¡PREMIO! El resultado fue inmediato, la API devolvía información de otros usuarios sin aplicar controles de autorización adecuados.

¿Y qué podíamos ver en estos perfiles? Pues había un poco de todo…desde ID de usuario, nombre, apellidos, dirección física y de correo electrónico, DNI, foto de perfil … Y lo mejor de todo, dentro del perfil existía una opción para cambiar de contraseña sin validación intermedia de la empresa que estábamos auditando.

¿Podríamos modificar las contraseñas? La respuesta es: SI, podíamos hacerlo y el cómo lo hicimos, os lo enseñaremos en el próximo artículo.

Lo importante ahora es entender cómo en una empresa con un alto nivel de madurez, había sido posible romper la seguridad en RGPD con tanta facilidad y es que no se trataba de un fallo técnico complejo, era un error de confianza en el modelo de interacción.

Y nosotros estamos para eso.

La entrada La API que confiaba demasiado en el frontend se publicó primero en 4Elitech.

Lo primero que hacemos es analizar el entorno. Suena a película de espías, pero en realidad es algo mucho más terrenal. Utilizamos herramientas para identificar máquinas en la red, observar cómo se comunican entre ellas y, a partir de ahí, deducir para qué pueden estar siendo utilizadas.

En cierto modo, es un trabajo de observación y contexto. Como si siguieras a una persona y vieras que pasa gran parte del día llamando a clientes, presentándose y hablando de las ventajas de las sillas que vende su empresa. Sin que nadie te lo diga, puedes deducir que trabaja en el área comercial. En una auditoría ocurre algo parecido: observamos patrones y extraemos conclusiones iniciales.

A partir de aquí llega una de las partes más importantes del trabajo: Formular hipótesis.

Cuando un sistema se comporta de una determinada manera, debemos preguntarnos por qué. ¿Responde así porque existe una vulnerabilidad real? ¿O porque está diseñado precisamente para reaccionar de ese modo ante entradas no previstas? La diferencia es clave.

Traducido al ejemplo: ¿el comercial ha reaccionado de forma extraña porque lo hemos sacado de su guion, o porque realmente su empresa también vende cafeteras y está intentando consultar con otro compañero?

En este punto empezamos a pensar como lo haría un atacante: no para causar daño, sino para anticipar qué caminos podría intentar explotar alguien con malas intenciones. Tal vez podamos construir una interacción que haga que una máquina revele más información de la debida. Tal vez no tengamos acceso directo a un determinado sistema, pero sí a otro que ya confía en él y puede servir como puente.

Cuando hemos definido un conjunto razonable de hipótesis, llega el momento de ponerlas a prueba. Modificamos peticiones, alteramos parámetros, repetimos pruebas y tratamos de confirmar o descartar nuestras sospechas.

Y nosotros estamos para eso.

La entrada ¿Qué pensamos los pentesters durante una auditoría? se publicó primero en 4Elitech.

ISO/IEC 27001 establece un marco robusto para la gestión de la seguridad de la información basado en riesgos. Entre sus requisitos, se incluye la obligación de contar con un proceso para la identificación y mitigación de vulnerabilidades técnicas. Sin embargo, como ocurre con muchas normativas, su efectividad depende en gran medida de cómo se implemente.

El auditor de la norma verificará que existen procedimientos formales, registros y evidencias que acrediten la gestión de vulnerabilidades. Pero (y aquí está el punto clave) no suele profundizar en la calidad técnica del análisis ni en la efectividad real de las acciones de mitigación aplicadas.

Un test de intrusión bien ejecutado no se limita a aplicar un checklist. Simula escenarios reales de ataque, identifica configuraciones inseguras, vulnerabilidades no parcheadas y rutas de escalada de privilegios. No se queda en la teoría: intenta escalar el muro para ver si realmente resiste.

A diferencia de una auditoría tradicional, el especialista en ciberseguridad no solo verifica procesos, sino que pone a prueba los sistemas, las personas y las decisiones tecnológicas. Donde el auditor acepta una máquina obsoleta siempre que esté registrada, el pentester la usará para acceder a toda la red. Y luego te dirá cómo lo hizo y cómo puedes evitarlo en el futuro.

La entrada Si mi empresa cumple la ISO/IEC 27001… se publicó primero en 4Elitech.

Test de intrusión: la simulación de un ciberataque real

El test de intrusión es un servicio de evaluación de ciberseguridad más detallado y personalizado que el análisis de vulnerabilidades. A diferencia del análisis de vulnerabilidades, que se enfoca en identificar vulnerabilidades conocidas, el test de intrusión busca simular un ciberataque real para identificar brechas de seguridad específicas que pueden ser explotadas por atacantes reales. Se podría decir, que el test de intrusión completa al análisis de vulnerabilidades añadiendo una fase más; la fase de explotación de vulnerabilidades.

Los tests de intrusión son realizados por especialistas en seguridad que utilizan herramientas y técnicas manuales para identificar vulnerabilidades en el sistema y evaluar el riesgo de explotación. Estos especialistas intentan explotar las vulnerabilidades identificadas y evalúan la respuesta del sistema o red, lo que permite una identificación del riesgo general más completa e identificar los falsos positivos propios del análisis de vulnerabilidades.

El test de intrusión es más invasivo y costoso que el análisis de vulnerabilidades, pero también proporciona información más detallada y precisa.

Análisis de vulnerabilidades: la búsqueda de vulnerabilidades conocidas

El análisis de vulnerabilidades es una evaluación automatizada y exhaustiva de sistemas o redes en busca de posibles vulnerabilidades y debilidades de seguridad. Los análisis de vulnerabilidades están basados en herramientas automáticas, que con un poco de parametrización, consiguen encontrar vulnerabilidades conocidas en los activos tecnológicos, y generan informes de los resultados.

El análisis de vulnerabilidades es menos invasivo que el test de intrusión, ya que se enfoca en buscar vulnerabilidades conocidas sin intentar explotarlas. Sin embargo, esta evaluación puede proporcionar una visión general útil del riesgo asociado a los activos tecnológicos, especialmente si se realiza regularmente para identificar vulnerabilidades nuevas y actualizaciones pendientes de seguridad.

¿Cómo decidir entre el test de intrusión y el análisis de vulnerabilidades?

Para decidir entre el test de intrusión y el análisis de vulnerabilidades, es importante considerar la naturaleza de los sistemas o redes que se están evaluando y los objetivos de seguridad de la organización.

Si la organización maneja información crítica y sensible, como datos personales de clientes o información financiera, un test de intrusión puede ser la mejor opción para evaluar y planificar la mejora de tus sistemas. El test de intrusión es especialmente útil si la organización ha sufrido ataques en el pasado y desea identificar y solucionar vulnerabilidades antes de que sean explotadas por atacantes reales.

Por otro lado, si la organización busca satisfacer los requisitos de seguridad de sus clientes o desea cumplir con un requisito de una certificación de seguridad, un análisis de vulnerabilidades puede ser suficiente.

Además, el presupuesto y la disponibilidad de recursos también pueden influir en la decisión. Si la organización tiene un presupuesto limitado y desea obtener una evaluación rápida y automatizada, un análisis de vulnerabilidades puede ser la mejor opción. Por otro lado, si la organización tiene recursos y tiempo para una evaluación más detallada y personalizada, el test de intrusión puede ser más preciso y completo.

Conclusión

El test de intrusión y el análisis de vulnerabilidades son servicios de evaluación de ciberseguridad con diferentes enfoques y resultados. La elección entre uno u otro depende de la naturaleza de los sistemas o redes que se están evaluando, los objetivos de seguridad de la organización, el presupuesto y la disponibilidad de recursos.

En mi opinión, lo más importante para tomar esta decisión es apoyarte en un especialista en ciberseguridad que pueda asesorarte de manera personalizada. Recuerda, empezar a evaluar el estado de la seguridad de tus sistemas y redes es vital para desarrollar una estrategia de ciberseguridad eficiente, y sobre todo, efectiva.

La entrada TEST DE INTRUSIÓN vs ANÁLISIS DE VULNERABILIDADES: ¿Cómo elegir la mejor opción? se publicó primero en 4Elitech.

No voy a centrarme en ninguna categoría concreta, pero si voy a hacer una especie de menú de degustación para que podáis tener una visión general y seáis vosotros mismos los que decidáis en cual queréis invertir.

Normalmente cuando hablamos de esto solemos ceñirnos a un contexto de software y nos quedamos ahí, pero lo que veo que habitualmente no se menciona es la tremenda cantidad de hardware físico que existe para facilitarnos el arte de la intrusión. Suele ser el gran olvidado, y por este motivo creo que un artículo que aporte algo de información puede ser útil a todas las personas que estén interesadas en esta disciplina.

Obviamente cada dispositivo es útil en un contexto y aunque suele ser de consenso común el conocimiento de en cual aplicamos cada cacharrito os aseguro que hay gente con una capacidad increíble de encontrar utilidades nuevas continuamente.

Dispositivos inyectores de teclado

Hay muchos a este respecto actualmente, pero de los primeros en salir al mercado, por no decir el primero, fue Rubberducky de Hak5. Este dispositivo con el aspecto de un simple pendrive permite inyectar comandos simulando un teclado conectado al equipo. ¿Qué significa esto? Significa que si consigues enchufarlo a un puerto USB de la víctima podrás escribir a velocidad de vértigo toda una serie de comandos, scripts o lo que se os ocurra que pueda hacerse con un teclado convencional. Podría pareceros poco, pero imaginad un escenario donde lo llevamos en un bolsillo y en el momento en el que alguien se levanta para ir al baño aprovechamos para conectarlo. Solo necesitamos 1 segundo para abrir una consola de comandos e insertar un usuario administrador en el sistema, incluirlo en el grupo de administradores de escritorio remoto y permitir todas las conexiones en el cortafuegos de Windows.

Y quien dice esto dice filtrar hashes ntlmv2, abrir una shell inversa mediante powershell, invocar mimikatz…y un inmenso etcétera de funcionalidades, solo limitadas por vuestra imaginación o capacidades de scripting.

Y la guinda del pastel es que a todos los efectos es un teclado. Ningún endpoint va a enfadarse por un teclado ¿verdad? Por muy quisquilloso que sea el antivirus de turno para el solo es una persona escribiendo, no un diabólico software (salvo que nos invoquemos mimikatz desde internet, claro).

Originalmente cuando buscábamos un efecto de este calibre teníamos que limitarnos a Rubberducky, pero actualmente han aparecido muchas marcas blancas mediante la denominación Badusb o HID Injector que podéis encontrar en plataformas como Aliexpress o Amazon. Básicamente son clones de Rubberducky con hardware libre y con algunas mejoras.

¿Cuáles son estas mejoras? Si bien antes teníamos que conectar el dispositivo y de inmediato lanzaba su secuencia única de teclado previamente programada, ahora disponemos de algunos que incluyen wifi y nos permiten conectarnos desde una aplicación del móvil para activarlo a voluntad, con espacio de almacenamiento incluido para poder seleccionar el efecto que más nos convenga. Eso abre la posibilidad de simplemente esperar sentado cómodamente a que la persona se despiste y ejecutar el pandemónium en su equipo en el momento adecuado.

Keyloggers de hardware

Todos conocemos los de software, un programita malvado que instalamos cuando tengamos acceso al equipo en cuestión que registra las pulsaciones de teclado para robar contraseñas, conversaciones privadas y esas cosas que los que amamos la privacidad no nos hace gracia que nos roben.

Este tipo de dispositivos hacen la misma labor, pero mediante hardware, donde los molestos antivirus no pueden buscarnos las cosquillas. Los más conocidos son los de Airdrive que únicamente tenemos que poner entre el puerto USB y el teclado como si un extensor se tratase y él ya se encargará de registrar todas las pulsaciones a las cuales podremos acceder cómodamente desde su punto de acceso wifi.

Evidentemente debemos esperar un descuido de la persona para poder colocarlo en su lugar y con equipos portátiles no nos sirve de mucho salvo que tengan un teclado conectado, pero en estaciones de trabajo es maravilloso para obtener passwords cuando todo el mundo vuelve de la hora de comer.

Drones de intrusión

¿Qué ocurre cuando queremos robar un handshake de una red inalámbrica y en la empresa han hecho bien su trabajo y han reducido el rango de cobertura únicamente al interior de su perímetro? Pues que o lloramos en un rincón o usamos un dron.

Si amigos, actualmente hay distribuciones para Kali que funcionan en una raspberry pi mediante ARM y en algún momento alguien pensó “¿un momento…y si ato una a un dron?”.

De eso tratan este tipo de proyectos. Pilotas el dron hasta el tejado del edificio, donde tengamos cobertura de la red inalámbrica y desde ahí hacemos todas las maldades que nos plazca. Discreto y eficaz. Es habitual usar el kernel de Re4son para proporcionar una forma fácil de acceder a ciertas funcionalidades clave a través de una pantalla táctil situada en el dispositivo volador.

Y muchos chismes más

El abanico es inmenso, dispositivos de clonado NFC, falsos cables de carga con un badusb incluido, pendrives que fríen los componentes electrónicos solo con conectarlos, interceptadores tipo Man in the Middle de hardware, jammers wifi como apoyo para nuestros ataques…existe de todo lo que os podáis imaginar, y cada vez habrá más, porque la tecnología evoluciona constantemente y su abaratamiento nos permite integrarla en casi cualquier cosa.

Así que, cuando ese misterioso comercial de una empresa que nunca habéis oído hablar os regale un ratón con su logo quizás deberíais plantearos si conectarlo es la mejor opción. Yo he llegado a incluir sorpresas hasta en un calentador de tazas USB ¿queréis café calentito? Tened cuidado ahí fuera.

La entrada Hackear con tecnología se publicó primero en 4Elitech.

En el artículo anterior, exploramos las venturas y desventuras habituales al empezar en el mundo del password cracking, así como los posibles dolores de cabeza resultantes de una mala metodología que pueden desembocar en un irrefrenable deseo de tirarnos llorosos a las ruedas de un coche.

Para evitar todo ello desarrollamos una serie de conceptos básicos que siempre deben tenerse en cuenta a la hora de abordar esta disciplina. Por recapitular de forma rápida, actualmente deberíamos siempre tomarnos un tiempo antes de empezar, para evaluar el tipo de hash, la política y el contexto.

Esta triada, detallada en el texto previo nos permitirá calcular la viabilidad de un ataque concreto antes siquiera de empezar.

A partir de aquí, podemos comenzar el laborioso trabajo de la extracción de patrones, los cuales también se mencionaron anteriormente.

Hoy trabajaremos algo más en profundidad en este tema.

Descubrimiento de patrones

El descubrimiento de patrones es toda una ciencia y necesitamos de una serie de ingredientes imprescindibles para aumentar nuestra tasa de éxito.

Muchos patrones podemos deducirlos simplemente pensando, como aquellos que se mencionaron en el articulo anterior, pero otros sencillamente no se nos van a ocurrir.

¿De que forma podemos dar con un patrón desconocido? Únicamente conociendo la palabra patronizada. ¿Y cómo podemos descubrir esta sin conocer su patrón? Ah, ahí habéis dado con la clave de esto: es un maravilloso bucle infinito, como la escalera de Penrose. Yo suelo llamarlo el bucle de password cracking. El objeto de este articulo es aprender a romperlo.

Primera llave: Fuerza bruta

Decía Asimov que la violencia es el ultimo recurso del incompetente, pero seguro que el no contaba con una RTX 3080 Ti con 10240 nucleos CUDA listos para machacar a esos entrometidos hashes que se empeñan en seguir intactos.

Si compañeros, la paralelización es nuestra amiga en la fuerza bruta, especialmente con longitudes de 1 a 7 caracteres. Debo señalar que la relevancia aquí no es crackear unos cuantos hashes más que se nos resisten, si no encontrar aquellos patrones que los gobiernan. Un hash es para hoy, pero un patrón es para siempre.

Esto se realiza en hashcat con este simple comando:

hashcat -a 3 -m [TIPO DE HASH] -w 3 -p : -O –hwmon-disable –outfile-format=2 -i –increment-min=1 –increment-max=7 -1 ?d?l?u?s [ARCHIVO DE HASHES] ?1?1?1?1?1?1?1

De esta manera, en escasos minutos calcularemos todas las permutaciones hasta 7 caracteres de mayúsculas, minúsculas, dígitos y símbolos. Si alguien tiene patrones de esta longitud, serán nuestros…y recordad que podremos extrapolarlos a longitudes mayores una vez obtenidos.

Segunda llave: Diccionario con reglas aleatorias

Hashcat nos permite aplicar reglas a los diccionarios que utilicemos. ¿Qué es una regla? Es una forma de modificar la palabra original aplicandole un patrón predeterminado. Por ejemplo, poner la primera letra en mayúscula y agregarle una admiración al final.

Esto es maravilloso cuando conocemos los patrones, pero inútil si son desconocidos. No obstante, también posee una opción completamente apropiada en este escenario: la generación aleatoria. Yo uso esta opción para que el propio azar genere patrones que yo he podido pasar por alto, una vez obtenidas estas passwords podemos incorporar lo averiguado a nuestro conocimiento de patrones y utilizarlo para extrapolar otras passwords aun sin descubrir.

hashcat -a 0 -m 1000 -w 2 –force -p : –hwmon-disable –outfile-format=2 -g 1000000 [ARCHIVO DE HASHES] [ARCHIVO DE DICCIONARIO]

Este método puede ser aún más potente si hacemos uso de otra opción poco conocida, el debug-mode. Esto nos permite comprobar que reglas han sido exitosas y guardarlas en un archivo para su posterior análisis. Todas estas reglas se redirigen haciendo uso de la siguiente sintaxis.

–debug-mode=1 –debug-file=[ARCHIVO DONDE GUARDAR LAS REGLAS]

De esta manera, con el tiempo suficiente, podremos diseñar un conjunto de reglas de forma totalmente automatizada basada en nuestros descubrimientos.

Conclusiones

Como hemos visto, para romper el bucle del password cracking tenemos que encontrar maneras de obtener aquellos patrones que rigen las contraseñas que aun no hemos conseguido. Esto podemos intentar hacerlo simplemente pensando patrones no descubiertos, pero no es la más eficiente, y por eso hemos mencionado dos claves que nos pueden aportar una valiosa ayuda en estos escenarios.

En las próximas entregas veremos como convertir esos patrones obtenidos en valiosos archivos de reglas que podremos utilizar en conjunción a nuestros diccionarios para aumentar su efectividad. Hasta entonces, paciencia.

La entrada El password cracking no es pasar un diccionario (2ª parte) se publicó primero en 4Elitech.

Implementar las tecnologías y servicios de seguridad que ayuden a proteger los sistemas, además de adoptar buenas políticas y cultura de ciberseguridad es fundamental. Pero para hacer todo esto de la forma más efectiva posible, hay que empezar por el principio. Conocer cuál es el estado inicial de la compañía en términos de ciberseguridad, cuáles son sus puntos fuertes y débiles así como posibles vulnerabilidades ayudará a implementar la mejor estrategia posible en cada caso. Esto permitirá, además, realizar una óptima gestión de los riesgos y establecer las mejores capacidades de respuesta ante posibles ciber incidentes.

En este sentido, las auditorías informáticas así como sus diferentes variantes son el mecanismo que nos permite obtener esa visibilidad. Básicamente nos permiten responder a varias preguntas, entre ellas: ¿Qué nivel de ciberseguridad tengo?

La auditoría informática

¿En qué estado se encuentran mis sistemas informáticos? Para responder a esta pregunta debemos recurrir a las auditorías. Estas van a ayudar a las empresas a comprobar la eficiencia de sus equipos, sus sistemas y a tener una mayor visibilidad de dónde y cómo se encuentra la información corporativa. No necesariamente tienen que estar enfocadas únicamente a los aspectos de seguridad, sino que se puede comenzar realizando una auditoría general para comprobar si todo está funcionando de forma correcta, si se utilizan los recursos de forma adecuada o si existe algún problema que corregir.

Estos aspectos en realidad están completamente hilados con los de seguridad en sí mismos, ya que para que un sistema sea seguro en primer lugar debe funcionar de forma correcta, sin fallos. Las auditorías exclusivas de seguridad se centrarán en aspectos más concretos como la seguridad de los sistemas, equipos y programas que se están usando en la empresa, detectando debilidades y  posibles vulnerabilidades.

En el caso de los datos corporativos, hay que tener en cuenta que además de auditorías técnicas también conviene llevar a cabo controles y auditorías de cumplimiento, que verifiquen y velen porque se están llevando a cabo de forma apropiada las políticas y procedimientos tanto internos como en base a normativas aplicables de protección de datos.

Además de lograr esa imagen inicial del estado de los sistemas, las auditorías deben llevarse a cabo de forma periódica, ya que debido a la velocidad con la que se implementan nuevos servicios tecnológicos y crece la información, ese estado va cambiando con el tiempo. No olvidemos además que la ciberseguridad es un proceso continuo, y conocer en qué situación nos encontramos ayudará a protegernos de posibles amenazas.

Estas auditorías se pueden llevar a cabo tanto de forma interna, llevada a cabo por la propia organización, como de forma externa, contratando empresas especializadas para llevar a cabo estos controles. Controles que, por otro lado, deberían ser llevados a cabo por todas las empresas, con independencia de su tamaño.

Pentesting

¿Y si nos ponemos en la piel de un ciberdelincuente y ponemos a prueba nuestros sistemas ante un ataque? Esta es la base de un test de penetración o pentesting.

Esta técnica permite llevar a cabo ataques simulados contra los sistemas de la empresa para detectar posibles vulnerabilidades y poder corregirlas adecuadamente antes de que puedan ser explotadas por terceros.

Sus métodos incluyen desde la recogida de información en fuentes abiertas hasta simulaciones de ciberataques a nivel técnico e incluso de ingeniería social, para comprobar la capacidad de los empleados de actuar frente una amenaza de ciberseguridad que use esta técnica.

En este sentido, existen diferentes tipos de pentesting, en función de la información de base con la que cuenta el profesional que va a realizar el test de intrusión. Por ejemplo, si disponen de mucha información sobre los sistemas y políticas de seguridad de la empresa se denominan “White Box” o de caja blanca. Al contrario, si no conocen absolutamente nada, estaríamos ante un test “Black Box”, que sería prácticamente lo que haría un ciberdelincuente. En medio, encontramos los pentesting “Grey Box” que disponen de algo de información pero no toda, variable en cada caso.

Estas pruebas se realizan por empresas y profesionales que lógicamente han sido contratados y autorizados previamente para llevar a cabo estas intrusiones de forma legal, firmando los contratos de confidencialidad pertinentes.

Al igual que antes, lo ideal es llevar a cabo estos test de penetración de manera periódica. No solamente porque las propias características de la empresa van cambiando con el tiempo, sino porque los ciberataques y amenazas de seguridad van adaptándose y sofisticándose con el tiempo. Realizar pruebas de intrusiones teniendo en cuenta las nuevas técnicas de ataque nos permitirá estar un paso por delante.

Comprobar el estado antes, durante y después

Este tipo de controles que hemos mencionado se llevan a cabo idealmente “antes” de que haya ocurrido un incidente. Una vez que la empresa ha sido víctima de un ataque de ciberseguridad, se deberá llevar a cabo un análisis específico para conocer el alcance, así como una auditoría forense que permita conocer qué es lo que ha ocurrido y obtener la información relacionada con el incidente. Aunque lo ideal es realizar las auditorías para prevenir posibles intrusiones, es importante en el caso de que ocurra una llevar a cabo también este tipo de mecanismos para poner las medidas adecuadas que no se hayan puesto antes y aprender de los errores.

En definitiva, cualquier auditoría o pentesting de seguridad que se realice en la empresa será beneficioso gracias a la enorme cantidad de información que nos facilitará su informe final.

NOTA: Hemos preparado una infografía para mostrar, de manera más visual, los aspectos más relevantes del post.

La entrada Auditoría y pentesting: comprobando la seguridad de los sistemas se publicó primero en 4Elitech.

Muchos pentesters cuando se menciona el password cracking hacen una mueca de desagrado como si estuviéramos hablando de un trabajo ingrato, tipo embadurnarse el cuerpo con filetes de ternera y tirarse al mar para hacer de cebo para tiburones.

El porque de esta reticencia nunca lo he tenido muy claro, he recibido diversas explicaciones al fenómeno, desde el clásico “no le veo muchas posibilidades” al innovador “si ya tienes los hashes, es que ya tienes acceso”.

En mi opinión, el password cracking es una disciplina que bien aplicada, puede ayudarnos en contextos donde de ninguna otra forma obtendríamos un acceso. Las interpretaciones anteriores son puntos de vista que normalmente no recogen la enorme variedad de escenarios donde el cracking de contraseñas es un arma verdaderamente útil.

El objetivo de este articulo es mostrar una visión general de los distintos contextos donde puede ser utilizado con éxito y sentar unas bases para comenzar a mejorar las técnicas aplicadas. Normalmente la gente que tiene unas expectativas tan bajas es debido principalmente a que sus éxitos con la disciplina son pobres o nulos, de ahí la importancia de saber distinguir cada escenario para poder aplicar la metodología apropiada.

Pasos previos

Para entrar en materia, separaremos los distintos escenarios y los requisitos necesarios para que estos sean aplicables. Para ello comenzaremos matizando lo que en mi opinión es la parte más relevante del password cracking: el tiempo.

Aunque la relatividad general diga que el tiempo es relativo, no hay nada menos relativo que el tiempo de proceso de un diccionario y un conjunto de reglas para un hash cuyo algoritmo tenga un tiempo de computación extremadamente lento. Esto puede implicar que las horas necesarias se multipliquen exponencialmente varias ordenes de magnitud hasta convertirse en algo totalmente impracticable.

La forma más sencilla de entender el tiempo es conocer las métricas de ese hash, las cuales pueden obtenerse con un comando muy sencillo de hashcat:

hashcat -b

Esto procesará todos los tipos de hashes que la herramienta puede computar, dándonos los valores individualmente. Como podéis ver en mi captura de ejemplo, no es lo mismo procesar NTLM (39016.3 MH/s) que WPA-EAPOL (369.7 kh/s) ya que hay tanta diferencia entre ellos que el ataque aplicado a uno, forzosamente no puede servirnos para el otro. Esto es algo que normalmente no veo mencionado cuando alguien habla de la materia, y su relevancia es absoluta.

¿Qué conclusión debemos sacar de esto? Que en función del escenario y el hash obtenido, deben aplicarse unas técnicas u otras. Es algo sencillo de comprender, un diccionario que tarde en pasarse 1 hora en NTLM tardará 41 días en WPA-EAPOL aproximadamente, todo esto en condiciones ideales.

Una vez entendido esto, aquellos que hayáis tenido escaso éxito en el password cracking, podréis empezar a vislumbrar donde esta parte del problema.

Otro concepto que debe entenderse previamente es la política y el contexto del entorno de cada hash. No son el mismo tipo de passwords las que se usan para acceder a un servicio online (para lo cual es necesario un ataque online, perdiendo todas las ventajas posibles del uso de paralelización de GPU y siendo este el más lento) que las que alguien pone en el inicio de Windows, aquellas con las que cifra un documento Excel o la que pone en la red inalámbrica de su casa. Son contextos distintos y deben tratarse de distinta manera. Usar los mismos ataques solo nos hará perder el tiempo.

Pondré varios ejemplos reales de passwords obtenidas en distintos contextos:

Debo remarcar que estas passwords no son inventadas, están extraídas del mundo real y ejemplifican correctamente aquello de lo que os hablo: los contextos de entorno.

En una empresa con una infraestructura basada en un dominio, normalmente las reglas que imperan suelen ser: cambio de password regular cada 90-180 dias, recordatorio de las ultimas passwords utilizadas para evitar su repetición y cierta complejidad. No obstante, el usuario medio de una empresa tiene una imaginación limitada, y la rotación continua no le ayuda en absoluto, ya que a nadie le gusta tener que memorizar algo complejo cada vez que toca cambiarla. El hastio juega a favor del password cracker, ya que implica PATRONES.

Tarde o temprano, un gran porcentaje de los usuarios forzados a cambiarse la password con regularidad desarrollan un patrón. A todo el mundo le gusta sentirse especial y creer que somos como copos de nieve únicos e inimitables, pero la realidad es que somos todos muy similares a la hora de desarrollar maneras de crear passwords viables. Como ejemplos os citaré varios de los patrones que yo me he encontrado:

(Mes)(año) (Ej: Marzo2020): En lugares con requisitos mas laxos es posible poner este tipo de passwords sin problema. El usuario suele elegir el mes y el año en el que le obligaron a hacer la rotación de contraseña (lo que suele provocar que a veces se encuentren varias contraseñas iguales) y también se encuentra alguna permutación de este patrón como (Estaciondelaño)(año) estilo Primavera2021.

(Nombrepropio)(año)(símbolo) (Ej: Maribel2012%): Un patrón que cumple la mayoría de requisitos de complejidad de contraseña en un dominio Microsoft. Suelen rotar el nombre entre el suyo, pareja e hijos y cuando finalizan la rotación ya ha cambiado el año. Aparentemente es una buena password: tiene mayúsculas, minúsculas, símbolos y números, así como 12 caracteres…pero que cumpla los requisitos de complejidad no significa que criptográficamente hablando sea segura. Lo primero que se hace en criptoanálisis es buscar patrones, en nuestro caso analizar el mensaje cifrado no nos proporciona información al ser un algoritmo de un único sentido pero si podemos hacer ataques de diccionario basados en reglas para obtener todas las posibles permutaciones de ese patrón en concreto y tendremos éxito en aquellos usuarios que lo utilicen.

(Ciudad)(año)(símbolo) (Ej: Sansebastian1994.): Similar al anterior, muchos optan por ciudades o incluso países pero básicamente el patrón es el mismo.

(palabraenleetspeak) (Ej: r3n7@b1l1d@d): Parece más complejo pero no lo es. Estamos más acostumbrados a interpretar letras que números y símbolos, pero el Leetspeak para los que no lo sepan es una sustitución simple de las letras de una palabra por símbolos o números que sean visualmente similares a ellas, tal como “a” por “@” o “i” por “1”.

Como veis, realmente el trabajo consiste en ir distinguiendo patrones y diseñando un sistema adaptado a cada contexto que los pruebe de una forma automatizada. Como ya deduciréis viendo las contraseñas de ejemplo de los distintos contextos, los patrones suelen ser distintos e investigarse de forma independiente.

No era objeto de este articulo el analizar con detenimiento todos los distintos contextos y patrones, únicamente servir como punto de introducción y base a toda esa información que desarrollaré en próximos artículos sin la cual, sería compleja de interpretar.

Básicamente, si únicamente debéis quedaros con una idea de este articulo esta puede resumirse en: El password cracking no es pasar un diccionario.

La entrada El password cracking no es pasar un diccionario se publicó primero en 4Elitech.

Y es que parece un conjuro sacado de algún grimorio polvoriento…un par de comandos en un par de consolas et voila, estamos dentro, como dicen esos hackers de las películas que teclean muy rápido contraseñas como si no tuvieran software que lo haga por ellos, pobrecillos.

Como ya habréis podido deducir, no es un ataque complejo, al menos su realización. Lo que ya requiere darle más a la cabeza es entender que ocurre, el porque esa misteriosa letanía obra tal grato milagro en forma de acceso instantáneo.

Para ello, tenemos que inevitablemente hablar, de protocolos.

Una épica historia en SMB Relay

No os voy a soltar el típico rollo para definir los protocolos implicados, quien quiera algo oficial, puede irse a Wikipedia que esta mucho mejor explicado, pero si voy a contaros que ocurre cuando queremos acceder a un recurso compartido que esta en un equipo que no es el nuestro.

Lo primero que necesita nuestra máquina, es saber como se llega a ese recurso, del cual solo tiene el nombre, y para darle un aire más místico a todo el asunto les daremos unos nombres acorde a las circunstancias.

Dramatis personaje:

FRODO: Nuestra máquina.

GANDALF: El servidor de ficheros.

SAM: El servidor DNS.

GOLLUM: El hacker.

Al principio todo es paz y amor en la Comarca.

FRODO no suele saber por donde anda GANDALF, ya que siempre esta en alguna loma fumando esa hierba que suelen llevar los magos en uno de sus múltiples bolsillos, y para ello le pregunta a SAM, en forma de petición DNS, que siempre sabe donde esta todo el mundo porque es el jardinero del pueblo.

SAM le responde a su amigo FRODO y le indica que este anda por 192.168.0.58. De esta forma cuando FRODO quiere pedirle el anillo único a GANDALF, ya sabe donde ir para solicitarle tan temible joya.

Ahora FRODO ya puede enviarle un mensaje a GANDALF para decirle que quiere el anillo único para “una movida de un volcán”.

Hasta aquí, todo estupendo.

¿Pero que pasa cuando SAM no esta? Aquí la cosa se complica.

Hay muchos motivos por los cuales esto puede ocurrir. Puede ser que aunque SAM es un tipo muy bien informado, nunca haya escrito en su lista donde esta GANDALF.

Si el DNS no tiene en su registro la ip asociada a cierto nombre de domino…no podrá resolverla.

También existe la posibilidad de que alguien este distrayendo a propósito a SAM para que no le de tiempo a contestar a las preguntas de FRODO, o poniendo música a todo trapo al lado de su casa para que este sea incapaz de escuchar sus preguntas.

Denegar el servicio de DNS, ya sea mediante inundación de trafico, o simplemente con un ataque de arp spoofing para que este sea incapaz de contestar, son medidas que alguien con malas intenciones podría realizar.

Finalmente es posible que FRODO entre toda la emoción de ir a pedirle el anillo unico a GANDALF lo llame PANDALF equivocándose en el nombre, y todos sabemos que GANDALF es un mago muy quisquilloso, y si te equivocas en su nombre no te hace ningún caso.

Cuando alguien solicita acceso a un recurso compartido cuyo nombre esta equivocado y no existe, nadie consigue resolver esa entrada.

Entonces repito. ¿Qué ocurre si SAM no esta? La respuesta esta muy clara, a FRODO no le queda otro remedio que ponerse a gritar por todo el pueblo a ver si alguien le contesta.

Esto implica que en ausencia de DNS, pasamos al protocolo LLMNR, que es un protocolo de resolución de broadcast.

Es a partir de aquí cuando entra en juego GOLLUM. En cuanto escucha a FRODO gritar por todos los lados buscando a GANDALF, el pega un grito y responde poniendo voz grave:

-¡Aquí estoy estimado compañero! ¿Qué quieresssss?

Y FRODO responde:

-Please, dame el anillo único.

Y GOLLUM en simultaneo le dice a GANDALF:

-Hooola GANDALF, soy FRODO, dame el tesssoro…quiero decir, el anillo único.

Y GANDALF le responde:

-Si eres FRODO, dime la contraseña que acordamos y usa la palabra “pepinillos” para cifrarla en el lenguaje elfico.

Obteniendo de esta forma el “challenge” necesario para la comunicación.

Entonces con la palabra “pepinillos” en su poder, GOLLUM le dice a FRODO:

-Claaro…amigo. ¿Cuál es la contraseña que acordamos? Cifrala en elfico con la palabra “pepinillos”.

-Claro, aquí tienes, mi contraseña cifrada en elfico es: “[pepinillos]FrodoBolson!”.

Y en este momento, es cuando se obra la magia…el avido GOLLUM le dice a GANDALF:

-Sssssi, mi contrasssseña essss “[pepinillos]FrodoBolson!” .

Con la contraseña cifrada con el challenge adecuado, ya podemos acceder al recurso. Si el usuario tiene privilegios de administrador sobre la máquina, también podrá ejecutar comandos remotamente, los cuales usamos para abrir una shell de sistema.

Y ya lo tenemos. GOLLUM con el anillo único.

El proceso

Como veis, hay un gran trasiego de dimes y diretes, de engaño y suplantación. Y la clave más importante, es que el que solicita un recurso no pueda resolverlo, para que de esta forma, respondiendo a sus paquetes LLMNR de broadcast, nosotros podamos obtener su hash NTLMv2 cifrado con el challenge de la maquina a la que queremos acceder.

Esto puede ocurrir de las formas que hemos citado, ya sea denegando el servicio al DNS, equivocándose el usuario al escribir (os sorprendería la cantidad de veces que esto ocurre) o simplemente teniendo mapeada alguna unidad de red antigua que ahora no esta online.

El proceso para realizar este ataque es mucho menos místico que toda la magia que ocurre por debajo. Para ello haremos uso de las maravillosas herramientas de Laurent Gaffie, las cuales vienen de serie en Kali.

Lo primero que deberemos hacer, será editar /usr/share/responder/Responder.conf para asegurarnos que la parte que muestro en la imagen siguiente, esta de esa manera.

Después, le decimos a Responder que se ponga a la escucha, solo necesitamos saber cual es nuestra interface, en nuestro caso, eth0:

responder -I eth0 -rv exec bash

Después de una pantalla de bienvenida, empezaremos a interceptar peticiones.

Estas peticiones de broadcast son las que Responder se encarga de interceptar y responder (tal y como su nombre indica) solicitándole la password para que la victima filtre sus credenciales NTLMv2:

Una vez montado todo esto, necesitamos algo que se encargue de reinsertar esas credenciales en la maquina víctima. Para eso esta Multirelay.

Lo tenemos en /usr/share/responder/tools/ y el recibirá las credenciales interceptadas y las reinsertará en la maquina a nuestra elección.

Para lanzarlo únicamente debemos usar la siguiente sintaxis:

python MultiRelay.py -t DIRECCION_IP_VICTIMA -u ALL

¿Pero como elegimos adecuadamente la victima? La forma más sencilla es utilizar otra de las herramientas disponibles, disponible en /usr/share/responder/tools/ : RunFinger. Esta herramienta busca en el segmento de red que le digamos, maquinas que tengan SMB Signing desactivado, que son aquellas que no van a exigir medidas adicionales de autenticación que impedirían realizar este ataque.

python RunFinger.py -i SEGMENTO_A_BUSCAR

Eso nos mostrará una lista con todas las maquinas de la red disponibles y dirá, entre otras cosas, si poseen SMB signing o no. Esto nos permitirá elegir una en la que el ataque sea viable. Normalmente suele estar desactivado por defecto, excepto en aquellas maquinas que poseen el rol de controlador de dominio.

Una vez hecho esto, solo queda esperar. Esperar que alguien envíe una petición LLMNR en busca de un recurso que no ha podido resolver, porque de esta manera, podremos responder nosotros y pedirle las credenciales.

Esto es lo que recibe el incauto que se ha equivocado al escribir. Nada muy raro. Pero esto es lo que en realidad ocurre entre bambalinas. La petición es interceptada por nosotros y respondida, solicitando que las credenciales sean cifradas con el challenge de la maquina a la que queremos acceder.

Y una vez hecho esto, solo resta reinsertarlas felizmente, obteniendo una preciosa shell:

Ya os dije que no tenía mucho misterio. La clave era entender que había pasado. Una vez alcanzado este nivel de compromiso ya solo queda actuar a gusto del consumidor.

Yo suelo crearme un usuario administrador y meterlo en el grupo de escritorio remoto, pero el limite es vuestra imaginación, jugando con las opciones del Multirelay podéis hacer que en vez de volcaros una shell ejecute un comando en la maquina remota.

Algunos despliegan agentes de Empire de esta manera…pero tal y como diría Michael Ende esa es otra historia que debe ser contada en otra ocasión.

La entrada Ataques SMB Relay se publicó primero en 4Elitech.

Esta es una idea bastante extendida por la cual muchas empresas pequeñas y no tan pequeñas se despreocupan del impacto que puede llegar a tener un incidente de ciberseguridad, pero ¿es eso realmente cierto?

De acuerdo con el Small Business Trends, el 43% de los ciberataques afectan a pequeños negocios, de los cuales el 60% de ellos, en los siguientes seis meses, tiene que acabar cerrando como consecuencia del ciberataque.

Nos gustaría creer que los únicos involucrados en ciberataques son solo grandes empresas, pero, por desgracia, cada día vemos que son más las empresas que se ven obligadas a contactar con nosotros una vez han tenido un incidente grave en sus sistemas informáticos.
Ya no entramos a hablar de aquellas que puedan estar actualmente comprometidas sin el conocimiento de su propia organización interna.

El motivo de aumento de ataques en general es debido a que se trata de un negocio cada vez más lucrativo y los ciberdelincuentes ya no se limitan a elegir un objetivo en concreto.
Los atacantes hoy en día disponen de una serie de herramientas que les permiten ir escaneando la red y explotar de manera automatizada servicios vulnerables, sin pararse a mirar si quien está detrás de este servicio es una empresa grande, pequeña o un particular.
Si luego resulta que esa información a la que se ha accedido y robado/cifrado es importante; ya pagarán por ella…

El test de intrusión o pentest, aparece como respuesta para acabar con todas las dudas expuestas anteriormente, aspecto este que ya se aborda en el artículo test de intrusión para estar libres de ciberataques de nuestro blog.

Cada vez son más las empresas que se plantean si contratar un pentesting es algo necesario, si el coste/eficacia de este proceso es realmente útil para una empresa como la suya.

Como ya empezaba a apuntar al comienzo de este artículo, independientemente del tamaño de la empresa, esta puede ser susceptible de ataques que le pueden llegar a suponer una parada de tiempo indefinido de la producción, una pérdida de reputación corporativa y valor de la marca o incluso una pérdida irreparable como pueda ser los datos de clientes y proveedores.

Entender el estado en el que se encuentra la infraestructura informática en la empresa es crucial para poder valorar con objetividad el riesgo que se está dispuesto a asumir.
Como decía William Thomson “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre” y en este aspecto, la seguridad de la información NO es una excepción.

Hay diferentes maneras para tener una imagen del estado en que se encuentra la infraestructura informática de la empresa, como por ejemplo: la realización de un análisis de vulnerabilidades o un test de intrusión (pentest).

Existen varios factores que influyen a la hora de dibujar esa imagen que pueden hacer que ésta se encuentre más o menos distorsionada, como puede ser: la calidad de los auditores, el tiempo que se le dedica a la auditoría, las herramientas que se utilizan…

Uno de los métodos más eficaces y fieles para poder tener una imagen nítida de en qué estado se encuentra dicha infraestructura informática de la empresa, sería metiéndose en la mente de un atacante; para ello es conveniente tener bien procedimentada una metodología para plantearse qué serie de acciones ofensivas tomaría un atacante real.

En los últimos años muchas empresas TIC han empezado a ver un marco de negocio en la ciberseguridad, y venden sus servicios como expertos auditores en el ámbito de la ciberseguridad a un precio muy asequible (¡Cuidado con esto!).

Si finalmente te has convencido de que quieres contratar un servicio de test de intrusión, te recomendamos que selecciones una empresa especializada en ciberseguridad, habida cuenta de que las herramientas utilizadas en el diagnóstico sobre los sistemas informáticos y la profesionalidad de sus técnicos son determinantes para llevar a cabo una imagen realista de tu infraestructura de seguridad que detecte las amenazas reales que puedan existir.

En conclusión, como ha podido verse, invertir en seguridad no puede ser entendido como un privilegio de determinadas empresas, sino como una necesidad más para afrontar su negocio, independientemente del tamaño de la empresa.

La entrada Contratar un pentesting: ¿un privilegio o una necesidad? se publicó primero en 4Elitech.