Archivo
Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección y alarmas de Snort utilizando W3AF – Parte IX
En esta ocasión indicaré el uso de W3AF para evadir sistemas de detección de intrusos y sistemas de prevención de intrusos (IDS/IPS), en este caso concreto, se intentará indicar las pruebas que se han realizado contra Snort ejecutándose como NIDS. Para esto se utilizan técnicas de evasión en W3AF (en algunas ocasiones accediendo y modificando directamente el código del proyecto que se encuentra escrito en Python). Estas técnicas ejecutan procedimientos de evasión partiendo de la base que muchos de los IDS/IPS del mercado detectan amenazas en función a determinadas “firmas” o patrones de comportamiento que son identificados como anómalos o maliciosos. Los “tips” de evasión presentados aquí lo que realmente hacen es modificar las peticiones realizadas a un servidor web para que dichas peticiones no se ajusten a los patrones que esperan los IDS/IPS.
Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección de Snort con NMAP – Parte VIII
En la entrada anterior se han establecido las bases para utilizar Nmap y ejecutar un ataque de reconocimiento de forma “sigilosa”, evadiendo mecanismos de seguridad en el objetivo y evitando ser detectados en nuestras acciones, en este orden de ideas, anteriormente se han definido algunas de las opciones disponibles en Nmap para este propósito, inclusive se utilizó una técnica muy efectiva conocida como Idle Scan.
En esta ocasión, se intentará evadir las reglas y preprocessors de Snort para que de este modo, el escaneo efectuado contra el objetivo, sea lo mas silencioso posible, tratando de no despertar sospechas ni levantar ninguna alarma de las definidas en Snort (con las reglas y opciones de los preprocessors correctamente configuradas). Con esto en mente, se intenta utilizar diferentes opciones de Nmap para realizar el escaneo a diferentes máquinas en el segmento de red (Snort se ejecutará como NIDS) de esta forma se medirá el nivel de eficiencia de Snort y las opciones de configuración disponibles ante las diferentes técnicas de evasión existentes en NMAP.
Intentando evadir mecanismos y restricciones de Seguridad – Creando una puerta trasera y accediendo a información de usuarios usando un DEB malicioso – Parte IV
En la entrada anterior se ha indicado como crear un instalador DEB malicioso utilizando msfpayload, lo que ha permitido obtener una consola en la mÁquina remota que se deseaba atacar.
Partiendo de la publicación anterior, se intentará crear un programa simple que acceda a la información de todos los usuarios del sistema y dicha información se intentará enviar a una máquina remota por medio de un socket. A continuación se indica paso a paso, el uso de algunas librerías propias en C/C++ (en concreto, contenidas en el paquete libc y build-essencial) y como se ha codificado esta pequeña puerta trasera. El objetivo de lo que se indica a continuación, es solamente para fines ilustrativos, no se tienen en cuenta factores de seguridad vitales en la máquina atacada tales como firewalls, AV y/o IDS, de esta forma, un hacker con conocimientos medios en programación puede darse una idea de la cantidad de operaciones que puede llevar a cabo en una máquina objetivo con un vector de ataque como este.
Preservando el Anonimato y Extendiendo su Uso – Comparación de Redes Anonimas y conclusiones finales – Parte XLII
Aunque en esta serie de entradas se ha profundizado principalmente en TOR, I2P y FREENET, existen muchas más soluciones que van por la misma linea y que intentan preservar la privacidad de sus usuarios, no obstante en esta serie de publicaciones se ha optado por explicar las 3 soluciones anteriormente indicadas principalmente por las siguientes razones:
-
Estabilidad.
-
Volumen de usuarios
-
Funcionalidades
-
Resistencia a la censura.
Actualmente TOR, I2P y FreeNet son las redes que se encuentran en un estado más avanzado en los puntos anteriores, por lo tanto no se puede desestimar ninguna ni pretender que alguna es “superior” a otra, siempre es necesario tener presente que se trata simplemente de herramientas que intentan conseguir el mismo fin: Preservar el anonimato y la privacidad de sus usuarios. Sin embargo, cuando alguien desea que sus “acciones” sean anónimas, necesita conocer muy bien estas soluciones y determinar cual se ajusta a sus necesidades concretas, en algunos casos, los usuarios se decidirán por el uso de TOR dadas sus capacidades de “Outproxy” mientras que otros preferirán I2P o FREENET por sus capacidades de “Inproxy” y VPN, se trata simplemente de una decisión que el usuario debe tomar en un momento determinado dependiendo de lo que quiera hacer. No obstante es importante en este punto resaltar y comparar las principales funcionalidades de estas 3 redes con el fin de proporcionar un “marco de decisión” más amplio al usuario final e identificar cuales son los puntos fuertes y los puntos débiles de cada una de estas soluciones con respecto a las otras.
Preservando el Anonimato y Extendiendo su Uso – Freenet API, Desarrollo de plugins en Freenet – Parte XLI
Anteriormente se ha mencionado la posibilidad de crear aplicaciones en I2P utilizando librerías como Streaming Library y BOB, desde FreeNet también es posible crear aplicaciones (en este caso concreto, Plugins) que permitan ejecutar diversas operaciones utilizando FreeNet como pasarela, estos Plugins como se ha enseñado anteriormente, pueden contener código que permita interactuar directamente con el nodo de FreeNet o interactuar con otros nodos disponibles en la darknet. En caso de FreeNet, el uso de las librerias disponibles es bastante similar a I2P, ya que cuenta con una API de Java bastante completa, aunque desafortunadamente con muy poca documentación disponible, por lo tanto es necesario investigar por cuenta propia, estudiando el código disponible en algunos de los plugins existentes, tales como Thaw, FreeMail o jSite. En este punto, la intensión de esta publicación, es permitirle al lector un punto de inicio en el desarrollo de plugins en FreeNet sin profundizar demasiado, (esto se hará en proximas publicaciones de este blog).
Preservando el Anonimato y Extendiendo su Uso – Interactuando con Freenet desde TCMI – Parte XL
En la publicación anterior se han indicado los conceptos básicos introductorios para manejar un nodo FreeNet desde linea de comandos, en esta ocasión se explicarán los principales comandos para la interacción entre el nodo local y la red de FreeNet desde TCMI.
INTERACTUADO CON FICHEROS
Los comandos que se enseñan a continuación son interesantes en el sentido de que permiten subir contenidos a FreeNet, crear y administrar claves. A continuación se indican dichos comandos y su uso:
PUTFILE
Sube un fichero que se encuentra ubicado en el sistema de ficheros local a FreeNet.
| TMCI> PUTFILE:/home/adastra/file.txt Expected hashes Compressed data: codec=-1, origSize=45, compressedSize=45 Completed 0% 0/1 (failed 0, fatally 0, total 1, minSuccessFetch 1) Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) Completed 0% 0/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized total) Completed 50% 1/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized total) Completed 100% 2/2 (failed 0, fatally 0, total 2, minSuccessFetch 2) (finalized total) Attempting to read file /home/adastra/file.txt using MIME type: text/plain URI: CHK@6xW-CwEp5uSpsb7u7pqlQJpfDORfWo5hLlV8pAc6e38,cKBwXQ5ug0sIgPeZUA0O9jv7r8l6NvY5ut0Et4S-zRw,AAIC–8/file.txt Upload rate: 0.10816709653072065 bytes / second |
Preservando el Anonimato y Extendiendo su Uso – Introducción a Text Mode Client Interface (TCMI) – Parte XXXIX
Una característica interesante (y bastante útil en algunos casos) es la capacidad que tiene FreeNet de permitir que clientes que no utilizan interfaces X11 puedan acceder a la configuración del nodo e interactuar con sus valores desde una consola de texto estándar (estilo UNIX). Este interprete es conocido como Text Mode Client Interface (TCMI). Desde esta herramienta es posible hacer cosas como subir contenidos y consultar diferentes tipos de claves en FreeNet.
adastra
