y me dió ideas:

Craig Smith
Peter Grundl
Subterrain Siphon Project

The Honeynet Project

Traducido por Jacob F.P.

En qué dirección sopla el viento.

Posted in Personal, Trabajo - 19 febrero 2008 - No comment

Hoy es noche de martes. Lluviosa y tormentosa noche de martes. Son las 22.04 y hoy de nuevo las malditas preguntas rondan mi cabeza. ¿Qué demonios hago? Si salgo de este agujero es para empezar con algo nuevo pero… ¿realmente vas a poder empezar algo nuevo tú sólo? Siempre has vagado de un lado para otro, buscando trabajo… has crecido… ¿pero qué tienes al final? Haz una lista de las cosas que has sacado de provecho en todo este tiempo de vagancia en lo que a trabajo se refiere. Empresitas y empresitas. Bonitos despachos, bonitas fachadas. Ya sabes por experiencia que no te debes dejar llevar por nada en la maldita entrevista porque, a pesar de lo que la gente opina uno no tiene que mentir cuando va a una entrevista de trabajo… con esta porquería de sueldo y peor aún las condiciones laborales los que mienten son los que te entrevistan a ti. Nonono… quítate esa idea de la cabeza de salirte de nuevo a la aventura a buscar nuevos horizontes fuera del pueblo porque sabes perfectamente que ese camino lleva a cobrar 1, gastar uno. El típico empate absurdo y al que está expuesto toda la juventud con los mileuristas. Definitivamente, tienes que empezar a pensar en el futuro (ahora en serio) y dejar un lado esas empresitas de despacho a un lado. ¡Dales un patada si es necesario! Si te paras a pensarlo durante un par de minutos… NO MERECEN LA PENA. Deja esa saca de dinero que está en tu cabeza pensando en la bonita empresa que te vas a encontrar en las entrevistas (léase lobos con piel de cordero) y cálmate. Confórmate con una vida calmada, el bolsillo casi lleno y no lleno de billetes del Monopoly con los que tienes que pagar al casero…

Definitivamente, tienes que empezar con tu proyecto. Eso que tienes en la cabecita desde hace ya algunos años y que estás poco a poco sacando a flote. Ya has leído en muchos sitios que, lo mejor en la vida del picateclas es montar algo propio y dejar de trabajar para los demás… lo único que conseguirás es que te estrujen el cerebro y el bolsillo. Sí… ¿por qué no? Inténtalo. Quizá te quedes asombrado de el alcance de tus ideas.

Si estás en este momento leyendo estas líneas, seguramente estarás pensando: ¿qué demonios escribes? No, no estoy loco… solo hablo en voz baja conmigo mismo.

El precio de un sysadmin.

Posted in Interesante, Opinión, Trabajo, UNIX - 18 febrero 2008 - 2 comments

Vía Attack Prevention me encuentro con este documento en donde nos pone la lista de precios de un administrador de sistemas, vamos sus tarifas. Sencillamente genial y de lo que creo que debería tomar nota más de una empresa, y más de dos.

Para ver la lista de precios haz click aquí.

Serversniff: la navaja suiza.

Posted in Friki, Hosting, Interesante, Internet, Tecnología, Trabajo, UNIX - 16 febrero 2008 - 1 comment

Se que muchos de vosotros pensaréis que ya tenéis esto en vuestra distribución de GNU/Linux o *BSD, etc etc pero tambiéne staréis de acuerdo conmigo en que mucha gente verá esta página web de gran utilidad, sobre los que trabajan en el gremio del hosting (soporte, etc) y necesitan que el usuario compruebe por sí mismo (entre otras muchas cosas) conectividad, pruebas de conexión desde otra línea que no sea la suya, etc etc.

Pues, la web que me acabo de encontrar es ServerSniff, y tenéis todo lo que necesitáis: pruebas de DNS, de SSL, whois, robots.txt…

« Previous ArticlesNext Articles »