miércoles, 25 de diciembre de 2013

Feliz Navidad 2013



Bueno en esta ocasión vengo a enviar mis mas gratos saludos a todos mis lectores y deseandoles una muy feliz navidad. Espero que ustedes al igual que yo pueden disfrutar estos dias con la compania de sus mas queridos familiar, poder compartir las risas en las conversaciones y disfrutar una gran cena familiar. La navidad no solo debe de celebrarse un día, la navidad debería disfrutarse día a día en el entorno familiar.


Bueno con estas palabras me déspido y espero realmente que hoy (Hora Perú) sigan disfrutando de estas fiestas. Bueno me déspido y será hasta la próxima. Nos vemos.





P.D :  No se preocupen, muy pronto se publicaran post realmente interesantes.




domingo, 15 de diciembre de 2013

Whonix - Anónimo desde la raíz.



Whonix es un sistema operativo centrado en el anonimato, la privacidad y la seguridad. Se basa en la red anónima Tor , Debian GNU / Linux  y la seguridad mediante el aislamiento. Una posible fuga de DNS son  practicamente imposible, y ni siquiera el malware con privilegios de root pueden averiguar la IP real del usuario.


Whonix nos ofrece :


  • Ocultar su dirección IP.
  • Evite que su ISP de espionaje a usted.
  • Evitar que los sitios web puedan tener la identificación de usted.
  • Evitar que el malware logre identificarlo a usted.
  • Eludir la censura.


Whonix consta de dos partesWhonix-Gateway, esta conformado por Tor, es importante tener siempre ejecutando este paquete, ya es nuestra salida hacia la  internet. La otra, que llamamos Whonix-Workstation, vendría a ser el O.S netamente. Cabe resaltar que todas las conexiones serán através de Tor






Sin duda esta es la seguridad mediante el método de aislamiento, la cual evita muchas de las amenazas que plantean los programas maliciosos, aplicaciones de mal comportamiento, y un error del usuario.


Basado en Debian.



Whonix se encuentra basado en Debian, pero cabe resaltar que es sólo una colección de archivos de configuración y scripts.

Esto no es una versión simplificada de Debian. Por ejemplo, todo lo que puedes hacer con "vainilla" de Debian GNU / Linux, se puede ver con Whonix. Del mismo modo, la mayoría de los problemas y las preguntas se pueden resolver de la misma manera



Whonix - Tor

Whonix se basa en la red Tor para proteger su anonimato en línea. Todas las conexiones se ven obligados a enlazarse atravéz de Tor o serán bloqueados. Tor le protege transmitiendo sus comunicaciones a través de una red distribuída de repetidores llevados por voluntarios de todo el mundo. Su conexión a Internet no podrá ser vista por ninguna persona, por ende no podrá saber los sitios que visita, y los sitios que visita no puede aprender de su ubicación física.

Bueno a continuación vamos a instalar Whoix como maquina virtual, para esto voy ha utilizar Virtual Box.




Primero nos vamos a la página oficial de Whonix y descargamos dos archivos.




A continuación vamos a descargar dos archivos (Whonix-Gateway y Whonix-Workstation).




Luego de haber terminado la descarga de los dos archivos.



Nota : Si usted tiene problemas con Virtual Box puede ser por dos motivos.



1.- El primero error puede surgir al momento de migrar el archivo. Este problema ocurre porqué usted no tiene los permisos necesarios para poder ejecutar una tarea como esa. No tiene los privilegios en dicha carpeta que va a contener la carpeta donde va a estar la máquina virtual.

2.- El segundo error puede surgir al momento de querer iniciar la máquina virtual. Este problema se origina porque el Virtual Technology se encuentra inhabilitado en su Bios. Para activarlo usted tendría que reiniciar su máquina y entrar a su Bios (Presionar F2 al arranque del sistema).Cabe resaltar que las Bios son diferentes. Una vez que este dentro de su Bios buscar la opción ya mencionada. Para activarlo (cambiar a estado enable) usted solo tendria que presionar enter y elegir la opción activar (enable). Para salir de su Bios usted tendrá que presionar la tecla Esc.




Procedemos con abrir (migrar) el Gateway ( Usted ya debe de tener instalado previamente Virtual Box) Esto se debe a que primero debemos ejecutar nuestra salida hacia internet (Configuración de salida).Aquí es donde ejecutamos nuestra conexión hacia Tor.




Esperamos mientras estamos importando el archivo.


A continuación vamos a importar el Whonix Workstation.




En este punto vamos a comenzar primero a iniciar la maquina virtual Whonix Gateway. Seguidamente iniciamos el Sispema operativo propiamente (Whonix - Workstation).


Whonix Gateway.




Una vez que que inicie el Gateway, debemos comprobar que tor este ejecutándose correctamente.Para esto vamos a abrir una ventana y consola y digitamos lo siguiente.

user@host : ~$ /etc/init.d/tor status
[ok] tor is running




Una vez que hemos comprobado que tor esta ejecutándose con éxito, vamos a ir a nuestro escritorio de nuestro O.S propiamente. 




Podemos observar el escritorio de nuestro nuevo Whonix y también que nuestro Tor esta corriendo con total éxito. 

Bueno este O.S parece tener un futuro prometedor, esto debido a las múltiples evidencias de espionaje por parte de grandes corporaciones y gobiernos. Ustedes deben de tener en cuenta que quien tenga mas información relativamente tiene mas poder.

Bueno creo que eso es todo por el momento. Espero que este post les sea de utilidad y haya podido ayudar al momento de querer ejecutarlo. Bueno me despido y será hasta la próxima. Nos vemos.












domingo, 8 de diciembre de 2013

La verdadera identidad de Stuxnet.


En esta ocasión vengo a escribir sobre el procedimiento que llevo el gusano Stuxnet en su hazaña de lograr interrumpir el programa nuclear de Irán. Bueno creo que hoy en día ya se puede afirmar esa hiposis que fue propuesta hace ya algún tiempo.

Vamos a seguir un procedimiento de análisis, de acuerdo a las etapas que el gusano Stuxnet llevo acabo desde la infección hasta las consecuencias que produjo en dichas arquitecturas de la central de Natanz.




Para poder entender este ataque que no tiene precedentes, es necesario tener un modelo distinto al modelo típico de ingeniería forense. Ya que para entender dicho ataque no es suficiente la comprensión del código informático y las vulnerabilidades de día cero. Al ser un ataque cibernético físico, uno tiene que entender la parte física , tanto las características de diseño de la planta, y de los parámetros de dichos procesos. A diferencia de los ataques cibernéticos clásicos que se ven todos los días, un ataque cibernético físico consta de tres capas y su vulnerabilidad específica :


  • La capa de TI que se usa para propagar el malware.
  • La capa del sistema de control que se utiliza para manipular (pero no alterar ) el proceso de control.
  • La capa física donde se crea el daño real.


En el caso del ataque cibernético contra Natanz , la vulnerabilidad en la capa física fue la fragilidad de los rotores de centrifugadoras de giro rápido que fue aprovechado por las manipulaciones de la presión del proceso y la velocidad del rotor .



Infección de Stuxnet.




El ataque se inicio cuando un usuario o empleado de Natanz conecto un pendrive o USB en una Notebook especifica.(Simatic Field PG, notebook industrial de Siemens) de un técnico que entrara a la central de Natanz.


Objetivo : Notebook industrial de Siemens.


Stuxnet se activaba si encontraba el programa PCS7 (Step 7 Software) de Siemens. El Software Step 7 viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)





Dicha notebook la cual eran industriales, fue elegida por el atacante ya que proveía  de datos y configuraciones a una Siemens S7- System Scada. El cual enviaba las ordenes que eran ingresadas por el notebook a los rootores de las centrifugadoras para que sean ejecutadas con los parámetros ya ingresados previamente por dicha notebook.



Las habilidades de Stuxnet son sin precedentes ya que fue programado con inteligencia. Con esto me refiero que que el el USB, el cual contenía al gusano, solo podía infectar a 3 maquinas con las que tenía contacto. Cuando el USB infectado entra en contacto con su 3era víctima, y finalize la copia del malware con éxito.
(función propia de los virus).



El Stuxnet original que se encontraba en el USB ejecutaba la función de auto-eliminación, en palabras se realizaba el procedimiento de Harakiri y no dejaba ningún rastro de dicho malware. 




Una vez que todas las copias se encuentran entre los distintos dispositivos que hubo en la planta de Natanz.Cabe resaltar que las infecciones no siempre se daban en notebook que tengan el software PCS7 (Step 7 Software) de Siemens. 




Dispersión de Stuxnet


Hay que tener presente que las los dispositivos infectados por Stuxnet, no siempre eran dispositivos con el programa PCS7 (Step 7 Software) de Siemens. Es aquí donde Stuxnet hace uso de las vulnerabilidades 0days de windows que eran totalmente desconocidas. Una de las vulnerabilidades como por ejemplo el  MS 10-046 permitía a Stuxnet ejecutar tarea administrativas en el computador infectado, cuando se desplegaba un especial icono que fuera llamado por aplicación de windows.




Nota : 25 de Enero de 2010 : Stuxnet obtiene un certificado digital válido, originalmente emitido a Realtec Semiconductor Corps por el proveedor líder de servicios de autentificación, Verisign.




En ese momento el número total de vulnerabilidades en Windows, en los cuales Stuxnet podía usar, incrementaron a 4. Con estas vulnerabilidades Stuxnet podía crear túneles de comunicación entre los distintos dispositivos asociados a una red y migrar de un punto a otro.





El Virus logro entrar por que venia con Certificado Valido(por Verisign) y los antivirus veían esto y también veían que el programa en el autorun no tenía comandos, así que lo trataba como basura, que eventualmente no haría nada, lo mismo pasaba con el sistema de defensa de Windows, así que el Virus pasaba sin problemas. En ese minuto Stuxnet se cargaba en la máquina de la víctima, básicamente estableciéndose en el registro de windows, el cual es la base de datos para cualquier aplicación, dispositivo, perfil de usuarios, etc que use windows, siempre se consulta al registro. Entonces ya cargado en el registro , trataba de detectar si el equipo de la víctima tenía algunas ciertas características, como sí tenía el WinCC o el PCS de Siemens , también buscaba las frecuencias exactas, si el patrón concordaba pasaba a la próxima iteración. 




Eso sí, también se comunicaba con los servidores de Comando y Control, que estaban principalmente en Alemania y Malasia, para subir las IP’s, los datos recolectados, en general toda la información correspondiente a ese equipo y a la LAN que compartía, y esperaba comandos y actualizaciones para ejecutarse , desde los servidores de Comando y Control.

Ningún virus de computador o malware antes de Stuxnet había incluso usado más que una vulnerabilidad. Y esta fue la razón central por la cual Stuxnet no pudo ser detectado en casi un año.

Modelo original infectado en la central de Enriquecimiento de Uranio en Natanz - Irán. (Siemens S7- System Scada).







Vulnerabilidades en los sistemas industriales de Natanz.



Para poder entender esta etapa de Stuxnet es necesario tener ciertos conceptos básicos sobre la capa física, en la cual se generan los daños. 


1.- ¿Qué es una centrifuga en cascada?


Las centrifugadoras de gas se utilizan para el enriquecimiento de uranio, se reúnen en grupos para maximizar la eficiencia. Las centrífugas dentro de un grupo, también llamado una etapa de enriquecimiento, comparten la misma alimentación, el producto y las colas de tuberías. Las colas colectiva se canaliza a continuación, en la alimentación colectiva de la siguiente etapa en un lado, así como el producto colectivo se canaliza en la alimentación colectiva en el otro lado. En los extremos lejanos de la cascada, hay producto en las colas que recogen el enriquecido y empobrecido uranio.

Hasta el año 2012,Irán utiliza cascadas con 164 centrifugadoras agrupados en 15 etapas, con la etapa 10 se inicia la etapa de alimentación.



Centrifuga en cascada 





2.- ¿Qué es un sistema de protección ?


Sistemas de control industrial y su asociada instrumentación están básicamente agrupados en sistemas de producción y los sistemas de protección .

Como su nombre lo indica, los sistemas de protección no funcionan paralelamente durante el funcionamiento normal, pero tienen la intención de detectar anomalías del proceso y evitar que la destrucción de los equipos o convertirse en peligros para los operadores y el medio ambiente





1.- Problema inherente en el sistema de protección de la cascada.


El sistema de protección de las cascadas se componen de dos capas :


El sistema de protección de la cascada se compone de dos capas. estando la capa inferior en el nivel de centrifuga.Tres válvulas de cerrado rápido son instaladas para cada centrifuga en las tuberías que poseen cada centrifuga. Tras el cierre de las válvulas, se clasifican las centrífugas que se están ejecutando con  problemas (indicadores de vibración), posteriormente pasan ser aislados.  Las centrifugadoras que se encuentran aisladas, van a ser sustituidos por los técnicos de mantenimiento , y esto ocurre mientras el proceso sigue ejecutándose.

La pantalla central de monitoreo del Sistema de Protección de la cascada, muestra el estado de cada centrífuga dentro de una cascada (las aisladas y las que se están ejecutándose), ya sea como un punto verde o un punto gris. 






2.- El problema con la presión del proceso en centrifugadoras de gas



Las centrifugadoras de gas para  realizar el enriquecimiento de uranio son extremadamente sensibles a los aumentos de la presión del proceso por encima de cerca de vacío. Un ligero aumento en la presión puede afectar la eficiencia de enriquecimiento debido a que el perfil de presión de la cascada es perturbado , como consecuencia puede llevar al  reducimiento del flujo del producto. Un aumento moderado de la presión dará lugar a que mas hexafluoruro de uranio entré a la centrífuga , por ende se tendrá que ejercer un mayor estrés mecánico en el rotor .





La presión de la pared del rotor es una función donde las variables en juego son la velocidad ( velocidad del rotor ) y la presión que opera el rotor. En última instancia , la presión puede hacer que el UF6 se solidifique . La temperatura ambiente en Natanz no coincide con la cámara de cascadas la cual se encuentra alrededor de 100 milibar.


3.- FieldBus



Las redes de comunicaciones industriales deben su origen a la fundación FieldBus (Redes de campo). La fundación FieldBus desarrolló un nuevo protocolo de comunicación para la medición y el control de procesos donde todos los instrumentos puedan comunicarse en una misma plataforma.

Un FieldBus es una micro-red en tiempo real, la cual funciona para la conexión de periféricos de automatización (por ejemplo, instrumentos , motores o válvulas) hacia un controlador. El número de estaciones que se pueden conectar a un FieldBus es bastante limitado y a menudo por debajo de 255. La mayoría de las variantes de FieldBus cuentan con un controlador principal, todas las demás estaciones que actúan como "esclavos".




PROFIBUS es un importante FieldBus de estándar europeo promovido por Siemens. En los nuevos diseños de plantas , FieldBus son sustituidas progresivamente por Ethernet ,ya que los ataques cibernéticos contra los equipos de campo son mas difíciles por estas redes.





Explotación de las vulnerabilidad por parte de Stuxnet.


Stuxnet como arma digital estaba estructurada por 2 tipos de ojivas digitales.


  1. Una ojiva grande u una pequeña.
  2. Cada ojiva tenía un objetivo específico.
  3. Eran autónomas, sin control remoto.
  4. Los atacantes tengan pleno conocimiento de información privilegiada acerca de las estructuras digitales.
  5. Poseían un alto grado de ingeniería.



Ojiva 315 




Cuando Stuxnet encontraba el programa PCS7(Step 7 Software) que viene pre-instalado en los notebooks industriales de Siemens(Simatic Field PG)  y estableciera conexión, Stuxnet penetraba dentro del controlador(PLC/Programmable logic controller) y modifica el código de programación del controlador y oculta los cambios.




Sobre un periodo de meses Stuxnet cambia las frecuencia de salida, lo cual cambia la rapidez de un rotor centrifugo,. Las frecuencias de operación normales son entre 807 Hz y 1210 Hz, con una frecuencia estándar de 1064 Hz. Por cortos periodos de tiempo, no mas de 15 minutos, Stuxnet sube la frecuencia a 1410 Hz, lo cual esta sobre el limite de 1210 Hz y entonces cambia de vuelta a 1064 Hz.




Después de 27 días Stuxnet hace caer la frecuencia de salida a 2Hz por 5 minutos. Cada 27 días repite la
misma rutina , de acelerar y desacelerar la centrifuga.





Ojiva 417



1.- Diseño de Plantas


Cada unidad de cascada en Natanz se compone de 18 cascadas . De acuerdo a los datos cada seis cascadas comparten una estación de alimentación , una estación del producto, y una estación de colas . LA

La planta piloto de enriquecimiento de combustible (PFEP ) en Natanz también utiliza seis cascadas . En el siguiente diagrama, el rojo vivo indica la alimentación , la tubería azul indica el producto , y la tubería de color amarillo indica las colas.






2.- Forma de la Cascada.


Durante el momento del ataque Stuxnet (2007-2010) , Irán utilizó un diseño de cascada de 164 centrifugadoras ( IR - 1 ) de primera generación . Las centrífugas están alineados en cuatro líneas con un total de 43 columnas.




Para poder determinar el objetivo de la ojiva gigante, se tuvo que comparar los valores que se encontraban inmersos en el código de Stuxnet con valores en la vida real. Un ejemplo claro es el número de centrifugadores que contiene cada cascada el cual es de 164. 



Otro ejemplo que resalta, es la estructura de los procesos en cada cascada.



Esta arma digital la cual fue hecha bajo ciertos parámetros solo tenía un solo objetivo el cual era la planta de Natanz.



3.- Sensores y Válvulas


En comparación con su patrimonio Urenco las cámaras de cascadas en Natanz se parece a una unidad de cuidados intensivos, con un montón de equipo conectados a los pacientes con el fin de mantenerlos con vida. Los sistemas de control se utilizan para compensar la falta de fiabilidad mecánica en lugar de aumentar la eficiencia o la calidad del producto.



Importante : El propósito de las válvulas es aislar las centrifugadoras de una cascada que comienzan a vibrar , los cuales son señalados por los sensores de vibración ( resaltados en color morado ). Cada válvula está conectada a una red Profibus la cual esta unido al controlador Siemens S7 - 417.


En el siguiente imagen podemos observar como se interceptan los valores de entrada de los sensores, como por ejemplo pueden ser los datos de los sensores de presión y también los sensores de vibración y provee código legítimo, el cual todavía se ejecuta durante el ataque con falsos datos de entrada. Dichos datos eran pre-grabados por Stuxnet.

Un ejemplo muy parecido lo encontramos en las películas, cuando las cámaras de seguridad son alimentadas por un video pre-grabado. Como consecuencia los administradores no son consientes de lo que realmente esta sucediendo en tiempo real, ya que reciben falsos datos, y por ende para ellos el sistema esta funcionando perfectamente.



4.- Ataque Dual de Ojivas digitales.


Como se mencionó anteriormente Stuxnet disponía de dos tipos de estructuras que concientemente tenían el mismo objetivo pero estaban diseñadas para realizar ataques desde diferentes ángulos, aunque también realizaban ataques complementarios.

Mientras que la ojiva pequeña se encargaba de tomar una cascada, y haciendo girar los rotores y ralentizándolos, la ojiva grande se comunicaba con seis cascadas y manipulaba las válvulas.





Consecuencias.


  • Esto ocurrió desde el 2009 hasta el 2010, lo que llevó a que más de 1000 centrifugas se estropearan, y los operadores de estas no sabían por que, pues en la pantalla les aparecían siempre valores normales.
  • Stuxnet fue capaz de paralizar el funcionamiento de la planta por un periodo relativo de tiempo, claro esta que posteriormente su funcionamiento se restableció.
  • Stuxnet no nos mostró una evolución en el ámbito del malware, sino un revolución total.
  • Hoy en día muchos confirmar que los creadores de dicha arma digital fue los EE.UU y Israel, claro esta que estos ninguno ha aceptado la autoría correspondiente, ya sea total o parcial.
  • Por último cabe decir que Stuxnet ha pasado a formar parte de una familia de armas digitales totalmente innovadas y diseñadas con un alto nivel de profesionalismo. Donde el integrante mas resaltante es el gusano Flame, cuyo tamaño relativo es 20 veces mayor que el de Stuxnet.


Bueno creo que hemos llegado al final de este post. Espero que este post les sea de utilidad al momento de querer estudiar un poco acerca del funcionamiento del gusano Stuxnet. Bueno me despido y será hasta la próxima.Nos vemos.










lunes, 2 de diciembre de 2013

Redescubriendo XSS - Pentágono - OTAN.


Bueno, en esta ocasión este post esta dedicado a dar una explicación mas detallada acerca del autor o autores acerca de algunas explotaciones Cross Site Scripting que han sido de cierta forma interesantes y alarmantes por los sitios que las poseían.


Nota : Cabe resaltar que este post no hubiera sido hecho si la vulnerabilidad Cross Site Scripting del Pentágono no hubiera sido, de cierta forma apropiada por personas que no fueron quienes encontraron dicha vulnerabilidad, pero quienes la expusieron al público como un ataque propio de dicho equipo.


Vulnerabilidad Cross Site Scripting - Pentagono.


El dia 23 de Noviembre, quien les escribe estas líneas encontró una nueva vulnerabilidad Cross Site Scripting en un subdominio de los tantos que tiene la pagina del Pentágono (A ciencia cierta no estoy totalmente seguro si antes ya la había presentado, pues en el muchos subdominios del Pentágono he podido encontrar las mismas vulnerabilidades.). Pero en está ocasión no solo mostré la vulnerabilidad si no que la presente en mi facebook.





Nota : Al parecer la vulnerabilidad ya fue reparada. 


Posteriormente presente dicha vulnerabilidad en mi cuenta de twitter.  (Nota : Cabe resaltar que en mi cuenta de twitter solo presento el 30% o 40% de todo lo que presento en mi facebook.)



Ahora presento el porque de este post. Horas mas tarde un amigo mio comento en mi foto un enlace de un twitter, donde un alguien había reportado la vulnerabilidad Cross Site Scripting que yo había publicado en mi facebook. Esto ocurrió horas después de dicha publicación mía.




Me dispuse a visitar el twitter del team Inj3ct0r, con el fin de poder observar la hora de publicación de dicho tuit.




Bueno para una mejor visualización vamos a comparar los respectivos tuits.




Bueno creo que es redundante dar una explicación. Creo que la hora de publicación verifica de cierta forma la autoría de dicha vulnerabilidad.




Respecto a la vulnerabilidad de la NATO-OTAN que también tuvo transcendencia en los medios de comunicación, como los son el sitio web The Hacker News - Cyber Security and Hacking News Community y algunas otras muy similares a dichos portales. Esta vulnerabilidad la cual fue un Cross Site Scripting, también fue encontrada también por quien escribe estas líneas, pero ya hace algún tiempo, nos remontamos al año 2012. Dicha vulnerabilidad asi como la del Pentágono fue expuesta y liberada en su momento. Posterior a la exposición de dicha vulnerabilidad en mi facebook, el portal The Hacker News - THN y otros medios publicaron en uno de sus post que el team Inj3ct0r había descubierto una vulnerabilidad Cross Site Scripting en un subdominio de la OTAN. Lamentablemente con el pasar de los tiempos solo puedo mostrarle esta pequeña prueba, pero ya dejo a su criterio dicha la validez de dicha imagen.




Pueden observar que el portal The Hacker News así como otro sitio publicaron la vulnerabilidad el día 28 de Noviembre del 2012. Ahora, la imagen que poseo de dicha vulnerabilidad fue creada el 18 de Noviembre del 2012. Cabe resaltar que dicha vulnerabilidad al igual que la del Pentágono también fue expuesta en mi facebook. Particularmente encuentro mucha suspicacia entorno a dichas vulnerabilidades, pero bueno creo que merecía un post en mi blog.



Bueno creo que eso es todo por el momento, espero poder tener mas tiempo para poder seguir escribiendo mas post en mi humilde blog y de cierta forma poder compartir el poco conocimiento que tengo. Me despido y será hasta la próxima.