Un poco de Phishing educativo

21 02 2013

Ok, hay muchas personas “en la vuelta” que están tanto para hacer dinero fácil, como para molestar simplemente.. o hacer cosas por su gracia.

De cualquier manera, cuando estas acciones inciden en el resto de los usuarios, simples mortales, de mala forma, empieza a molestarme un poco. Todavía no me he topado con ninguno real.. pero como dice Alejando en Spamloco, desde siempre han habido casos de phishing..

Lo gracioso, es que ahora Google habilitó el servicio de “hostear” paginas desde Drive (ex-google docs), por lo que ahora podemos generar sitios web, digamos de alguna forma, dinámicos, hosteados por Google. Esto significa, certificado SSL de Google, dominio real de Google..

Solo nos falta una web “real” de google, con alguna que otra linea extra.. Que mejor ejemplo de login, que el mismo Gmail.

Gmail phishing

Gmail phishing – Click en la imagen para agrandar.

Esta es una captura del sitio de prueba de concepto. El sitio lo pueden ver aqui. Esto ya fue reportado al equipo de seguridad de Google con el ticket #1215078395. La respuesta fue que el servicio esta funcionando correctamente, y que eso seria un uso mal intencionado. Me dieron permiso de dejar publicado el sitio con fines educativos para educar a los usuarios de potenciales sitios de phishing.

Un ejemplo de ataque seria que el atacante envie una cadena de mails con un link al sitio, con un mensaje complejo como tambien con un ejemplo burdo:

“Has visto el nuevo look de Gmail?? http://www.gmail.com/   Si no te gusta, ayudanos a que lo vuelvan a como estaba antes contestando este mail, todos juntos podemos! “

La diferencia esta, como siempre, en la URL. Solo que ahora no vamos a fijarnos en si esta “el HTTPS” porque tenemos cifrado SSL, tampoco es fijarnos en el certificado SSL, porque es provisto por Google. En este caso tenemos que ver el dominio en el cual esta hospedado el sitio. Si bien es un sitio de Google, no es el dominio correspondiente para autenticarse:

Real vs Falso

El dominio para autenticarse con Google es accounts.google.com siempre. Así que ademas de fijarnos que sea una conexión segura (https), que el certificado sea real, debemos fijarnos que si nos piden autenticacion para Google, sea ese dominio (accounts.google.com).

Espero les sirva para difundir a sus usuarios, amigos y/o familiares para mostrarles un caso “real” y hacerles hincapié en las precauciones a tomar.

Quiero agradecerle a “Fachita” Faggiani que me dio una mano en la preparación del sitio.





Tutorial de como crear y usar llaves PGP [PGP Keys] en ubuntu

30 08 2011

Muchachos, para quienes quieran empezar a cifrar sus emails, archivos.. etc. Les dejo un exelente tutorial explicativo en ubuntu forums, si el tiempo me lo permite, tratare de pasarlo a espanol y explicando un poco.

http://ubuntuforums.org/showthread.php?t=1146081





Acceso seguro a tu servidor Linux [SSH]

29 08 2011

Bien, varios de uds o pagan por un hosting con un OS propio.. alquilan un servidor, o tienen uno en su casa, o en su empresa. Varios tambien aun tienen un teclado y un monitor conectados al servidor, para poder configurar las cosas que sean necesarias, o modificar aplicaciones del sistema. Incluso varios ya usan acceso por ssh, pero lo hacen en cierta forma, insegura, mas alla que ssh es encriptado.. seguro.. etc.

Lo ideal es acceder sin la necesidad de enviar o usar un password, pero ya llegaremos a eso. Primero una basica de configuracion para los que no saben como implementarlo.

En nuestro servidor antes que nada tenemos que tener instalado el servicio SSH, lo instalamos en Ubuntu Server con:

  • sudo apt-get install openssh-server

Una vez instalado, ya queda configurado con los parametros por defecto; que a efectos de un caso “nuevo” nos viene genial. Ahora podemos conectarnos desde otra computadora (si tenemos ubuntu tenemos que instalar “openssh-client“. Para conectarnos lo hacemos con el siguiente comando:

  • ssh usuario@direccionIPremota

Bien, ahora que ya tenemos instalado el servidor ssh y funcionando, y que ya estmos conectados a el, podemos modificarlo para tener un poco mas de seguridad.

Leer el resto de esta entrada »





Instala FireSheep en Ubuntu 10.10 Maverik Meerkat 64 bits

20 08 2011

Bueno, luego de haber vuelto a Ubuntu 10.04.. por motivos de fuerza mayor, me vi envuelto en la instalacion de Ubuntu 10.10 Maverik Meerkat en mi notebook. Lo que si recordaba era haber jugado un poco con firesheep antes de hacer el downgrade.. por lo que no tenia que ser muy dificil de volver a instalar y correr.. Ademas de todo, suelo anotar paso a paso las cosas que hago (cuando funcionan bien) por un tema de eficiencia, para que volver a investigar algo, si ya lo has hecho. Simplemente, documentar lo que has hecho puede salvarte varias horas de frustracion..

Este no fue el caso, ya que mi “documentacion” no habia sido tan exacta como yo pensaba.. ya que siguiendo mis propios pasos, no funciono esta vez. Asi que luego de pasar media tarde buscando y probando lineas en el terminal, logre hacer funcionar nuevamente a FireSheep en Ubuntu 10.10 x64.

Luego de haber corrido todos los pasos, y buscando por ahí el famoso error “Cc is not defined”.. una de las opciones que encontre, de las mas claras y obvias, correr firefox con permisos de super-usuario (“sudo firefox”), pero eso tampoco lo soluciono.

Ahora si estaba confundido.. habia algo mas alla de lo evidente que me estaba dando problemas, y lo que mas me enojaba es que ya lo habia hecho funcionar bajo estas mismas condiciones !

Bueno.. despues de unas horas, logre encontrar la causa del problema, y su solucion.

Una de las opciones era correr firefox como super-usuario (“sudo firefox”).. pero no era eso, la solucion esta aca https://github.com/codebutler/firesheep/issues/8

Para los vagos, la solucion: Hay que cambiar la respuesta en el backend backend/src/linux_platfrom.cpp: line 48, “throw ex;” a algo mas suave, como: “return string(“ERROR”);”.





Prevencion de ataques DOS y Fuerza Bruta usando Fail2ban

1 03 2011

Tener que lidiar con ataques DOS y de fuerza bruta puede ser un desafio bastante duro. Normalmente puedes ajustar manualmente tu firewall para que bloquee una direccion IP determinada, pero porque no automatizar el proceso? que pasa si un programa puede monitorear las autenticaciones de tu sistema, y otros archivos de registro (logs) por actividades sospechosas ? En estos logs hay una cantidad increible de informacion sobre intentos fallidos de ingreso, y cuantas veces una ip se conecta a tu servidor web. Usando esta informacion un programa puede ajustar automaticamente tu firewall para bloquear las direcciones IP ofensoras. Fail2ban hace exactamente eso. El prorgama monitorea automaticamente los archivos de registro o “logs” de muchos programas, y claro, sobre todo Apache y SSH.

Aqui tienen la direccion oficial: Fail2ban

Ya les daremos un poco mas de informacion sobre este tremendo programa y como usarlo.

[UPDATE]

WOW !  Es increible el resultado que dio este programa !

El las primeras 24hs. ya tiene resultados totalmente positivos. Todo lo que veo por ahora (o en los que reviso.. ) son solo entradas de CRON, no mas “posible break-in attempts” o intentos infructuosos de logeo.

Voy a ver si les posteo un poco mas sobre como configurarlo para que todos puedan tener un poco mas de seguridad en sus sistemas..