Single Sign-On causa un Efecto Domino en Forest de Windows!!!

Hola amig@s,


Single Sign-On causa un Efecto Domino en Forest de Windows, servicios de autenticacion unica y segura, esquemas de Bosques de Dominio de Microsoft , sono interesante para atraerte a esta lectura NO?

Pero en realidad te voy a contar de que se trata en gratitud de tu valioso tiempo para llegar aqui en un Click!!

Es la historia del Nunca Jamas............

Para todo proyecto realizamos una primera reunion con el cliente, retomando la Planeacion y dando inicio al mismo. Como cosa rara, pienso que la idea de algunos de nuestros clientes es

"Si te tengo cerca, te CONTROLO..........".

Debido a que generalmente me ubican en las oficinas del responsable de la Infraestructura, Tecnologia o Sistemas o donde me puedan ver fisicamente, como decimos coloquialmente

"Con el cliente respirandome en la Nuca" xD

Para bien o para mal, estos primeros acercamientos son los que generalmente aprovecho para iniciar el proceso de "Recoleccion de Informacion Competitiva", cuanto documento o informacion sensible encuentro a la mano es victima de ser fotografiada por mi Iphone para su posterior analisis.

Asi da inicio esta historia....

Aprovechando que me encontraba en la oficina del segundo a bordo responsable de Tecnologia, en donde me fue asignado un puesto de trabajo (generalmente solicitamos un equipo) y un punto de Red para uso de mi portatil (Test de Intrusion Interno). Observe rapidamente una gran cantidad de informacion que a simple vista no me decia nada, ni era obvia su importancia, representaban solo garabatos o anotaciones escritos a la ligera.

Pero si nos ubicamos en el perfil de un atacante, cuya intencion es de aprovechar al maximo cualquier tipo de informacion posible y validarla, pasan de ser simples garabatos a interesantes fuentes de informacion. Lo cual condujo a que probara con datos que se encontraban en una libreta encima del escritorio en la cual me di la tarea de rapidamente con mi Iphone de tomar una foto de la misma para probarla posteriormente, dandome acceso a una cuenta de usuario del Dominio sobre el computador que nos habian facilitado, y me permitio instalar herramientas de intrusion a nivel local.



Del cual ya sabran que tanto daño puede causar y no tengo ni necesidad de nombrar la herramienta de software, que se convierte en punto clave de esta labor.

Para este caso se instalo una herramienta que me permitio realizar un MITM (Man In The Middle). Levantando credenciales de autenticacion del cable de la unica aplicacion de la cual no pasaba cifrada, que era la aplicación de HelpDesk, ya que desde el Directorio Activo, Correo, Aplicaciones, etc. tenian protocolos de ciframiento. Desafortunadamente para el Administrador de Infraestructura esta era la unica que pasaba plano por http.

Con tan mala fortuna que la misma clave, aunque estuviese construida con practicas de creacion de credenciales (robusta) era la misma para 15 Servidores (ISA Sever, BD, Radius, Mensajeria, etc) del mismo Forest, dando acceso a ellos.

A continuacion se presentara una muestra de los servidores del Forest de Windows de la Organizacion, con Rol y perfil definido, los cuales son comprometidos, debido a que la clave y el usuario del Master Administrator fue capturada y valida para todo el Forest de Windows en la Organizacion. “Servidor de Correo , Entidad Certificadora, GPOs”

Mala practica, pues que le vamos a hacer, tenemos un dicho,

"Cuando a Nosotros nos va Bien, a Infraestructura Y Seguridad de Informacion de la Empresa le va Mal"

Gracias a Dios hasta ahora siempre nos ha ido Bien!!!.

Esta es la historia del Nunca Jamas.........

• Nunca Jamas utilices las mismas credenciales de validacion en todos tus servidores.
• Nunca Jamas dejes de cifrar la informacion que viaja por tu Red.
• Nunca Jamas dejes informacion sensible ante un extraño ( cualquier actor de la cadena de valor de tu Negocio).
• Nunca Jamas dejes de utilizar sistemas de Analisis y monitoreo de Red, anti sniffing, hids, IDS, Kit de Seguridad a nivel de LocalHost (revisa cada capa de seguridad).
• Nunca Jamas dejes de construir tus contraseñas con normas adecuadas (robustas) o passprhase, custodia de claves.
• Nunca Jamas dejes de proteger tus estaciones de trabajo desde seguridad en el case, claves, ciframiento,....................,hasta seguridad por Politicas de Grupo.
• Nunca Jamas dejes de cumplir tus Politicas de Seguridad.
  
• Nunca Jamas, etc, etc, etc. Buenas practicas de Hardening (aseguramiento).

Como puedes ver si era un Sistema de autenticacion seguro, aunque en realidad no se trataba de un "Single Sign-On" que aumentara un Nivel mas de seguridad.

Son malas practicas que afectaron la Infraestructura Tecnologica, CAYENDO Servidor por Servidor COMO UN EFECTO DOMINO, por destacar el ISA SERVER, EL IAS "Radius" , Servidor con GPOs, La Entidad Certificadora.

De antemano me disculpo si este Articulo no lleno tus expectativas y caiste por colmar tu curiosidad aqui.

Nunca Jamas dejes de leerme...................Por que aqui te estare esperando :P


Bytes


Dino

"YO NO SOY una IP" Pero mis rastros me Condenaron!!

Hola amig@s,


Retomando un caso de Investigacion en Informatica forense, del cual se nos solicito nuevamente informacion por parte de los organismos judiciales y recordando haber leido en
No somos direcciones IP

cito:

Un juez británico dedicado a casos de copyright y patentes determinó que las direcciones IP involucradas en un supuesto intercambio ilegal de archivos no tienen por qué identificar a una persona, en consecuencia no responsabilizan a priori a persona alguna por haberlo hecho.

Las direcciones IP son referencias numéricas usadas para identificar entidades en Internet. En el contexto de este caso las entidades pueden ser computadoras o routers de banda ancha para el hogar. […] NG3 Systems preparó un reporte que enlaza cierto filme con direcciones IP en cierta hora y fecha en una red P2P […] Probar que una persona posee una fotocopiadora no prueba que ha cometido actos de violación de derechos de autor […] relacionar dirección IP, filme y red P2P no establece que hubo una violación allí.

Pero, dicen los abogados de la parte acusadora,

¿Qué pasa si el acusado autoriza a otro de usar su conexión a Internet y éste, ignorándolo, usa software P2P e infringe derechos de autor?

Me di cuenta de como los hallazgos encontrados en las evidencias , presentados como elementos probatorios de nuestro caso forense realizado, encajaban como argumento para ser la antitesis de la determinacion de este juez, brindandole los argumentos tanto informaticos y con base para fundamentos juridicos a exponer a un fiscal o litigante segun la parte interesada de la forensia.

La idea es mostrar algunos apartes del informe preliminar presentado, en donde uno de los objetivos principales de la forensia era demostrar en el momento en que se realizaba el ilicito, fraude o como se tipifique el delito. "Que no hubo suplantacion de identidad"

Para este fin se sigue la practica correspondiente para planear, dirigir y ejecutar la Investigacion forense, de la cual no voy a entrar en detalle, puesto que no es el fin de este Post.

El encabezado del Informe preliminar forense es el siguiente:

Problemática actual del Incidente:

Objetivos de la Investigacion Informatica Forense.

De los cuales solo nos interesa el primero, que es el que vamos a a tratar en este articulo.

Hipótesis de la Investigación forense.

Time Line Sindicado 1.

En el Time Lime, se muestra como umbral de tiempo el establecido entre las fechas y horas de tiempo en que se ejecuta el ilicito y a su vez se realizan otras tareas por parte del usuario comprometido o sindicado del delito.

Conclusion de La linea de tiempo tomada para ese dia, en el transcurso de horas determinadas.

Palabras más, palabras menos...........

La persona sindicada del delito, era un funcionario que estaba atendiendo un reclamo dandolo de baja de forma indebida ( lo que vulgarmente ellos denominan "Bajadas de Plata -Facturas"), y en el mismo momento en que ejecutaba la accion, realizaba otros procedimientos, lecturas, consultas que requerian de sus credenciales de acuerdo a su rol y privilegios de usuario, leia informacion personal que solo le compete a su vida privada, enviaba mensajes de trabajo que requieren de su autenticacion con sus credenciales en otros servidores, borraba informacion haciendo uso de su cuenta de usuario y se relacionaba con otros usuarios directos de su area y de sus funciones para resolver inquitudes y situaciones del dia a dia de su trabajo.

En unos tiempos muy cortos, se sucedian estas acciones, lo que no daria cabida para que un usuario tome su sesion abierta e inicie un proceso de cancelacion o fraude dentro del sistema (por el tiempo que este demora) y no se podria presentar la interaccion de otros aplicativos como la mensajeria u otros procesos de su trabajo diario e informacion que solo el usuario conoce por ser personal y de sus funciones propias de su trabajo.

Algunos hallazagos de los papeles de trabajo, como comprenderan estos tambien son modificados en su presentacion para no violar la reserva del sumario y la confidencialidad del caso:

Apartes del Time Line tomado con The Sleuth Kit and Autopsy Browser

TROZOS DE CORREO ENCONTRADOS EN CACHE.

THUMBNAIL DE LA IMAGEN DE TARJETA DE PRESENTACION DE DOS DE LOS FUNCIONARIOS CON LOS QUE SOSTENIA RELACION DE TRABAJO.

Cruce de correos tomados del cache, de las funciones del dia a dia del funcionario.

Carga de los aplicativos para las labores de la funcionaria sindicada.

Documentos personales leidos por el usuario.

De igual manera podriamos seguir mostrando hallazgos que conforman la evidencia para sustentar y validar el alcance de este primer objetivo (recuerden solo estamos presentando el primer objetivo determinado para la forensia).

Para los otros implicados se logro validar la evidencia siguiendo los mismos procedimientos.

Es asi, como se pretende demostrar que en realida "NO SOMOS UNA IP" ni un "APLICATIVO DE SOFTWARE". Pero nuestras huellas o rastros si nos comprometeran con una situacion, escenario o caso que puede conducir a conformarse como un delito.

Siempre le digo a los clientes:

"LAS EVIDENCIAS NO MIENTEN, EN LAS IMAGENES FORENSES QUEDAN REFLEJADA LA VERDAD Y SOLO LA VERDAD, NI MAS NI MENOS, SOLO TENEMOS QUE ENCONTRAR Y DESCIFRARA LO QUE ACONTECIO"

Se deben conjugar estas tres variables para el éxito:

“La tecnica procedimental+ Lo legal+Correlacion con el Delito”.

Sin una de ellas no se consigue una prueba admisible y por lo tanto no hay delito que juzgar.


Con cariño para uds. que se gastan tiempo en estas lineas,


Bytes



Dino

“Como CAIN&ABEL No hay otro igual”

Saludos a todos,

Sí, esa es la razón de ser de este escrito, “Como CAIN& ABEL no hay otro igual” y no estoy haciendo referencia a “Holy Bible” y la Narración del chico Bueno y el chico Malo con su sacrificio ante Dios.

Como leerán y verán a continuación Cain es un chico tan bueno como Abel.

En realidad estoy haciendo referencia al excelente software creado por el Señor Massimiliano Montoro y su grandioso Web Site.

Rondaba en mi cabeza la intención de escribir desde hace mucho rato sobre este maravilloso aplicativo, puesto que se convirtió en uno más de las armas de mi arsenal para Análisis de Seguridad, el cual no puede faltar en ningún de mis Test de Intrusión Interno, apelando a sus excelentes métodos para la recuperación y desciframiento de contraseñas, contribuyendo así en la consecución de hallazgos que nos fortalezcan nuestras evidencias de auditoría de seguridad.

Antes de pasar a las imágenes de evidencia, una breve descripción de lo que es CAIN&ABEL para quien no conozca de esta maravillosa herramienta Multiuso.

“Caín y Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft. Permite la recuperación fácil de diversos tipo de contraseñas por métodos de sniffing de la red (olfateo de red), craqueo de contraseñas cifradas utilizando ataques de diccionario, fuerza bruta y ataques de criptoanálisis, permite grabar conversaciones de VoIP, descodificar contraseñas, recuperar claves de la red inalámbrica, revelar contraseñas en Text Box, caché las contraseñas en Windows y el análisis de protocolos de enrutamiento.

La última versión es más rápida y contiene muchas características nuevas como APR (Arp Poison Routing) que permite el rastreo en cambió de LANs y ataques Man-in-the-Middle.

El sniffer en esta versión también puede analizar los protocolos cifrados como SSH-1 y HTTPS y contiene los filtros para capturar las credenciales de una amplia gama de mecanismos de autenticación. “

Bien y si no me crees, échale un vistazo a las siguientes evidencias. El orden de los factores no altera el producto xDDD

No pretendo entregar un manual del producto, el cual puedes descargar de aquí View Cain & Abel on-line User Manual Así que iré detallando cada evidencia sin establecer un nivel o criterio de importancia.

Corresponden a diversos proyectos ejecutados de los cuales tratare de incluir lo que considere más relevante, ya que si me doy a la tarea de subir todo, creo que este Artículo no me alcanzaría para su inclusión.

Enumeración de Equipos o Sondeo de Red.

Si hacemos uso de Su pestaña de Host y Network tenemos la posibilidad de Sondear o enumerar la Red de la cual pertenecemos al segmento de Red o tenemos enrutamiento alguno. De igual forma tratar de acceder a recursos compartidos, Bases de Datos, o registros de Windows en los equipos.

Recursos Compartidos, acceso por clave o usuario Anonymous.

Llaves de Registro y Recursos Compartidos.

Enumeración de usuarios, registro y recursos compartidos.

Enumeración de Servicios.

Registro del sistema.

En algunas ocasiones nuestra estación de trabajo es controlada o nos aplican restricciones con medidas como Vlans o Acls (Listas de Control de Accesos), etc. Algunas formas de tratar de evadirlas es montando una Maquina virtual y estableciendo una configuración estática o dinámica, un Ip spoofing, mac spoofing, con una mac diferente para saltar el control de Acls por MAC, como se muestra a continuación capturando credenciales de autenticación (login y password) en tramas de HTTP una vez se ha iniciado un ARP Poisong.







Captura de tramas HTTP con credenciales y comportamientos de navegación, si tienes algún sitio prohibido de navegación, aquí te darás cuenta que te están saltando el proxy o el Web Content.

Captura de credenciales de autenticación servicio FTP, en conexiones FTP.

Explotando el servicio ;P

O lo prefieres visualizar así :)

Captura de tramas del protocolo SIP (Session Initiation Protocol) en un sistema Asterisk (VoiP).

Captura de tramas protocolo POP3 (servicio de correo interno).

Captura de tramas protocolo SMB. Indicio excelente para aplicar un SMB Relay :P

Captura credenciales Oracle (TNS) ciframiento tipo DES !!

Captura tramas de VoIP.

Volcado de la SAM en una estación de trabajo vulnerada por su baja seguridad a nivel de LOCALHOST.

Proceso de ARP poisong y MITM (Man In The Middle) con Cain.

Captura de tramas http de archivos, aplicativos que pueden ser modificados On line.

Credenciales de autenticación conexiones Wirelles tomadas de los Cache Passwords de un equipo vulnerado a nivel de Localhost, en donde se ha instalado Cain&Abel.





Creo que no te gustaría que te encontraran visitando sitios de tu preferencia xDD
Aclaro que no tengo nada contra la definición de Género o estilos de Vida. Pero con esta sociedad de doble moral, no creo que te guste que encuentren que visitas estos sitios. El problema es que este es un equipo corporativo de trabajo.

Información de los Windows Mail Passwords del Cached Passwords del equipo.

Información de los Credential Manager del Cached Passwords del equipo.

Información del Protected Storage del Cached Passwords del equipo.

Información del Dialup Password del Cached Passwords del equipo.

Captura de Credential Manager en Cached Passwords, credencial de controlador de Dominio Maestro.

Captura de Certificados.

Función Cracker de Cain&Abel en donde puedes utilizar varios métodos para descifrar los hash de las contraseñas por medio de ataques por diccionario, fuera bruta, intentos, etc. Adicionalmente puedes subir diccionarios personalizados o las tablas de Rainbow Tables.

Capturas de sesión de Telnet.

Descifrado de Hash de VNC levantadas del registro de Windows.

Esto es una belleza como un Santo Grial, un LDAP abierto de Patitas :D Esperando ser coronado

Capturas de tramas protocolo SMNP.

O su intención es una Denegación de Servicios (DoS).

Huyyyyy :(

La verdad dejemos hasta aquí porque me canse y se me atrasaron algunas vainas de trabajo y académicas……..

He probado algunas otras opciones como el Cracking de Wirelles, Accesos por RDP, desciframiento de BD, Conexión a BD, Desciframiento de CCDU, Traceroute, RSA Token Security ID, Siskey Decoder, DecoderBase64, DNS Spoofing, Cisco VPN Password y Cisco Decode Password. Algunas me han funcionado otras no!!.

A lo mejor por falta de conocimiento o ser mas diestro con la herramienta. Creo que particularmente no conozco más del 50% de la misma pero ya puedes medir su potencial con los hallazgos de las evidencias anteriores.

Como puedes ver Cain también es un chico bueno como Abel!!! :P

Y como su título lo dice no he encontrado herramienta alguna similar para Linux, razón por la cual mantengo mi partición dual Win/BT algunas vainas sobre Windows como algunas herramientas forenses y de seguridad.

Ahora, no vamos a volver con el mismo cuento que siempre me encuentro!

Que usa Dsniff, Ettercap, Wireshark; Que combínalo con scripts o con otras herramientas.

Ni de esta forma se alcanza el gran potencial de esta maravillosa herramienta. Eso si recomiendo, si encuentras algo similar por favor no dudes en contactarme que es de mi especial interés!!

Con gratitud se escribió este artículo especialmente para el proyecto Sec-Track por permitirme participar de él. Congratulations mi gran amigo 4v4t4r por tan excelente iniciativa de seguridad.

Espero que sean de su agrado estas líneas, que como cosa rara me extendí más de lo que esperaba, aunque como lo dije desde el principio tratare de ser breve, tratando de mostrar el potencial de la herramienta

No me queda más que despedirme, agradecerles a todos por invertir su tiempo en leer un poco estas líneas de conocimiento,


Bytes


Dino

PD: Agradecimientos al Señor Massimiliano Montoro y su grandioso Web Site