LinuxParty

En las entregas anteriores hemos visto cómo escribir código inyectable y cómo inyectar nuestro código en otros binarios sirviéndonos de diversos trucos. La siguiente fase lógica -la activación- ya no consistirá sólo  en saltar a nuestra rutina inyectada, si no también el devolverle el control al código original y no levantar sospechas.

SystemRescueCd cuenta con una nueva versión estable, la 2.7.0, que actualiza partes importantes del sistema y otras herramientas principales. Añade ahora además la gestión para paquetería Debian y Red Hat, lo que quiere decir tambien, Ubuntu y Fedora.

Navegador web y administrador de archivos - SystemRescueCd 2-6-0 SystemRescueCd 2.7.0 es la más reciente versión estable, disponible para descargar, con el kernel Linux estándar 3.2.16 LTS y los kernels Linux alternativos en su versión estable 3.3.5.

Linux viene con un firewall basado en hosts llamado Netfilter. Según el sitio oficial del proyecto:

netfilter es un conjunto de hooks dentro del kernel de Linux que permite a los módulos del núcleo registrar las funciones de devolución de llamadas con la pila de red. Una función de devolución de llamadas registradas entonces se llamó de nuevo para cada paquete que atraviese el hooks correspondiente dentro de la pila de red.

Si estás empezando, te recomendamos la lectura de:

• 20 Ejemplos IPTables para nuevos Administradores de Sistemas

Este firewall basado en Linux está controlada por el programa llamado iptables para el filtrado para IPv4 e ip6tables. Recomiendo que primero lea nuestro tutorial rápido que explica cómo configurar un firewall basado en host llamado Netfilter (iptables) en CentOS / RHEL / Fedora / Red Hat Enterprise Linux. Este post muestra las listas más comunes de iptables con las soluciones requeridas por un nuevo usuario de Linux que quiera asegurar su sistema operativo Linux de intrusos.

Iptables Las reglas de ejemplo

• La mayor parte de las acciones enumeradas en este post están escritos con la suposición de que será ejecutado por el usuario root o cualquier otro con usuario con privilegios. No escriba los comandos en un sistema remoto, ya que  desconecte el acceso.
• Para propósito de la demostración que he usado Red Hat Enterprise Linux 6.x, pero el siguiente comando debería funcionar con cualquier distribución de Linux moderna.
• Esto no es un tutorial sobre cómo configurar iptables. Ver tutorial aquí . Se trata de una hoja de trucos rápido a los comandos comunes de iptables.

# 1: Visualización del estado de su firewall

Escriba el siguiente comando como root:
# iptables -L -n -v
Salidas de la muestra:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Por encima de la producción indica que el firewall no está activa. El siguiente ejemplo muestra un firewall activo:
# iptables -L -n -v
Salidas de la muestra:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
  394 43586 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   93 17292 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
    1   142 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 wanin      all  --  vlan2  *       0.0.0.0/0            0.0.0.0/0
    0     0 wanout     all  --  *      vlan2   0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain wanin (1 references)
 pkts bytes target     prot opt in     out     source               destination
Chain wanout (1 references)
 pkts bytes target     prot opt in     out     source               destination

 

 

Resumen: Zscaler dice que la mayoría más grande de los sitios web son seguros, pero aproximadamente 1 de cada 5 de ellos puede ser clasificado como malicioso o sospechoso. Puede ejecutar la misma herramienta en su propio sitio web.

¿Cuántos sitios web en Internet son maliciosos? ¿Cuántos de ellos no lo son? Si bien nunca vamos a conocer las cifras exactas, se estima, dice que casi 1 de cada 10 son maliciosos, mientras que aproximadamente 1 de cada 10 de ellos son sospechosos.

Yo solía viajar con un libro y algo de ropa en una mochila, y ahora mi vida entera cabe en mi maletín. Tengo un ordenador portátil, una tableta y un teléfono celular con acceso a todos mis documentos a través de Dropbox , y todos los libros que tengo están en mi Kindle. Aparte de tener estos cuatro electrodomésticos, la bolsa tiene todo lo de valor que poseo. Si me roban la bolsa mientras estoy de viaje, tendría más problemas que si mi apartamento se incendia (aunque no estoy en él). ¿Qué puedo hacer para asegurar mi vida en un maletín?

Aunque generar las claves publica/privada y subirlas a un servidor remoto SSH para que nos permita conectar directamente a la máquina sin necesidad de que nos pida la password es muy sencillo, nunca ésta de más tener un simple script que nos simplifique éstos pasos. Para ello podemos usar sshput, que nos permite generar las claves y despues indicando el usuario y dirección del servidor ssh, ya se encarga de subir la clave pública para que las siguientes veces que queramos acceder a ése servidor (y si tenemos los correspondientes permisos a la máquina) ya no tengamos que meter la password.

Durante años, desde que los ordenadores han estado al alcance de las más calenturientas mentes de los hackers de antaño, multitud de extrañas ideas han pasado por sus cabezas, muchas de las cuales fueron llevadas a la práctica y de entre todas ellas, una que creó escuela (sobre todo allá por los años ochenta y principios de los noventa) fue la de infección de binarios. Escribir un programa que puede inocularse a otro, pegársele como un parásito y extenderse por ahí, suena casi a ciencia ficción, ¿cómo resistirse?

Justo hoy me dicen que uno de mis sites estaba infectado, los redirigía a una url, como siempre pasa en estos casos los que crean las inyecciones en sitios web saben que los dueños o usan Firefox o Chrome, entonces en el javascript inyectado detectan que navegador usás.

Si es con alguno de esos, no se "muestra", si es con, por ejemplo, Internet Explorer, activa la maldad. Ahora bien, mis lectores con IE no son más que el 10% por lo que, para colmo, había menos chances de que me entere. 

YASAT (Yet Another Stupid Audit Tool) es una sencilla herramienta de auditoría estúpida. Su objetivo es ser tan simple como sea posible con las dependencias binarias mínimas (sólo sed, grep y cut) Segundo objetivo es documentar cada prueba con la máxima información y enlaces a la documentación oficial. Se hacen muchas pruebas para comprobar la configuración del problema de seguridad u otras buenas prácticas. Comprueba muchas configuraciones de software como: