Mostrando entradas con la etiqueta burradas. Mostrar todas las entradas
Mostrando entradas con la etiqueta burradas. Mostrar todas las entradas

1/13/2013

HoneyDark Opensource

En que consiste este HoneyDark bueno básicamente necesitaba una red donde poder recolectar info , analizarla y correr trabajos predefinidos donde se analicen algunos patrones, (lo podéis usar para análisis de ataques malware, virus,gusanos etc.. ) y la idea me vino de la DarkNet de Chile . Pero me apetecía darle un enfoque mas practico y adelantando un poco lo que les faltaba de implementar honeypots y trabajar con mas trafico y identificar a quien están atacando  ,

Es una red diseñada para poder inicialmente soportar un trafico de 9 a 10GB ( en el caso de mi DC la tengo cableado con fibra ) poder detectar y procesar incidentes en ese trafico, analizarlo  y reportar diferentes eventos y analizarlos.

En que consiste la idea que se me paso para resolver unas cosas.... :) ( y el esqueleto de la red que les voy  a pasar )


Algunos requisitos:
1) En que consiste bueno necesitamos que cualquier trafico entre a la red pero que no salga nada,
2) Necesitamos almacenar el trafico
3) Necesitamos procesarlo 
4) Necesitamos buscar eventos de seguridad generados por ese trafico.
5) Que sea esclable, y que soporte cualquier cantidad de trafico desde donde venga 
6) Evidenciarlo
7) Reportarlo

Entonces en el archivo lo podrán descargar la estructura básica de la red, no es el que tengo para producción pero algo con las ideas que les voy a dejar seguro que algunos lo pillan por donde van los tiros.

Entonces Con:
El pfsense ya le instale  Cron's, Tcpdump, Snort, countryblocker, ntop
En el Server (ubuntu) tenemos NOVA , etherape, Moncube, AfterGlow
OSSIM no creo que necesite presentación.
El servidor de evidencias es simplemente recolectar información de las tools y procesarla

La idea inicial es simple de conceptualizar no tiene ninguna complicación, entonces entremos al detalle de como esa la versión beta que :

___________________________________________________________________________
Servidor Pfsense:
IP:192.168.3.51
user : admin
Pass : 1q2w3e

Mediante el TCPdump podemos capturar el trafico que queramos y almacenarlo donde necesitemos.
El Cron nos ayudara a automatizar unas tareas, 
Contryblocker como dice el nombre nos permite bloquear por país el Trafico que queremos que NO entre a la red  (lo podríamos hacer por IP pero por tiempo es mejor tener una app que te maneje eso para casos que posiblemente tenga a futuro de revisión en tiempo real)
y el Ntop podemos adquirir muy buena información de trafico bien detallada..
El Pfflowd nos ayudara para generar los Netflows y reportarlos al Ossim. 
Las reglas que cada uno ponga en el firewall ya es vuestra Configuración.
Ojo la interfaz WAN del Pfsense deben cambiar la IP ;)

HoneyDark::
IP:192.168.3.53
user: HoneyDark
pass: 1q2w3e

En el Servidor llamado "HoneyDark" para correr NOVA simpelmente en la termial tipear "$ quasar" y listo en https://localhost:8080 se encontrara NOVA ,
 Etherape, es mas simple desde la terminal tipear "etherape" y listo

Con Nova el cual nos permiten generar una red de honeypots mediante el haystack de nova y mediante las otra herramientas no solo monitorizamos lo que llega a nuestro server sino a todas las conexiones peticiones y trafico de nuestra red de honeypots con la configuración que le queramos dar dentro de la interfaz grafica Web

OSSIM 4.1:
Datos de acceso a la interfaz Web.
IP:192.168.3.50
user: admin
Pass: 1q2w3e


Bueno como dije no creo que necesite presentación pero para esta red, yo personalmente lo usare por la parte de recolleción de logs, OCS, OSSEC  para poder monitorizar al detalle los eventos y si algún tipo de trafico que entre a la red, puede llegar a instalar algún archivo o instalar algún rootkit etc..

Evidencias:

 IP:192.168.3.52
user: evidencias
pass: 1q2w3e

En este Debian cuentan con un servidor SSH y Los aplicativos instalados en /opt Moncube y Afterglow
 le pueden mandar los Pcaps del TCpdump del Pfsense o los Pcaps del  Ossim, para que los grafique bien bonito..

La Red de la Darknet se llama "NetProperties" >> 192.168.3.0/24
_________________________________________________________________________________

Los aplicativos ya están instalados y listo para poder usarse en sus ultimas versiones , simplemente en cada aplicativo se debe ajustar a tus requerimientos de producción pero el esqueleto lo dejo ya para descarga.. (ojo asumo por falta de tiempo conocimientos en uso de las diferentes herramientas.. es por eso que no me alargo con sus instalaciones y configuraciones)
Me gustaría haber tenido un poco mas de tiempo, para poder documentar cada procedimiento, pero hacer un documental de 100 hojas todavía no estoy tan loco.. así que si te animas solo escríbeme un correo o un twitt  y te echo una mano.

La idea de esta red en forma de agujero negro, es que cualquier trafico que se enrute hacia el pfsense entre dentro de la red, y mediante las diferentes herramientas poder extraerlo , analizarlo y reportar el todo tipo de eventos, sin importar la magnitud de conexiones ni trafico.

Otra cosa lo tengo echo en un Datacenter en Vmware vCloud 5.1 así que todavía estoy trabajando para bajarle los requisitos ..

Luego la que versión que les dejo para descargar  sigo adelantando; corrigiendo la automatización y la capacidad de escalabilidad y procesamiento de trafico masivo.., el cual la red me esta quedando así multiplico por mas de 10 la capacidad de poder soportar trafico almacenarlo, pintarlo con las gráficas bonitas, generar  honeypots, almacenar sus logs, y otras funciones que quiera con trabajos pre echos en Mapreduce.
Básicamente se rutea en esta red desde la ip publica del exterior hacia el pfsense el pfsense rutea el trafico hacia un honeypot especifico de la plantilla del haystack luego el ossim hace otro trabajo con los netflows, y el nova colecciona todo el ataque aparte de la redundancia del Tcpdump en el pfsense , luego todo lo mando para una partición montada de hadoop le añado los Slave que quiera al master y corro los trabajos finales eliminan la data tal cual encontraran en el PDF de la Darknet de chile , pero desde NOVA y pfsense y ossim puedo tener un control mucho mas especifico de a que supuesto cliente le están atacando mediante alias pre definidos y como le están atacando su frecuencia y otras cosas que quiera ver..

No se si sera mejor o peor pero es un acercamiento que el de Chile pero es diferente para poder solucionar el problema de los análisis de ataques masivos,  pero fue interesante montarla como pasatiempo..



Así que si eres un Cert, Csirt, Banco o ISP ya pueden usarlo para que dejen de tocarse las #$%#&"  y empezar a analizar trafico  y intercambiaros incidentes y no delegar todo a las redes inteligentes esas de los antivirus.. :)
(ojo para entornos de producción el BETA que les dejo no esta diseñado  para poder soportar cargas masivas analizar mas de 10G de trafico en una futura versión posiblemente haga el release de producción que soporta cualquier trafico y colección mediante HDFS)

Saludos

Bl4ckD4wn

PD.El link de Descarga de la HoneyDark es: HoneyDark

en No hay comentarios:
Etiquetas: , , ,

1/09/2013

Bancos Seguridad por estupidez publicitaria

Cuantos no habéis visto las presentaciones de CISCO, IBM, ,Symmantec, ESET , entre otros (los primeros que se me pasan por la cabeza).. o de grandes empresas de seguridad o de IT de vuestros países , en donde un producto hace de todo , es contra la ciber guerra, es antivirus, para 0days, es firewall, IDS, o tienes DLP , vente con nosotros por nuestra red inteligente donde nosotros sabemos todo, tenemos las mejores soluciones del mercado.

Miren este esta enfocado para ustedes Bancos, se que nadie es profeta en su casa, pero el conocimiento no se centrifuga terminando la espiral en el mismo punto, no le pertenece todo a un solo producto o proveedor, y menos a una solución. "Le pertenece a un proceso constante , técnico bien ejecutado y con los parámetros de evaluación correctos y con los profesionales correctamente cualificados"

Pretendo enfatizar en ustedes , que mueven "X" cantidad de transacciones online, transacciones internacionales, inversiones de miles de clientes, Ladrones y usurpadores del control económico mundial (algunos bancos).

Bueno siguiendo uno de los post Anteriores que igual también puede aplicar para bancos aunque están un poco mas regulados las empresas privadas.

Al grano, Bueno me parece que se están llevando por la estupidez publicitaria cada vez veo mas gerentes que por cambiar a un producto que les vendieron que era mejor están mas seguros , pues Sr's no es así especialmente me voy a enfocar en la Banca de Latam, Tienen problemas de phising , su seguridad web (mejor dicho la web que hacen outsourcing) no la verifican  adquieren productos que ni siquiera saben si es lo que necesitan para el caso de Firewalls, NGF, UTMs, Balanceadores de carga , IDS, Etc..


  • En Venezuela el 90% de la banca online en vulnerable. y me remito a las experiencias dictando una clase de seguridad e la información encontramos el banco con mas transacciones online de todo el país con SQL injection , entre muchas otras..
  • En Colombia son tan recelosos y quieren mantener tanta discrepción y secretismo que la seguridad por ofuscación no funciona no son las políticas que deberían llevar y los outsourcing la mayoría de aplicaciones web son CMS que no tienen dinero para desarrollar con buenas políticas .
  • En Perú, creo que ni lo voy a comentar, no perderé muchas lineas de este post explicando como realmente funciona.
  • Ecuador, para que les ponen directrices sin parcialmente ni las siguen o las engañan para quedar bien con la superintendencia de banca.
Y podríamos ir mas países pero no quiero "romper los huevos para hacer tortillas", quiero enfatizar en su visión , Sr's se que mensualmente ven a muchos proveedores  de diferentes soluciones pero tomen el tiempo de escuchar atender , localizar y probar las soluciones con sólidos pases a producción, están jugando con nuestro dinero con el dinero del resto .

Ademas que las políticas para ascender en un banco en el área de seguridad sean tener ISO, COBIT, ITIL,PMP  y donde quedan SANS? EC_Council ?, Infosec.??? osea que al final quien decide es una persona que no sabe ni lo que adquiere.

Haber si con esto lo ven quiero que miren la foto y vean si alguna de esas certificaciones cubre todo el espectro tanto de procedimiento el ¿Como? y el ¿Que?


No pretendo que las que propongo son buenas pero una mezcla de todo , para esa gente que asegura el dinero del resto no estaría nada mal, que una persona que no sabe ni lo que es linux este en un área de seguridad de un banco y que en su vida a programado me parece un insulto a mi fé por la seguridad de las operaciones de ese banco.

He visto Bolsas de valores que intercambian mediante protocolos FIX 3.5 y claves Wifi en WEP( los Stocks de miles de clientes.) y luego se quejan de la ciber Guerra; si tu entidad que mueves mas de 1,000,000 USD al día tienes una clave web que con Aircrack cualquiera sentado en el café que esta en tu esquina puede acceder. (no pongo el nombre por que seria muy jugoso)

O Bancos con aplicaciones Web como estas 

La primera Foto es para que habrán los ojos.



















Ya abrieron los ojos.??


Al parecer nadie les explico que usar Drupal con FckEditor no es lo mas optimo.. y que el .htcaccess puede ejecutar archivos con las extensiones que queramos. y que parchean 30 veces y 30 veces lo siguen teniendo igual.

Oque Jboss y Oracle se pueden hacer mejores configuraciones

Al parecer pueden infravalorar la bolsa hacer estafas bursátiles y  nunca han escuchado de OWASP TOP 10 al parecer

ATMs que solo falta que te pongan el puerto USB y no quiero pensar las nuevas adquisiciones del BCP del solidCORE o otros bancos que andan a pelo o con con Antivirus.


*no pongo mas fotos por que se volvería en una pasarela de parís con tantas fotos .
y tampoco pretendo que sea un bug party..

  •  Usar OpenCMS antiguo y mal configurado para un Banco?
  •  Delegar a un firewall de capa 3 la seguridad de la capa de aplicación?
  •  Dejar aplicaciones de transacciones bancarias entre bancos publicas a la intemperie.
  •  Aplicaciones de banca mobil con bugs..?
  •   Seguridad en los ATMs con windows XP?
  • Usar aplicaciones donde la seguridad de los inputs se las dejas a los clientes?
Un sin fin de diferentes problemas que encuentras en el día a día y te hacen pensar muchas cosas..


Podríamos hacer las publicaciones esas de 30 días un día por falla y todavía faltarían días para cubrir todas las aberraciones que se encuentran en LATAM. pero ni ustedes entenderían que es ni cual es su fin, ni tampoco perdería yo tanto tiempo para que ustedes vallan corriendo a "big providers" a pedirle ayuda o despidan a la gente que no tiene la culpa, y al final terminaría con un espectro de lectores que solamente buscarían fallas en el blog que no es el objetivo..

He visto de todo y en muchos casos hemos recomendado pero como dijo un dicho "maduramos con los daños no con los años" ,Y creo que para ustedes también sera así..

Espero que alguna reflexión levante se que el día a día de los procesos operaciones y otros comen el tiempo a cualquiera pero  tomen su tiempo en mejorar las políticas , para que tomen en cuenta las recomendaciones ,  por que si no al final terminaran madurando con los daños que les costaran de su bolsillo. :)

y para Terminar.. por que podríamos seguir :

y eso también aplica para todos esos ing. que se ven por ahí sueltos..

Saludos

Bl4ck_D4wn










en 1 comentario:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)