Hoy he descubierto una gran utilidad que solventa ciertos temores que tenia respecto al análisis forense y seguridad informática. ¿Como saber que dispositivos USB se han conectado?
Con el bajo coste de estos dispositivos todo el mundo tiene un PenDrive en su bolsillo, con lo que facilita el transporte de la información personal y laboral. Por desgracia también generan problemas de seguridad, a saber, robo de información, virus, herramientas ilícitas, etc...
Con todo, se hace necesario tener controlados estos dispositivos, ya sea negando su uso general, negando casos específicos o simplemente recuperando la información sobre su uso.
Todas estas operaciones nos las facilita USBDeview que con solo 80Kb en disco se convierte en una utilidad ideal para llevar en USB jejeje. La información que nos brinda es muy variada pasando por última conexión, fabricante, numero de serie, etc.
Hace un par de años que tengo aparcada esta maqueta de un U-Boat tipo VII-C, a escala 1/72 de Revell. Me la regaló mi mujer por navidades y empecé a montar el casco, como quería hacerla de librillo quise pintar pieza a pieza pero me quedé sin aire comprimido y al poco mi vida se complicó de tal forma que el tiempo libre desapareció durante casi un año.
Hace unos días, viendo el Keroro, recordé el aerógrafo (baratillo) que tengo y con ello la maqueta de este inmenso submarino. Me dio por buscar información por internet y encontré un par de videos japoneses o chinos (a saber) sobre un tipo que monta uno. No hay que decir que es una delicia ver como pinta, yo que tan solo he pintado una maqueta con aerógrafo no imagino ni como hacerlo pero me ha animado a reemprender la tarea!
A ver si pierdo menos el tiempo con jueguecitos de estrategia y me dedico a montar esta preciosa maqueta y el San Francisco II!
Aquí los videos:
Parte 1:
Parte 2:
Por suerte, esta semana santa he adelantado trabajo en todos los campos, he preparado clases, exámenes de recuperación, estudiado los próximos temas del master de seguridad, he plantado patatas y he desbrozado los alrededores de la casa… con suerte podré dedicar algo de tiempo al maquetismo! A más, creo divisar "tormetas" en el horizonte que amenazn mi tiempo libre y pondrán a prueba mis nervios y las estabilidad familiar... en cuanto pueda confirmarlo ya sabreis a que me refiero! Así que hay que aprobechar el ahora!
Aquí también pongo un enlace a la sección de maquetismo de la 24 flotilla (a la que pertenezco) donde se explica el uso y desuso del aerógrafo.
Básicamente hay dos ataques interesantes desde mi punto de vista, el primero es la obtención de robots.txt y el segundo es el saveserver.php.
Robots.txt es un archivo de configuración que indica a los robots de los buscadores que directorios deben y no deben indexar en sus motores. Por tanto es susceptible de encontrar directorios sensibles que no se desean indexar. A pesar de todo, después de comprobar la IP en Whois queda descartado que sea un ataque ya que pertenece a Google y sencillamente se tratará del propio motor de búsqueda que hace la petición.
Por otro lado el saveserver.php parece que adolece de un bug que permite subir un archivo. No hay que decir que es gravísimo ya que subiendo un PHP que ejecute comandos en el servidor ya tendría el atacante una consola con los permisos del usuario del servidor... una puerta totalmente abierta al sistema. Este bug está documentado aqui.
Parece increible, pero el servidor casero empieza a acomular ataques en una sola semana.
Sobre los registros de apache vemos estas entradas: [Mon Mar 10 20:06:28 2008] [error] [client 66.249.66.240] File does not exist: /var/www/robots.txt [Mon Mar 10 22:05:18 2008] [error] [client 66.249.66.240] File does not exist: /var/www/robots.txt [Tue Mar 11 02:57:36 2008] [error] [client 62.141.42.74] File does not exist: /var/www/admin [Tue Mar 11 02:57:38 2008] [error] [client 62.141.42.74] script '/var/www/saveserver.php' not found or unable to stat
Sobre los registros de autentificación vemos:
Mar 8 16:32:11 alquimia sshd[22947]: Did not receive identification string from 61.141.5.10 Mar 8 21:56:53 alquimia sshd[23206]: Did not receive identification string from 83.238.213.227 Mar 8 16:36:18 alquimia sshd[22958]: Invalid user raimundo from 61.141.5.10 Mar 10 19:00:50 alquimia sshd[25535]: Invalid user admin from 211.21.28.238
Resumiendo, podemos ver que en el registro de Apache aparecen varias entradas que buscan webs mal configuradas o información sobre la estructura del portal. En los registros de autentificación se observan básicamente intentos infroctuosos de entrar mediante SSH... este raimundo... XD
Con todo queda evidente que exponer a internet un servidor pre-configurado o mal configurado puede ser realmente desastroso!
Bueno, una semana aun no y ya he migrado todas las aulas y creado el espacio para el hacklab en el servidor casero.
Para poder administrarlo remotamente he instalado el servidor SSH con autentificación con clave pública/privada. De esta manera estará menos sujeto a ataques de diccionario/fuerza bruta.
Tan solo espero no perder el pendrive!
Algunas páginas con información valiosa para montar este sistema de autetificación son:
También estoy instalando un sistema de monitorización de la integridad de los archivos críticos del sistema. Aunque como desconozco por completo estos sistemas me lo estoy tomando con mucha mas calma.
Por ahora todo lo básico está instalado y funcionando. Falta mejorar dia a dia!
Pues premonitoriamente la semana pasada instalé un servidor web en un ordenata viejo de casa... y esta semana ha vuelto a petar de forma espectacular el servidor de XTec XD
Por el momento no tengo mas que el Moodle instalado, sin aulas ni material, pero la idea es migrar las aula virtuales que uso en el trabajo. De esta manera no estaré sujeto a las caidas del servicio de Phobos.
Otro objetivo al alcance es abrir un HackLab virtual. Un grupo de gente con ganas de aprender seguridad informática i exeprimentar. Si alguien esta interesado que lo diga. La idea bàsica és intentar aprender unos de otros y "forzarnos" a hacer pruebas de campo, etc... creo que así podríamos aprender mucho. De echo la pròpia gestión del servidor ya es de por si la primera prueba de campo!!
A parte de eso todavia falta bastionar un poco el servidor y aislarlo del resto de la red para evitar males mayores y montar un sistema de copias remotas de las aulas. A partir de ese punto empezaremos a hablar de migrar las aulas y montar un hacklab.
Entradas
