Dan Kaminsky DNS bug
No voy a dedicarme a aprovechar este ya conocido bug para hacer un post que lo explique en detalle y así salvar mi ritmo de publicación de al menos un par de post al mes.
Más interesante que contar lo ya contado y recontado es escribir de manera ordenada los recursos que conozco a día de hoy para detectar este problema, auditarlo e incluso explotarlo, sin pasar por algo recomendaciones y soluciones al mismo. Vamos allá.
Si quieres saber si un servidor es vulnerable:
1. Herramienta web del propio Dan Kaminsky.
2. Script en perl para lanzar contra un servidor DNS.
Para detectar si se está sufriendo un ataque de este tipo hay un par de reglas para Snort muy valiosas que ha publicado recientemente Emerging Threats:
1. DNS Poisoning Signature
2. New DNS Vulnerability
Para explotar esta vulnerabilidad tenemos también dos recursos muy buenos de la mano de los chicos de Computer Academic Underground en forma de exploits para el Metasploit:
1. Kaminsky DNS Cache Poisoning Flaw Exploit.
2. Kaminsky DNS Cache Poisoning Flaw Exploit for Domains.
Para los administradores solo hay una recomendación:
1. ¡¡ Actualiza tus servidores DNS !! Hay parches desde hace días para cualquier servidor DNS.
Para los usuarios hay varias posibles opciones:
1. Comprueba mediante las herramientas comentadas anteriormente que el servidor DNS que utilizas no es vulnerable.
2. En caso de que lo sea te recomiendo migrar a uno que no lo sea, un buen paso sería la migración a OpenDNS. Si no sabes que es OpenDNS te recomiendo darte un paseo por el blog SBD.
ACTUALIZADO 24/07/2008:
Me entero de una nueva herramienta para comprobar si tu servidor DNS es vulnerable. Ha sido desarrollada por Pandalabs y es un ejecutable para Windows.
Más interesante que contar lo ya contado y recontado es escribir de manera ordenada los recursos que conozco a día de hoy para detectar este problema, auditarlo e incluso explotarlo, sin pasar por algo recomendaciones y soluciones al mismo. Vamos allá.
Si quieres saber si un servidor es vulnerable:
1. Herramienta web del propio Dan Kaminsky.
2. Script en perl para lanzar contra un servidor DNS.
Para detectar si se está sufriendo un ataque de este tipo hay un par de reglas para Snort muy valiosas que ha publicado recientemente Emerging Threats:
1. DNS Poisoning Signature
2. New DNS Vulnerability
Para explotar esta vulnerabilidad tenemos también dos recursos muy buenos de la mano de los chicos de Computer Academic Underground en forma de exploits para el Metasploit:
1. Kaminsky DNS Cache Poisoning Flaw Exploit.
2. Kaminsky DNS Cache Poisoning Flaw Exploit for Domains.
Para los administradores solo hay una recomendación:
1. ¡¡ Actualiza tus servidores DNS !! Hay parches desde hace días para cualquier servidor DNS.
Para los usuarios hay varias posibles opciones:
1. Comprueba mediante las herramientas comentadas anteriormente que el servidor DNS que utilizas no es vulnerable.
2. En caso de que lo sea te recomiendo migrar a uno que no lo sea, un buen paso sería la migración a OpenDNS. Si no sabes que es OpenDNS te recomiendo darte un paseo por el blog SBD.
ACTUALIZADO 24/07/2008:
Me entero de una nueva herramienta para comprobar si tu servidor DNS es vulnerable. Ha sido desarrollada por Pandalabs y es un ejecutable para Windows.
OSSEC y CIS
Hace poco comentaba la compra de OSSEC por parte de Third Brigade. Parece que a raiz de esto la aplicación ha recibido un nuevo impulso y en apenas dos semanas han aparecido nuevas e interesantes funcionalidades:
1. El 4 de Julio se hacia publica una nueva versión de OSSEC, la v1.5.1. Leyendo el Changelog se puede apreciar que las correcciones han sido leves. OSSEC se ha caracterizado por no actualizarse muy a menudo pero parece ser que desde la compra esto ha cambiado (había prisa por publicar una nueva release bajo el apadrinamiento Third Brigade).
2. El mismo 4 de Julio en el Blog de Daniel B. Cid (autor de OSSEC) aparecía un interesante artículo en el que se explica como compilar y utilizar la herramienta ossec-logtest, incluida en el IDS y que nos permite la comprobación de las reglas utilizadas por el sensor y, lo que es más importante, nos sirve de depurador para la creación de reglas propias.
3. Cuatro días más tarde se publica un nuevo artículo más interesante aún si cabe que el anterior: OSSEC empieza a desarrollarse para comprobar el cumplimiento con los CIS benchmark tests.
Para quién no sepá qué son estos test una gran referencia es el Blog SDB (Security By Default) que hace poco publicó un interesante artículo al respecto.
Actualmente solo se comprueba la comformidad para sistemas Debian y Ubuntu/Kubuntu/Xubuntu pero la idea es ampliar estos test e incluso cubrir las políticas FDCC, lo cual sería muy pero que muy interesante. Hay que recordar que actualmente a excepción de las herramientas gratuitas de CIS no hay ninguna herramienta OpenSource que compruebe estas políticas ( las reglas DirectFeed de Nessus son de pago ).
1. El 4 de Julio se hacia publica una nueva versión de OSSEC, la v1.5.1. Leyendo el Changelog se puede apreciar que las correcciones han sido leves. OSSEC se ha caracterizado por no actualizarse muy a menudo pero parece ser que desde la compra esto ha cambiado (había prisa por publicar una nueva release bajo el apadrinamiento Third Brigade).
2. El mismo 4 de Julio en el Blog de Daniel B. Cid (autor de OSSEC) aparecía un interesante artículo en el que se explica como compilar y utilizar la herramienta ossec-logtest, incluida en el IDS y que nos permite la comprobación de las reglas utilizadas por el sensor y, lo que es más importante, nos sirve de depurador para la creación de reglas propias.
3. Cuatro días más tarde se publica un nuevo artículo más interesante aún si cabe que el anterior: OSSEC empieza a desarrollarse para comprobar el cumplimiento con los CIS benchmark tests.
Para quién no sepá qué son estos test una gran referencia es el Blog SDB (Security By Default) que hace poco publicó un interesante artículo al respecto.
Actualmente solo se comprueba la comformidad para sistemas Debian y Ubuntu/Kubuntu/Xubuntu pero la idea es ampliar estos test e incluso cubrir las políticas FDCC, lo cual sería muy pero que muy interesante. Hay que recordar que actualmente a excepción de las herramientas gratuitas de CIS no hay ninguna herramienta OpenSource que compruebe estas políticas ( las reglas DirectFeed de Nessus son de pago ).
Creando un troyano con T2W
Vivimos tiempos felices para los Script Kiddies, cada día es más facil encontrar herramientas para crear troyanos y virus a golpe de un par de clicks.
El caso que me ocupa hoy es el T2W, una herramienta que como su propio autor (Karcrack) indica "transforma un troyano en un gusano. Haciendo que el server del troyano se reproduzca infectando memorias USB (PenDrives)". Traducida a varios idiomas y creada en Visual Basic esta herramienta consta de una serie de ficheros con el código, formularios, imagenes y el ejecutable T2W.exe:
El caso es que recientemente leí la noticia en el blog de Panda Labs y en cuanto he tenido un poco de tiempo me he hecho con la herramienta y la he trasteado. Voy a comentar las primeras impresiones.
Un primer vistazo basta para darnos cuenta de lo facil que nos resulta crear un gusano con esta herramienta.
Me he dedicado a crear un pequeño gusano y comprobar la potencia de la herramienta. Para ello he "gusanizado" no un troyano en si sino un binario inofensivo (estamos haciendo pruebas), en este caso el autoruns de sysinternals.
El resultado es un fichero que he llamado TEST.exe y que instantaneamente se ha cepillado mi McAfee VirusScan desactualizado:
Hay que tener en cuenta que la herramienta es de Diciembre del 2007 y en el campo vírico eso es mucho tiempo.
Sin embargo al subir el gusano a VirusTotal he comprobado que hay varios antivirus que no lo detectan, entre ellos alguno de renombre como Fortinet, F-Prot, Microsoft o Sophos:
Las recomendaciones son las de siempre: mantener los antivirus actualizados, no utilizar la cuenta con privilegios y tener un poco de sentido común y a la hora de dejar que nos enchufen los USB's ponernos protección ;)
Referencia del gusano:
http://es.mcafee.com/virusInfo/default.asp?id=description&virus_k=146117