miércoles, 28 de enero de 2009

Nuestros queridos amigos los routers: Atarascado

No paran esos tipos, los Tarasco han publicado una nueva versión del FHSCAN, Fast HTTP Vulnerability scanner v1.1.23.

Esta vez incluye una bonita GUI:
fhscan_gui

Listo para seguir buscando routers con passwords por defecto.

En anteriores episodios comentaba como era posible usar estos routers para redireccionar conexiones y así conseguir anonimato.

La idea es usar NAT. Network Address Translation es lo que usan los routers para poder redirigir conexiones que llegan desde internet al router hacia un ordenador que este conectado a este. Por ejemplo, tienes 2 ordenadores conectados al router y quieres montar en uno de ellos un servidor web, ¿como sabe el router, cuando le llega una petición al puerto 80, a que ordenador de los dos enviársela? Consultando la tabla NAT. La cual se suele configurar a mano.

Y ahí entra en juego una persona maliciosa que va por ahí accediendo a routers indefensos y configurando NAT para que redirija el tráfico que recibe a otra ip pública.

Así es posible que al acceder con el navegador a un router este redirija la conexión a una página web. Quedando registrada en el servidor web de dicha página la dirección IP del router y no la nuestra. Esto se puede hacer con tantos routers encadenados como queramos, viéndose muy poco afectada la velocidad de navegación.

La realidad es que muy pocos routers te dejan hacer esto. La mayoría directamente te pide una ip privada para configurar NAT como es normal, otros te dejan poner la IP que quieras pero después no redireccionan la conexión que les llega desde fuera.

Pero algunos siguen dejando y eso sin entrar en profundidad a configurarlos mediante telnet y sin ni siquiera plantearse el suplantar el firmware por otro modificado maliciosísimamente.

sábado, 24 de enero de 2009

¿Quieres herramientas indetectables? Compílalas!

Por necesidades de la vida me vi en la necesidad de usar cryptcat. Como buen paranoico que desconfía de todo exe descargado de la interné lo subí a VirusTotal, 21 detecciones, nada raro ya que mas o menos todos los detectan como network/hack tool.

Pero ya puestos que mejor que bajarse el código y compilarlo uno mismo, por supuesto leyendo todo el código para verificar que no haga nada malo... (vale, no lo hice).

Ya sabía que usar distintos compiladores confundía mucho a los antivirus, al fin y al cabo todas las firmas que tengan en sus bases de firmas o ya no existen o han sido desplazadas. Pero no me esperaba que ninguno lo detectase. Ya de paso también compilé el netcat...por si algún día "quiero usarlo en un equipo de mi propiedad que tenga antivirus y no tenga la capacidad de añadir exclusiones". Con el mismo resultado 0 AVs lo detectan.

Resultados de VirusTotal: Netcat original 25/39 Netcat compilado con Visual Studio 2008 0/39

Cryptcat original 21/39 Cryptcat compilado con Visual Studio 2008 0/39

Así de fácil. ¿Para que tener norton o panda instalados? ¿Para que me consuma la mitad de la memoría RAM y parte de la CPU intentando encontrar viejos virus? Vale si, está bien como una capa mas de seguridad. Pero ante un ataque dirigido los antivirus no tienen nada que hacer.