Fue interesante ya que Karl Heinz me comento que no querian en la platica una fuerte cantidad de codigo ya que no querian invitar a la creacion de script kiddies, le comente que no habria problema que no publilcaria ningun fallo, o ninguna tecnica en especifico pero que era muy raro para mi dar una conferencia sin codigo, finalmente llegamos a un compromiso y la conferencia iba a ser “Como ser un buen auditor de seguridad” la cual ya estando ahi cambie por “Pentesting: Seguridad generada por ‘Hackers’” el titulo como siempre puede ser controversial pero bueno daba un mejor enfoque a algunos puntos en especifico que tengo sobre la seguridad en estos momentos en Mexico.

Invitados a FLISOL Monterrey estuvieron tambien:

- Gunnar Wolf
- Ruben Aquino
- VoX (En Sustitucion de la persona del taller de GnuPG que no fue)
- Ricardo Lira
- Otros

Nos pusimos de acuerdo Gunnar, Ruben y yo para vernos e irnos juntos al aeropuerto porque saliamos en el mismo vuelo el viernes en la noche, Ruben no pudo llegar y perdio el vuelo por 5 minutos (literalmente) a lo cual tuvo que cambiar su vuelo para el dia sabado en la mañana para poder llegar a dar su platica.

Gunnar y yo llegamos y estuvimos platicando de todo, estados de comunidad, seguridad, tendencias, cervezas, #mendozaaaa, etc. llegamos y nos recogio muy amablemente la Universidad Regiomontana y nos llevo al hotel que la verdad estaba excelente, como siempre la gente regiomontana son excelentes anfitriones, con decirles que ni le hable a mi hermana y eso que vive ahi, me falto tiempo (ya sabian que seria dificil vernos) y era el reencuentro despues de andar por el DF tanto tiempo regresar el “terruño”.

En la noche paso Karl Heinz por nosotros para cenar, conocimos a mas personas involucradas en el FLISOL y fuimos rapidamente a la sede para ver las instalaciones. Telmex patrocino 2 lineas de 4 Mbit para el evento para que los updates no tuvieran ningun tipo de problema, ademas mando el beta de su nuevo router, que me quede con ganas de
jugar con el pero a ver si consigo uno para mi unas semanas, para ADSLv2 y que vieramos que tal funcionaba y que tal nos gustaba. Sinceramente a mi no me gusto la interface, es un Modem Tompson y que Dios me libre no me deja configurar mas que 3 cosas, del servidor DHCP no me deja configurar el lease, el cual tiene un grandisimo tiempo … 26 segundos, pero bueno a caballo dado no se le ve colmillo.

Nos fuimos a dormir y prepararnos para el dia siguiente.

El sabado en la mañana comenzamos el dia a las 8:30 con un desayuno rapido y salimos a la conferencia, ya estando en la conferencia comenzamos a ver a la gente que llego, llego bastante gente, pero lo interesante es que llegaron un monton de GUL! La verdad estuo bastante bien, comenzo las platicas Gunnar, quien fue bastante chistoso porque
utilizo la maquina que tienen para la presentacion, que tenia ….. ¿Windows XP? jajaja lo cual causo el primer chiste y rompio el hielo y comenzo el FLISOL!

La platica de Gunnar Wolf fue bastante interesante, sobre todo que esta basada en la parte del administrador, y tiene una parte sobre software libre, la implementacion y que en realidad es software libre y lo que significa tanto generalmente como para la seguridad.

Al final estuve a punto de ceder mi tiempo a Gunnar cuando alguiuen le comento que que pensaba sobre el caso del standard OOXML, pero se contuvo y pudimos seguir rapidamente con las platicas, dieron un descanso de 5 minutos para la siguiente conferencia (yo).

Despues de como 15 minutos porque la gente no entraba y porque algunas personas se fueron al taller de GnuPG que estaba dando VoX comenzamos, mi platica esta embedida aqui asi que la pueden ver, en realidad son la compilacion de las preguntas que mehan hecho sobre como poder entrar al rubro de la seguridad como pentester, investigador y generador de seguridad a todos los niveles.

Mostre un poco de codigo e hize enfasis en algo por lo que he luchado que se comprenda durante ya casi 8 años: “La seguridad basada en tigres de papel no sirve, debe ser implementada, mantenida y generada desde sus bases: la programacion, el sistema operativo y la interaccion de la red y sus elementos con los usuarios”.

Asi mostre algunas de las investigaciones que he generado, algunas cosas chistosas que he encontrado y termine mi participacion, no sin antes tener un tema de controvercia:

Cuando estaba hablando de que tener para pentesting comente que se debian conocer varios lenguajes, sin embargo en las preguntas me hicieron una interesante, “¿Porque hay tantos fallos en porcentaje respectivo con el total de programas en el lenguaje PHP?”, mi unica respuesta es “La cultura de la programacion en PHP”, se que incrementara una guerra
de flamas a la cual no quiero ni tener que llegar con traje de asbesto asi que aprovechare para clarificar:

Mucha de la cultura asi como del enfoque de PHP fue generado a la creacion y programacion rapida de un entorno web, asi como conexiones con otras cosas, pero tiene la filosofia de “si funciona esta excelente”, he visto aleluyas por codigo de mas tipo spaggetti de este siglo en lugar de la simplicidad y la belleza, se que es un lenguaje nuevo, sin embargo es un lenguaje con cosas como global registers on, con no sanitizacion de input automatico y con otras cosas conlleva a un falso sentido de la seguridad, si debe ser facil alguien debe
llevar ese sentido y restringirlo para que no haya problema con los nuevos, ya sea que se les diga que hacer y como hacerlo o simplemente poner en el default la negacion del mismo, global registers fue default ON hasta PHP 5.

Espero que la cultura de los programadores de PHP se mueva mas a la seguridad y se mueva mas a la belleza de la simplicidad de codigo, ¿porque tirar 30 lineas cuando puedes tirar 5? Aun mas, espero que los programadores nuevos comiencen a tomar decisiones de lenguajes, porque intentar hacer algo en web con C (por ejemplo una pagina) si lo puedo
hacer con PHP que es para web, pero porque hacer arquitecturas cliente/servidor con PHP si tengo lenguajes que son mas eficientes en eso?

En fin, seria un debate el cual rivalizaria con si existe una comunidad de Linux en Mexico …

Despues hubo varios talleres y ponencias en donde se expresaron cosas interesantes como “parchar no sirve”, “hacer pentesting no lleva a nada” y que “las politicas son donde hay que ir” claro que esto lo dijo una persona que se dedica a esto, me puso un poco triste porque desgraciadamente esta fuera de la realidad, pero cada quien con sus problemas yo dudo que este correcto el 30% de las veces de todos modos.

En la tarde se tuvo que ir Gunnar, nos despedimos y me fui a dormir un poco al hotel para prepararme par ala fiesta del a noche, no sin de verdad haberme reprochado no poder presentarme con una chava mega guapa que es linuxera, ni modo mi timidez me gano mal plan, hasta instalo linux en su ipod y varias cosas.

Como a las 11:00PM nos lanzamos Heinz y yo para barrio antiguo para la fiesta que fue en el Anana, llegamos a 3 cuadras de la fiesta, y me pregunto si queria ir a un antro medio under techno, no pude decir que no llegamos y nos dijeronque ese dia habia “Un show de unos chilenos”, pagamos el cover comenzamos a chelear y resulto que el grupo de chilenos era el grupo queu cantaba “Esterechez de corazon” que ahora estan mucho mas metidos en el spycho y el trance, en el inter de los cambios de sus canicones hizo remixes de micheal Jackson, musica de los 80s, hasta los beegees, lo increible es que lo cantaba y las canciones hasta la de los beegees le salieron igualitas, estuvimos ahi cantnado y cheleando hasta que termino el show, de ahi salimos y nos volvimos a perder en el mar de bares, regresando al hotel a las 7AM solo para dormir 1 hora y levantarme para regresar en avion.

Quiero expresar mi agradecimiento a los organizadores de FLISOL y en especial a Karl Heinz por todo su apoyo, cordialidad y buscar que todos nos sintieramos a gusto, definitivamente para mi un excelente evento!

¡Nos vemos en el BugCON!

#include < stdio.h >
#include < unistd.h >
int funcion1(char *linea) {
printf(”orale entro a funcion1\n”);
return 0;
}
int funcion2(char *linea) {
printf(”entramos a funcion2 %s\n”, linea);
return 0;
}
int main(int argc, char **argv) {
if(argc < 2) {
printf("Uso: %s < palabra >\n”, argv[0]);
return -1;
}
printf(”ahora mandamos ejecutar funcion1\n”);
funcion1(argv[1]);
printf(”ahora ejecutando funcion2\n”);
funcion2(argv[1]);
printf(”terminamos\n”);
return 0;
}

la salida del archivo es la siguiente:

root@firebolt f00 # gcc -o normal normal.c
root@firebolt f00 # ./normal www.soldemorelia.com.mx

Ahora mandamos ejecutar funcion1
se mando www.soldemorelia.com.mx a funcion1
ahora ejecutando funcion2
se mando www.soldemorelia.com.mx a funcion2
terminamos
root@firebolt f00 #

Un programa que es flexible es el siguiente:

#include < stdio.h >
#include < unistd.h >
struct ejemplo {
int id;
char *nombre;
int (*execute)(char *linea);
};
int funcion1(char *linea) {
printf(”se mando %s a funcion1\n”, linea);
return 0;
}
int funcion2(char *linea) {
printf(”se mando %s a funcion2\n”, linea);
return 0;
}
struct ejemplo f[] = {{1, “funcion numero 1″, funcion1},{2, “function numero 2″, funcion2}, {0, NULL, NULL}};
int main(int argc, char **argv) {
int i = 0;
if(argc < 2) {
printf("Uso: %s < palabra >\n”, argv[0]);
return -1;
}
printf(”ahora mandamos ejecutar funcion1\n”);
f[0].execute(argv[1]);
printf(”ahora ejecutando funcion2\n”);
f[1].execute(argv[1]);
printf(”terminamos\n”);
return 0;
}

El codigo es un poco mas largo pero si se quisiera agregar una funcion extra solo se tendria que agregar la funcion y una linea a a estructura, esto da la posibilidad de hacer funciones o cambiar funciones al vuelo y decir “si la palabra es asi has esto si no has lo otro” sin utilizar tanas lineas de codigo y mucho mas facil de leer y mantener.

Regresamos al codigo puro! La proxima semana veremos un programa que nos deja checar servidores y que utiliza ¡funciones flexibles!

Tomando el ejemplo de Sandino, daremos nosotros lo que se debe de hacer para
contrarrestar a “Tu Peor Enemigo”.

“Yo no he cambiado Nada” — Tu Peor Enemigo: El Otro Administrador.

Esta frase la he oido de clientes, administradores, estudiantes y hasta familiares: “Yo no he cambiado nada”, “Solo dejo de funcionar”, “De la nada ya no jala”,etc.

Esta frase es la peor frase que se puede oir sobre todo a altas horas de la noche o muy muy temprano en un dia de trabajo, ya que sabemos que habran cientos de llamadas de usuarios que no podran usar este servicio. Tuve yo un encuentro con el peor enemigo en una compañia a la que le daba servicio, siendo rarisimo que dejaran de usarse los servicios tuve que obviamente
ponerme a trabajar para detener a uno de los peores enemigos: “El Otro Administrador”

Obviamente restriccion de privilegios no funcionara ya que el tambien es administrador y el debe de tener privilegios para reiniciar servicios, hacer cambios requeridos, etc.

El problema entonces se refiere tanto a saber que se cambio, como a mantener una función que inhabilite los cambios en servicios que son criticos.

¿Cuales son los servicios criticos? En este caso era:

• Servidor de Correo (Postfix)
• Servidor de Web (Apache)
• Servidor de base de datos (MySQL)

Ok entonces tenemos varios archivos que tienen la posibilidad de ser cambiados, teniendo asi un problema serio en los servicios, asi como el reinicio de los mismos y los logs.

Podemos tener aqui varias soluciones, la mas facil:

• Instalar AIDE o algo parecido

El problema es que entonces el otro administrador va a querer administrar también nuestra base de datos de seguridad, lo cual nos deja no nada mas igual, si no peor.

Podemos crear rápidamente una base de datos con firmas md5 y tener un simple chequeo de cambios y que mande un correo con los cambios, ¿Como podemos crear una base de datos de ese tipo?

En una simple linea de comando:

find  -print | xargs md5sum > archivo_de_firmas.md5

Es decir, en nuestro ejemplo tenemos postfix:

find /etc/postfix -print | xargs md5sum > postfix_signatures.md5

Para Apache:

find /etc/apache2 -print | xargs md5sum > apache2_signatures.md5

En caso de que fuese apache.1.X.X:

find /etc/apache -print | xargs md5sum > apache_signatures.md5

o

find /etc/httpd -print | xargs md5sum > apache_signatures.md5

Teniendo ya esto podemos simplemente verificar las firmas dando el siguiente comando:

md5sum -c postfix_signatures.md5

lo cual nos daria un resultado de OK en caso de que las firmas fueran las
mismas.

¿Para que nos ayuda esto?, siendo md5 una firma del archivo cualquier cambio
que se le haga, aunque sea de una letra, un byte, cambiaria la firma dando asi
una veruficacion del cambio y nos puede dar una pista de donde estuvo el
cambio que genero el problema en realidad.

Un ejemplo con un directorio simple:

Obviamente esto puede ser incrementado hasta para un sistema operativo completo PERO hay que tomar en cuenta que cosas como los logs, utmp, wtmp, etc. cambian con el uso del servidor.Esto puede agregarse al crontab para que corra cada hora (o hasta cada 10 minutos si de verdad el enemigo es agil, rapido y con presteza para romper las cosas). Un ejemplo de crontab que corre cada 15 minutos y manda un correo con el output es:

#Poner SHELL y mandar correo con MAILTO
SHELL=/bin/sh
MAILTO=enrique.sanchez@security-dojo.com
#
# corre cada 15 minutos
*/15 * * * *       md5sum -c $HOME/fingerprints/apache2_fingerprints.md5

Podemos decir que hemos derrotado a nuestro enemigo, sin embargo tenemos otro problema, este es un remedio reactivo, el daño ya fue hecho y ahora tenemos que limpiar el problema. ¿Qué podemos hacer entonces?

El siguiente paso de defensa sobre nuestro peor enemigo: chattr

Este paso me sirvio muchisimo en una empresa donde todo el mundo movia cosas y “no movi nada” era la respuesta mas importante, sobre todo porque “el backend es tu problema no el mio”, en cuanto aplique la siguiente técnica el director
general supo rapidamente quienes movian las configuraciones, ya que se quejaron de que no podian hacerlo mas, siendo que “Nunca antes lo habian hecho” como ellos mismos dijeron.

chattr es una herramienta indispensable, que desgraciadamente no funciona en el sistema resiserfs (ya que reiser usa cosas mas complejas que ext2 y ext3) pero en ext2 y ext3 (que la mayoria de la gente usa) son excelentes.

La herramienta lsattr nos deja ver los atributos del archivo, el atributo que veremos por el momento es inmutable (i) si damos rapidamente un lsattr a httpd.conf podemos ver lo siguiente:

firebolt apache2 # lsattr httpd.conf
-------------- httpd.conf
firebolt apache2 #

Lo cual nos dice que no tiene ningun atributo por lo cual podemos editarlo de la siguiente manera:

firebolt apache2 # echo cambio >> httpd.conf
firebolt apache2 # tail -3 httpd.conf

# vim: ts=4 filetype=apache
cambio
firebolt apache2 #

Ahora hagamos el archivo inmutable, esto quiere decir que este atributo le
dice al sistema queu aun siendo root no puede modificarse, ni borrarse:

firebolt apache2 # chattr +i httpd.conf
firebolt apache2 # echo cambio >> httpd.conf
-bash: httpd.conf: Permission denied
firebolt apache2 # lsattr httpd.conf
----i--------- httpd.conf
firebolt apache2 #

¡EXCELENTE!

Ahora si queremo editarlo simplemente podemos remover el atributo de inmutable al archivo y podremos editarlo:

firebolt apache2 # chattr -i httpd.conf
firebolt apache2 # echo cambio2 >> httpd.conf
firebolt apache2 # lsattr httpd.conf
-------------- httpd.conf
firebolt apache2 # tail -3 httpd.conf
# vim: ts=4 filetype=apache
cambio
cambio2
firebolt apache2 #

El siguiente es un ejemplo de como usar chattr:

Estas dos técnicas son básicas para comenzar a detener al otro admin, la educación asi como la experiencia iran ayudando al otro admin para poder tener mejor control sobre su servidor (si es que quiere tener control de su servidor)Espero que con esto este peor enemigo pueda ser detenido al menos un poco.

Una aplicación contiene errores debido a que el programador no fue enseñado con seguridad en mente, en realidad no habla nada de su experiencia sino que es un campo nuevo y que se lleva rapidamente en la expansión de técnicas y formas de explotación.

Libros y clases estan llenas a veces de errores, reuso de código asi como toma de ejemplos y políticas de programación puede afectar hasta el punto de crear una aplicación vulnerable, estas vulnerabilidades pueden ir desde suplantación de identidades, robo de contraseñas, toma de control de la aplicación, toma de control del servidor, etc.

Estas aplicaciones se ejecutan en servidores que contienen información como correos, planes de ventas, mercadotecnia, asuntos personales de altos ejecutivos, etc. Los cuales conllevan un riesgo y un valor añadido a la red.

Un Penetration Testing, también llamado hackeo ético, es un ataque controlado por consultores que conocen técnicas hackers o hackers de sombrero blanco (Whitehats) que descubren y explotan fallos de seguridad dentro de la red y los reportan, reduciendo el riesgo de la red asi como de los aplicativos e información dentro de la misma.

¿Inversión o Gasto?

En mi experiencia he tenido que contestar la siguiente pregunta mas de una vez:

¿Porque si mi aplicación costó X el costo de auditarla es Y? (Donde X < Y)

Creo que la respuesta mas obvia es:

-. El valor real de la aplicación puede ser definida por la siguiente ecuación de riesgo:

COSTO APLICACION

+ COSTO INFORMACION
+ COSTO DOWNTIME
- AMORTIZACION COSTO APLICACION
+ MANTENIMIENTO
___________________________________
= COSTO TOTAL DE APLICACION

Como se puede ver en la ecuación anterior el costo de la aplicación es solo la inversión inicial, intangibles como COSTO INFORMACION y COSTO DOWNTIME deben ser generados en un analisis de riesgo informático ya que son los costos generalmente mas grandes debido a que el COSTO DOWNTIME es:

COSTO OPERACION
+ PERDIDAS MERCADOTECNIA (MARCA, ETC)
+ VENTAS PERDIDAS (En caso de ventas por Internet o sistemas criticos abajo)
____________________________________
= COSTO DOWNTIME

La importancia de una auditoría de código radica en la reducción de los factores de riesgo haciendo que la probabilidad de ocurrencia baje a lo minimo. Esto nos da un ejemplo de riesgo:

Una aplicación de 50,000 MXN maneja 3,000,000 MXN el costo de downtime es de 50,000 por hora y el mantenimiento es de 5,500 MXN al mes.

Si la aplicación tiene un riesgo del 75% de ser atacada y perder los datos, ser modificados o comprometer el servidor, el riesgo real que debe de reportarse es de:

(50,000 + 3,000,000 + (50,000 * 3) + 5,500) * 75% = 2,404,125 MXN

Este riesgo tiene una probabilidad de generarse en un 100% en un tiempo cercano (debido a la interacción de la variable del 75% esta ya prorrateado al tiempo de 1 año)

Este tipo de riesgo es simplemente inaceptable en la mayoria de las compañias, al auditar la aplicación se encuentran los fallos, se arreglan y por lo tanto la probabilidad de ser atacada y perder datos, modificarlos o comprometer el servidro baja, por ejemplo un 25% del ejemplo anterior seria:

(50,000 + 3,000,000 + (50,000 * 3) + 5,500) * 75% = 801,375 MXN

Lo cual es una reducción de riesgo considerable, tomando en cuenta que la auditoria costara 1,000,000 MXN aun asi habria un ahorro de aproximadamente 600,000 MXN neto dentro del primer año.

Esto es importante debido a que la mayoria de las compañias estan tomando la opcion del “open source” como una opcion barata, pero descuidan el recordar que no es gratis su mantenimiento y que el riesgo sigue estando vigente y que debe mantenerse de manera administrativamente responsible para la empresa.

El que sea una aplicación desarrollada en un lenguaje libre o con licencia libre (dicese GPL, BSD, etc) no lleva a que sea gratis su mantenimiento ni que el riesgo que lleva sea pequeño. Por lo tanto se debe tener una gran calidad de trabajo o asegurarse de las credenciales de quien hace el trabajo.

Es buena practica el pedir un demo de lo mismo o requerir una maqueta en caso de tener un desarrollo desde el diseño o la implementación de algun esquema medianamente complejo a muy complejo.