¡Hola a todos! Hace un par de días perdí la partición donde tenía mi /home. Afortunadamente pude recuperar el 98% de los archivos que necesitaba. Es decir, en realidad no me interesaba recuperar imágenes, música, etc… lo único importante era recuperar los archivos PHP con los que había estado trabajando.

Aclaro esto puesto que esta entrada se va a enfocar en la configuración manual de Foremost, un programa para hacer carving, de tal manera que rescatemos solamente aquello que realmente nos interesa. Existen otros programas, pero este fue el que realmente me ayudó en esos momentos de pánico.

¿Cómo funciona? Foremost trabaja con imágenes generadas con dd o particiones directamente, y se basa en el análisis de encabezados y footers de los archivos para ‘extraer’ lo que se pueda salvar.

Dicho esto, tienes dos opciones:

• Si tienes otra partición con suficiente espacio para almacenar un backup de la partición a ser tratada, puedes usar el comando dd y luego trabajar sobre esa imagen. En esta entrada se explica con más detalle cómo hacer esto.
• Si no tienes espacio (tal como me ocurrió a mi), puedes trabajar directamente sobre la partición (i.e. el archivo /dev/sdaX ó /dev/hdbX, etc.). Solo ten en mente que NO deberías montar dicha partición, al menos no en modo de lectura-escritura.

Instalación de Foremost

La instalación es bastante sencilla ya que Foremost se incluye en prácticamente todos los repositorios de cualquier distribución. Así que puedes usar tu gestor de paquetes preferido. Siendo tan sencilla la instalación por repositorios, solo me queda mostrar la instalación manual que es incluso más sencilla… descargamos la última versión de Foremost (1.5.6 al momento de escribir esta entrada), descomprimimos, compilamos e instalamos:

Ejemplo básico de uso de Foremost

El siguiente comando de ejemplo es un de los tantos cientos de miles que te encontrarás en la red… no me enfocaré mucho en este aspecto porque ya se encuentra muy bien documentado:

Básicamente le estamos diciendo al Foremost que busque archivos de tipo PDF en el archivo de imagen (creado con dd) imagen.iso y que los guarde en pdfs-recuperados. Lo único que nos interesa recalcar en este punto es que Foremost tiene un set de archivos predefinidos de los cuales conoce su header y footer (como los PDFs en este caso); este set se compone de los archivos más comunes (imágenes  y videos en diferentes formatos, archivos de office, zips, etc.) Pero… ¿qué pasa con otro tipo de archivos menos comunes? Tranquilo, ya vamos para allá

Ejemplo de configuración del Foremost

Foremost puede ser configurado mediante un archivo (por defecto: /etc/foremost.conf) de tal manera que no tengamos que especificar el tipo de archivo a buscar y, lo que es mejor, podemos definir nuestros propios tipos de archivos. En nuestro ejemplo, te meterás en mis zapatos, te imaginarás que has perdido el trabajo de tres días y que tu objetivo es rescatar unos cuantos archivos de PHP.

Entonces… ¿por donde comenzar? Bien… lo primero es echar un vistazo al archivo /etc/foremost.conf en donde puedes encontrar patrones de búsqueda para diferentes tipos de archivo (de hecho, son las que usa Foremost cuando usamos el flag -t). La sintáxis de estos patrones es sencilla y consta de una sola línea; esta línea tiene los siguientes parámetros separados por espacios o tabulaciones:

• Extensión del archivo… ¿debo explicar esto?
• Definir si se debe hacer distinción entre mayúsculas y minúsculas al buscar el header y footer del archivo. Pon ‘y’ si deseas que sea case-sensitive o ‘n’ en caso contrario.
• Tamaño máximo del archivo.
• Encabezado: lo que se debe buscar en los encabezados de los archivos; puede ser especificado en texto plano o, mejor aún, en hexadecimal.
• Footer (opcional): lo que se debe buscar al final de los archivos; puede ser especificado en texto plano o, mejor aún, en hexadecimal.

Por ejemplo, este es uno de los que se encuentra configurados por defecto en el Foremost:

jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9

Básicamente busca archivos con extensión .jpg y con un tamaño máximo de 20000000 bytes. Además especifica uno de los posibles encabezados que un archivo tipo JPEG puede tener (\xff\xd8\xff\xe1) y su footer (\xff\xd9).

Como puedes ver, el encabezado y el footer pueden ser especificados en hexadecimal. Esto es bastante útil ya que en muchos casos no necesitamos simples archivos de texto sino que podríamos querer recuperar uno binario. En cualquier caso, es recomendable usar hexadecimal… pero ¿cómo se qué debo poner? Bien… recuerda que tu misión es recuperar los archivos PHP, así que… ¿qué tal si creamos uno para ver cómo se ve en hexadecimal?

Creamos entonces un archivo con el siguiente contenido y lo guardamos como test.php:

<?php
if($meLoTire){
	echo "o_O mode-panic:on";
}
?>

Ahora debemos abrir este archivo con algún editor hexadecimal. Si usas Gnome, Ghex es una buena opción (sino, también)… lo instalas desde los repositorios y con él abres el archivo que acabas de crear… este lucirá así:

¡Ahora ya podemos configurar Foremost como expertos, puesto que ya sabemos qué hexadecimales poner! Cada caracter del archivo que creamos equivale a un valor en hexadecimal y nos interesa enfocarnos en la representación hexadecimal de “<?php” puesto que así comienzan los archivos en los que estamos interesados.

Así que para este caso, los hexadecimales son 3C, 3F, 70, 68 y 70. Por lo tanto podemos crear un nuevo patrón dentro de /etc/foremost.conf que luzca algo así:

php y 100000 \x3C\x3F\x70\x68\x70

Si queremos ser más precisos podemos especificar el footer:

php y 100000 \x3c\x3f\x70\x68\x70 \7d\0a\3f\x3e

Fíjate que he definido un footer bastante concreto que hará que Foremost busque archivos que finalicen con un ‘}’ seguido de un ‘Enter’ (retorno de carro) y finalmente con “?>”. Una vez hayamos terminado de configurar los patrones con los que queramos iniciar la búsqueda, guardamos y cerramos el archivo.

Puesto que es el archivo por defecto no es necesario especificarlo al momento de ejecutar Foremost. Esto por supuesto implica que puedes crear un archivo con patrones en cualquier otro lado, y en tales casos debes referencialo con el flag -c. ¡Que comience el carving!

Como puedes ver, no especificamos ningún tipo  de archivo así que Foremost se enfocará en aquellos configurados en el archivo .conf. Además, en este caso estamos especificando directamente la partición. Esto podría llevar un rato, así que tienes tiempo de leer algo entretenido ¿qué tal esta bonita guía sobre Vi? ¿o esta otra sobre un hermoso Gentoo/BSD?

Una vez Foremost haya terminado su trabajo… el tuyo apenas comienza. Aunque Foremost es un excelente programa, los resultados no pueden ser 100% confiables (¿hay algo que lo sea?). Y para empeorar las cosas, Foremost NO recupera los nombres de los archivos. En vez de ello, crea una secuencia de archivos numéricos con la extensión; cosas como 8392383874.php ó 239492782.php ¿chévere, no?

Todo parece que pasaremos un buen rato jugando con nuestro querido amigo GREP; y es que este maravilloso comando puede ser realmente útil en estos casos. Así que aquí van algunos comandos que te podrían servir:

• grep busqueda changos.ext
  Busca la cadena ‘busqueda’ dentro del archivo changos.ext
• ¿qué tal una búsqueda en todos los archivos? Esto podría servir para nuestro caso de los PHP:
  cat *.php | grep -l cosa_a_buscar
• ¿y si queremos buscar un string en varios archivos que se encuentran en diferentes directorios? Este comando es de los que más uso a diario:
  find /ruta/ -exec grep -l cosa_a_buscar {} \;

Cosas por considerar

• Existe una gran probabilidad que los datos recuperados no estén del todo bien formados. Por ejemplo, podrían tener “basura” dentro. Esto es posible de corregir en archivos de texto, ya que solo necesitas un editor decente y un par de minutos para “ver qué te sirve”.
• Si los archivos recuperados tienen basura dentro, es mejor usar editores de texto en consola que no se quejan tanto al momento de editarlos. Gedit simplemente no los abre.
• Algunas veces los archivos quedan fragmentados; esto es, en un archivo recuperado queda una parte de lo que buscas, y en otro queda el restante. Por esto, es bastante útil que uses herramientas como Meld (excelente por cierto).  Considera este ejemplo de la vida real: en el archivo blablaa.php tenía parte inicial del archivo mientras que en blebelbel.php tenía el resto:

Esto es difícil de notar ‘a ojo’, por lo que puedo decir que Meld me salvó el trasero una vez más (y de paso se ganó una donación). Así, combinando el trabajo de Foremost y la ayuda de Meld pude recuperar prácticamente todo lo que necesitaba.

Pero, te repito, si fuesen archivos binarios los que quieres rescatar la cosa sería mucho más difícil. En este caso, ‘la basura’ se puede identificar fácilmente dentro del archivo, y de la misma manera se puede eliminar. En una archivo binario sin embargo es un poco más difícil.

Otros buenos programas con propósitos similares

• TestDisk (aka, PhotoRec)
• Scalpel
• Magic Rescue
• Sleuth Kit y Autopsy
• Sleuthkit

Uff… ya llevo bastante sin pasarme por este, mi querido blog. Puesto que ya no cuento con el mismo tiempo de antes es muy poco lo que puedo publicar; así que, aprovecho a colocar trabajos de la universidad que, de una u otra forma, podrían serviles a alguien. El video tutorial que verán a continuación con tiene una pequeña (muy pequeña) introducción a lo que son los shellcodes en Linux:

También lo subí a Youtube, por si no te gusta blip.tv. No es definitivamente el mejor video que hemos hecho, pero de seguro le será útil a alguien. Si deseas necesitas el video original, me puedes escribir solicitándolo, aunque creo que es suficiente con que esté en internet; no pongo el link descarga por cuestiones de recursos

Te recomiendo además esta animación en donde se explica qué es y cómo funcionan las vulnerabilidades de buffer overflow.

Descargar Paper

Algunas veces abuso de este espacio y pongo cosas que quizás a nadie le interese, pero la verdad es que, cuando no escribo lo que aprendo, se me olvida muy rápido. Aquí va uno de esos tutoriales raros, espero no moleste al lector habitual.

El objetivo de este mini-auto-how-to es explicar paso a paso cómo instalar los drivers iwlagn para, en mi caso, una tarjeta Intel Wireles 4965AGN, con los parches que habiliten la inyección de paquetes, lo cual es útil/necesario cuando estamos auditando redes inalámbricas y descifrando claves WEP o WPA(2).

En mi caso lo he hecho sobre Gentoo, corriendo el kernel Linux 2.6.27. Y aquí explico un par de cosas, para hacer este tutorial compatible con otras distros:

• Cuando se trabaja con Gentoo, es muy común tener el código fuente del kernel de Linux descargado puesto que, en el momento de la instalación, se compila manualmente. En otras distros, lo más probable es que no lo tengas. En cualquier caso, la mejor manera de disponer de las fuentes de Linux es: en Gentoo ejecutar el comando emerge gentoo-sources; en otras distros, descargar las fuentes directamente de la página oficial, copiar y descomprimir el archivo en la carpeta /usr/src.
• Puesto que vamos a recompilar los drivers, y probablemente el kernel, es necesario contar con las herramientas básicas de desarrollo (gcc, make, etcétera).

1. Preparar el kernel

Antes de poder instalar los drivers, es necesario que el kernel se encuentre en ciertas condiciones. Así que vamos a la carpeta donde tengamos el código fuente del kernel, y ejecutamos make menuconfig.

En este caso, necesitamos que la parte de configuración de las redes Wireless sea así:

Networking -> Wireless :
[M] Improved wireless configuration API
[*] nl80211 new netlink interface support
[*] Wireless extensions
[M] Generic IEEE 802.11 Networking Stack (mac80211)
[M] Generic IEEE 802.11 Networking Stack (DEPRECATED)
[M] IEEE 802.11 WEP encryption (802.1x)
[M] IEEE 802.11i CCMP support
[M] IEEE 802.11i TKIP encryption
[M] Software MAC add-on to the IEEE 802.11 networking stack

Esto puede variar entre versiones del kernel; en mi caso la configuración de mi kernel luce así:

Además, en la sección de dispositivos Wireless, por el modelo de la tarjeta, lo tengo configurado así:

Una vez hayamos configurado adecuadamente nuestro kernel, basta con salir y hacer lo siguiente:

Importante: los pasos anteriores debes realizarlo solamente si sabes lo que haces. Personalmente, luego de hacer este tipo de cosas, tengo que reinstalar los controladores de mi tarjeta NVIDIA, puesto que en la re-instalación de los módulos la configuración anterior se pierde. NO me hago responsable de cualquier daño o problema que puedas tener siguiendo esta guía, aunque te ayudaré con gusto si eso pasa.

La verdad esta primera parte del tutorial no la debí haber explicado tan detalladamente, pero así soy. En realidad hubiera bastado con decir: para el siguiente paso debes tener el kernel correctamente configurado y funcionando. Pero bueno, una ayuda de más no sobra.

2. Compilando los drivers

El procedimiento normal sería el siguiente:

• Descargar los drivers adecuados de http://www.linuxwireless.org/en/users/Download. Debes buscar la versión compat-wireless-2.6, si usas el kernel 2.6.xx como yo.
• Descargar los parches para mac80211, de esta página: http://patches.aircrack-ng.org/. En mi caso descargué el parche mac80211_2.6.27_frag+ack_v2.patch, puesto que es el que le sirve a mi kernel 2.6.27.
• Aplicar los parches.
• Compilar e instalar.

Todo ello se puede hacer ejecutando los siguientes comandos:

Todo parece muy sencillo; si te funciona de una vez, ya puedes saltar a la siguiente sección. El problema es que, como comentaba en la anterior explicación, algunas veces los parches no están lo suficientemente actualizados, y podrían no funcionar. Así que muchas veces, nos toca aplicarlos manualmente. Para ello examinamos el contenido del parche (cat mac80211_2.6.27_frag+ack_v2.patch):

diff --git a/net/mac80211/tx.c b/net/mac80211/tx.c
index 0855cac..221bed6 100644
--- a/net/mac80211/tx.c
+++ b/net/mac80211/tx.c
@@ -630,6 +630,13 @@ ieee80211_tx_h_sequence(struct ieee80211_tx_data *tx)
int tid;
/* only for injected frames */
+    if (unlikely((info->flags & IEEE80211_TX_CTL_INJECTED) &&
+       !(tx->sdata->u.mntr_flags & MONITOR_FLAG_COOK_FRAMES))) {
+        if (!ieee80211_has_morefrags(hdr->frame_control))
+           info->flags |= IEEE80211_TX_CTL_NO_ACK;
+        return TX_CONTINUE;
+    }
+
if (unlikely(ieee80211_is_ctl(hdr->frame_control)))
return TX_CONTINUE;

Un poquito enrredado ¿verdad? Pero básicamente significa lo siguiente:

• Se debe modificar el archivo a/net/mac80211/tx.c
• La modificación se realizará en la función ieee80211_tx_h_sequence(struct ieee80211_tx_data *tx)
• Debemos añadir una porción de código entre las líneas int tid; y if (unlikely(ieee80211_is_ctl(hdr->frame_control)))

Eso lo podemos hacer con un simple editor de texto. Aclaro: al momento de escribir esta guía, el parche luce tal como lo puse arriba; quizás cuando leas esto ya habrá cambiado, por lo tanto debes adaptarlo a tus necesidades.

3. Inyectando

En esta sección vamos a probar si, una vez que hayamos instalado los drives, podemos realizar una inyección correctamente. Cabe aclarar que es necesario tener instalado la suite de programas de aircrack-ng (si es posible, la últimaversión 1.0 rc1). Ahora debemos poner nuestra interfaz de red inalámbrica en modo Monitor:

Una vez hecho esto, ejecutamos el siguiente comando para probar la inyección:

O mejor aún:

Donde, XXXX es el ESSID del Acces Point con el que estamos practicando, YY:YY:YY:YY:YY:YY es la MAC Address (BSSID) del Access Point. Si lo hacemos así nos aseguramos de inyectar paquetes solo al Access Point indicado (no queremos hacer nada con el AP del vecino), además que es mucho más rápido.

¿Cómo obtener el ESSID y BSSID del AP? Lo más sencillo es que, antes de poner la tarjeta en modo Monitor, ejecutemos el comando iwlist wlan0 scan, que nos proporciona información acerca de todos los AP al alcance. También podrías ejecutar el comando airodump-ng wlan0 para realizar un escanéo básico.

En todo caso, cuando todo resultó bien, veremos algo como esto:

09:23:35 Waiting for beacon frame (BSSID: YY:YY:YY:YY:YY:YY) on channel 9
09:23:35 Trying broadcast probe requests...
09:23:35 Injection is working!
09:23:37 Found 1 AP
09:23:37 Trying directed probe requests...
09:23:37 YY:YY:YY:YY:YY:YY - channel: 9 - 'XXXX'
09:23:39 Ping (min/avg/max): 1.827ms/68.145ms/111.610ms Power: 33.73
09:23:39 30/30: 100%

Información relevante y sitios de interes

• Página oficial de aircrack-ng
• Pagina oficial del proyecto Linux Wireless
• Guía de instalación de drivers iwlagn (muy desactualizada)
• Excelente comunidad de expertos en Seguridad Wireless en Español
• Si tienes problemas, tal vez necesites instalar el paquete iw

Nota: para esta entrada, NO cuentan los incentivo$ por corregir errores ortográficos. No he tenido tiempo para leer el documento al menos una vez, por lo que de seguro debe tener errores. Claro, si quieres puedes reportarlos

La comunidad de DragonJar ha liberado un nuevo número de su e-zine; sin duda, y como dicen ellos, un excelente regalo de navidad. Los temas que trae esta edición van desde envenenamiento de arp creando manualmente los paquetes con Scapy, pasando por artículos de informática forense, hacking ético, entornos virtualizados y mucho más.

Descargar e-zine #3 de la comunidad DragonJar

Leído en dragonjar, tomado de Barrapunto:

El creador del NMap Gordon Lyor, más conocido como Fyodor, ha publicado el libro NMAP Network Scanning, una Guía Oficial del escáner de seguridad más famoso de todos los tiempos. El lanzamiento oficial se realizará el 1 de enero de 2009 aunque es posible hacer una reserva en Amazon. Existe una versión online gratuita de una buena parte de este libro (mas o menos la mitad). Ya era hora que se publicara un libro sobre el nmap, comentando detalladamente la infinidad de opciones con las que cuenta, y nadie mejor que Fyodor para escribirlo. Recuerda que también puedes acceder a la guía de referencia en español y otros recursos en la página oficial del nmap.

El portal www.seguridadinformatica.es publico hoy la primera parte de un documento que incluye textos sobre seguridad informática, etimologías, estándares ISO, políticas de seguridad en la empresa, principios básicos de subredes, análisis forense, contraseñas recomendadas, algoritmos MD5, y SSH.

Descargar parte I: Introducción a la seguridad informática

Temario:

• Capítulo 1: Iniciación a la Seguridad Informática
• Capítulo 2: La Seguridad Informática de aquello que está abierto
• Capítulo 3: Etimología de FOO
• Capítulo 4: Lista de Estándares de Seguridad Internacionales
• Capítulo 5: Guía para la Elaboración de Políticas de Seguridad en la Empresa
• Capítulo 6: Principios Básicos de las Subredes
• Capítulo 7: El Mundo de la Informática Forense
• Capítulo 8: La Importancia de una Buena Contraseña
• Capítulo 9: ¿Qué Es Y Cómo Funciona la Integridad MD5?
• Capítulo 10: Introducción al SSH

Lo he visto en El CoDiGo K

La verdad existe ya bastante información acerca de este fascinante ataque, pero me aventuro a proporcionar mi propia definición:

¿Entendible? Puede que el tema sea algo duro de digerir al principio, puede que no sea bueno explicando cosas, puede que tú no tengas claros algunos conceptos, en todo caso ¿qué tal si miramos cómo funciona esto con algunos video tutoriales?

Pero antes, sería bueno que tuvieras claro el cómo funciona el protocolo ARP: Lectura fácil en la Wikipedia, y el bonito RFC 826 [aquí en español].

Video tutoriales

Los siguientes tres video tutoriales axplican en detalle cómo funciona el ARP Spoofing; y fueron creados por Miguel Angel Calvo (todos los derechos reservados):

• Ver el video 1 – Aquí se explican los conceptos básicos del ARP Spoofing (descargar)
• Ver el video 2 – En donde se explica el uso del Ettercap para realizar un ARP Spoofing (descargar)
• Ver el video 3 – En donde nos enseñan a detectar si estamos bajo un ataque ARP Spoofing (descargar)

¿A poco no son geniales? En los videos anteriores se utiliza Ettercap para realizar el ARP Spoofing. Por supuesto, existen otras maneras de hacerlo, y es lo que veremos a continuación.

ARP Spoofing y ataque Man In the Middle usando dsniff y fragrouter

Iba a escribir algo acerca de cómo hacer ARP Spoofing utilizando las herramientas dsniff (comando arpspoofing) y fragrouter, ambas en los repositorios de la mayoría de las distros. Afortunadamente Informático de Guardia me comentaba que él ya ha escrito acerca los ataques Man in the Mittle, y prescisamente usa dichas herramientas. Así que te invito a que leas en su blog acerca de ello: Ataque man-in-the-middle.

Los paquetes que viajan por la red frecuentemente son trozos de archivos demasiado grandes para ser enviados completos; además, puesto que estos paquetes pueden ser de archivos binarios (imágenes, videos, ejecutables, etc.), no basta con buscar dentro del Wireshark información de los paquetes (no vamos a entender nada).

Esta entrada está acompañada con un video tutorial, en donde aprenderemos a reconstruir los paquetes capturados con Wireshark usando tcpxtract, de tal manera que podamos ver los archivos que envió y recibió el equipo víctima.

Antes de ver el video, observemos el proceso completo:

• Capturamos los paquetes necesarios con Wireshark
• Guardamos la captura en un archivo
• Usamos tcpxtract para extraer los ficheros del archivo de captura

Puedes encontrar tcpxtract en los repositorios de tu distribución, por lo que en Debian o Ubuntu basta con ejecutar el siguiente comando:

sudo apt-get install tcpxtract

O descargar el código fuente y construirlo tu mismo:

tar xvzf tcpxtract-1.0.1.tar.gz
cd tcpxtract-1.0.1
./configure
make
sudo make install

Uso del tcpxtract

Ahora supongamos que el fichero de captura se llama captura; para extraer los archivos de la captura y guardarlos en la carpeta archivos_capturados ejecutamos el siguiente comando:

tcpxtract --file captura --output archivos_capturados

Es todo, sencillo pero eficaz. Podemos además utilizar el tcpxtract para escuchar directamente sobre una interfaz de red, con lo que nos ahorramos el uso del Wireshark, por ejemplo:

tcpxtract --device eth0 --output archivos_capturados

Si te preguntas porqué querría capturar los paquetes que envía y recibe nuestro propio equipo, tal vez estás ignorando que: cuando realizamos un ataque Man in the middle todos los paquetes que envía y recibe el equipo víctima pasan por nuestra interfaz de red.

Veamos ahora el video del tcpxtract en acción:

Ver el video (2,6 MB)

Descargar video

En este pequeño artículo aprenderemos a usar los filtros del Wireshark, de tal manera que una vez hayamos realizado las capturas pertinentes podamos buscar información específica. Este tema es algo extenso, y requiere sobre todo de mucha atención e imaginación. Por tanto he hecho un pequeño video donde aprenderemos a hacerlo!

La sinopsis del video ejemplo es la siguiente:

• Capturamos los paquetes de nuestra propia conexión con el Wireshark
• Nos logueamos en una página que use cifrado SSL (HTTPS) y otra sencilla (HTTP)
• Usando los filtros del Wireshark buscamos el usuario y el password con el que nos logueamos

Enlace y descarga

Ver el video (2 MB)

Descargar video