Mi experiencia con la Deep Web

Hola!

Hace varios días tenía la intención de escribir este post, y por fin se ha dado. Hoy quiero contarles sobre algo que existe hace algún tiempo (desde el 2006 más o menos), pero es desconocido para muchos de nosotros. Se trata de la Deep Web según wikipedia también conocida como  Deepnet, Invisible Web, Undernet o hidden Web.

La web que nosotros usamos, aquella en la que trabajamos todos los días, donde hay buscadores y todas máquinas tienen un nombre recordable para humanos (www.mipaginapreferida.com), es sólo la superficie. Hay una web más profunda donde existen montones de contenidos que NO estan indexados por buscadores como Google o Bing. Muchos sitios no pueden ser accedidos por los robots de estos buscadores porque contienen información no catalogable o no accesible, como por ejemplo bases de datos con password o páginas que se generan dinámicamente. Todo ese contenido es el que hace parte de la Deep Web. Allí se puede encontrar de todo: desde libros, paginas que hablan sobre entrenamiento militar, conspiraciones, submarinos, pasando por ovnis, wikileaks, como conseguir drogas pesadas, órganos, armas, bombas, hasta lo más macabro de la humanidad como pedofilia, zoofilia y muchas porquerías más (desafortunadamente).

Esto me lleva a pensar, que será muy difícil que los gobiernos logren algún día realmente controlar lo que se publica en Internet, así digan lo que digan y hagan lo que hagan. Mi intención no es alentar a nadie a usar este contenido, sino que sepamos que existe y como funciona.

Aquí podemos ver un gráfico donde nos podemos dar una idea de lo que estamos hablando:

Como podemos observar, la Web Nivel 0 que es donde nosotros nos movemos a diario, es sólo la punta del Iceberg. En teoría el 4% de la información de Internet está en el Nivel 0 y el 96% está en la deep web. Antes de proseguir, debemos saber que el contenido que se encuentra allí puede llegar a ser ilegal u ofensivo, puede estar lleno de malware, imágenes horribles  y muchas cosas más, por eso siempre se recomienda no descargar nada, no dejar direcciones de correo, no tener la cámara web activa, no inscribirse a nada, etc.

Esto es como salir a la calle, en el nivel 0 estás en el lugar turístico de la ciudad, en la deep web te adentras en los lugares más peligrosos de la ciudad y hay que ser cuidadosos.

Paso siguiente, conectarse a la deep web. Primero que todo debemos descargar tor (The Onion Router), herramienta que nos permite navegar en Internet anónimamente, y usada para ingresar a la Deep Web. Después de esto, lo ejecutamos

[user@machine ~]$ cd Descargas/tor-browser_en-US/
[user@machine tor-browser_en-US]$ ll
total 28
drwxr-xr-x 3 milena wheel 4096 jul 24 17:08 App
drwxr-xr-x 5 milena wheel 4096 jul 24 17:08 Data
drwxr-xr-x 5 milena wheel 4096 jul 24 17:08 Docs
drwxr-xr-x 3 milena wheel 4096 jul 24 17:08 Lib
-rwxr-xr-x 1 milena wheel 7251 jul 24 17:08 start-tor-browser
drwxr-xr-x 2 milena wheel 4096 jul 24 17:08 tmp
[milena@sheva tor-browser_en-US]$ ./start-tor-browser

Aparecerá la ventana de conexión:

Después de lo cual, abrirá el navegador firefox:

Sobra decir que mi IP de origen ha sido cambiada, gracias a la "colaboración" de servers que hacen mi navegación anónima y difícil de rastrear:

Desde esa instancia de Firefox podré navegar a cualquier sitio, manteniendo como premisa mi anonimato. Debemos aclarar que el anonimato no está garantizado al 100%, simplemente se hace mucho más difícil rastrear el origen de una conexión que se realizó desde Tor, más no imposible.

Y ahora que? No hay buscador, hay que saber a donde se quiere ir... Adicionalmente los nombres de dominio son bien extraños (nada fáciles de recordar) y la mayoría pertenecen al dominio .onion. Buscando en el Nivel 0, encontré algunos links interesantes:

Catálogo de sitios .onion                     http://ahmia.fi/

Otro directorio de sitios .onion           http://dppmfxaacucguzpc.onion/

Algo relacionado con hacking             http://clsvtzwzdgzkjda7.onion/

La Hidden wiki        http://kpvz7ki2v5agwt35.onion/wiki/index.php/Main_Page

Torch                                                     http://xmh57jrzrnw6insl.onion/

Hay que tener un poco de paciencia porque en la Deep web las conexiones son más lentas, debido a que pasamos por varios redireccionamientos antes de llegar a la página destino.

Aquí unos pantallazos de los sites visitados:

 Bueno, como dijo un famoso conejo: Eso es todo amigos! Espero que sea de su interés y que se diviertan.

Bienvenida

Hola!

Este es mi primer blog, está en periodo de prueba... vamos a ver como nos va. No pretendo presumir de gurú, solamente compartir los resultados de pruebas que realizo o noticias que suceden al rededor del tema  de la seguridad informática. Agradezco sus aportes y sugerencias y espero que esta información sea valiosa para quien la lea.

Robo de contraseñas en servicios gratuitos

Robo de Contraseñas en Servicios gratuitos de Internet

Ha sido conocida de forma reiterada el robo de hash de contraseñas de servicios como yahoo!, hotmail, gmail, y linkedin. Esto es preocupante, porque se está "echando al traste" todo el esfuerzo realizado para enseñarle a los usuarios que deben utilizar contraseñas "fuertes". Aunque el usuario coloque una buena contraseña, ahora además depende también de la seguridad que el sitio le brinde al almacenamiento de su contraseña (o de los hash).

Un hash (valor hash) se obtiene mediante la aplicación de un algoritmo (funcion hash) sobre un texto o documento, generando como resultado una cadena de longitud fija que lo representa de forma única. Es importante aclarar que una función hash nunca generará dos hash idénticos aunque la entrada sea la misma.

Aquí un ejemplo gráfico tomado de Wikipedia:

Apenas ayer se conoció que habían sido robadas más de 400.000 contraseñas del servicio Yahoo! Voices, un servicio utilizado para realizar llamadas por Internet. Hoy nos enteramos que este robo también incluyó el robo de contraseñas de usuarios de Gmail, Hotmail, MSN, AOL, Comcast, SBC Global, Verizon, BellSouth y Live.com. También hoy nos enteramos que fueron robadas 420.000 contraseñas de una red social llamada formspring.

En conclusión si tenemos usuario en alguno de estos servicios, debemos cambiar la contraseña. Si usamos esa misma combinación (correo y contraseña) en otros servicios, también debemos cambiarla.
Como administradores de servicios y consultores en seguridad debemos tomar conciencia de predicar y también aplicar.

Actualizado (16 de Julio): Se conoce el robo de 400.000 cuentas de nvidia y AndroidForums. 

Detectan un troyano que puede atacar a cualquier sistema operativo

La empresa de seguridad informática F-Secure ha localizado un peligroso applet de Java en una página web de Colombia que detecta el sistema operativo del usuario e instala malware compatible con el mismo.

Básicamente, el troyano se aprovecha de un applet malicioso de Java que le permite instalar puertas traseras en ordenadores gobernados por Windows, Mac OS X o Linux.

Cuando el usuario accede a una web infectada se le solicita que instale el applet de Java, y a pesar de que este no presenta su correspondiente certificado de seguridad, lo normal es que muchos usuarios caigan en la trampa y acepten su descarga.

Más adelante, cuando ya está el applet instalado en el ordenador de un usuario, realiza una comprobación para determinar su sistema operativo y en ese momento aparece el troyano compatible con ese equipo.

Al parecer, el troyano fue escrito con la aplicación open source SET, un kit de herramientas para ingeniería social.

Fuente: theinquirer

El árbol mágico del pentester

Hoy quiero comentar sobre una herramienta que encontré llamada Magric Tree, desarrollada por la empresa  gremwell (http://www.gremwell.com/),  y que es perfecta para almacenar la información que obtenemos de diferentes herramientas durante un pentest como nmap, nessus, o nikto. Muchas veces tenemos toda la información pero no sabemos como organizarla o como analizarla.
Bueno, al grano. Para descargarla, podemos ingresar aquí. Lo más interesante es que está desarrollada en java por lo que funcionará perfecto en windows o linux.
En mi caso uso Fedora Core  15, y después de descargarla, sólo la ejecuté con:
java -jar MagicTree-1.1-build1643.jar &

y vualá  (voilà)

Ahora agregamos un nuevo nodo con Ctrl + N

Importemos los resultados de nmap. Para esto ya debemos tener la salida del nmap almacenada en formato XML, la cual se obtiene con la opción -oX del nmap.  En mi caso la obtuve con el comando:

nmap -P0 -sS -sV -O -p 1-65535 -vvv 192.168.1.100 -oX 192.168.1.100-nmap.xml

Con el comando nmap --help podemos averiguar para que sirve cada una de las opciones.

Después de esto, lo único que hay que hacer es ingresar por File -> Open y cargar el archivo llamado 192.168.1.100-nmap.xml. Aparecerá entonces el resultado en Magic Tree:

Humm, ahora probemos con nikto:

nikto -h 192.168.1.100 -p 80 -o 192.168.1.100-nikto.xml -Format XML

Mediante File -> Open, cargamos el archivo 192.168.1.100-nikto.xml

Podemos observar las aplicaciones web detectadas y las vulnerabilidades encontradas. Ahora importemos el resultado del análisis de vulnerabilidades con Nessus:

Magic Tree soporta la importación de los formatos XML de las siguientes herramientas:

• Burp (as of Burp Suite version 1.3.07)Nmap
• Nikto
• Nessus XML v.1
• Nessus XML v.2
• OpenVAS
• Qualys
• Imperva Scuba

y el autor indica que podemos adicionar otras más adicionando transformaciones XLST (http://www.gremwell.com/magictreedoc/9a673327.html).

Finalmente, podemos exportar estos resultados en un archivo word/open office, muy útil para nuestro informe.  Debemos ingresar por Report -> Generate Report.  Nos preguntará por el template que queremos usar, los templates estan en ~/.magictree/report-templates. Los templates disponibles por defecto son:
- base.docx - No contiene nada
- open-ports-and-summary-of-findings-by-host.docx: Lista todos los hots, puertos y servicios descubiertos, vulenrabilidades encontradas agrupadas por host.
- simple-test-log.docx:  Lista todos los comandos ejecutados con la fecha de inicio y terminación y un pequeño log. 
- summary-of-findings-with-details.docx: Lista las vulnerabilidades de nessus agrupadas (cada vulnerabilidad se lista una sola vez), con una tabla listando todos los hosts afectados por cada una. 
- summary-of-findings-cross-referenced.docx: Una plantilla con tres secciones. La primera contiene las vulnerabilidades agrupadas, la segunda contiene los resultados por hosts y la tercera contiene los comandos ejecutados con un log. Todas las tres secciones tienen referencias cruzadas.

Excelente!!! para mi esta herramienta es muy buena porque me ahorra bastante trabajo. Espero les guste. Obviamente tiene muchas más funcionalidades no detalladas aquí, tal vez más adelante.