Auditando un servidor con Dabo (Parte I)

No hace mucho, hemos tenido la gran suerte de contar con uno de los grandes a nivel nacional en el área de la seguridad de servidores. Muchos que lean esto ya tendrán unos pocos nombres en la cabeza. Probablemente el suyo sea uno de ellos porque conozcan bien su trabajo, otros lo habrán leído en algún momento de su vida si se han tenido que pegar con servidores basados en Linux y los pocos que no lo conozcáis, ya estáis tardando en hacerlo. Me refiero a David Hernández o, como casi todo el mundo lo conoce, Dabo.

Dabo (David Hernandez)El primer día comenzó explicando que tipos de servicios existían para servidores, cuáles eran los que mejor le parecían a él, cuales usaba y porque. Esas cosas para ir rompiendo el hielo. Una de las ideas que veo importante y que él comento fue que, en el mundo de la seguridad es tanto o más importante leer y estar al día que ser buenísimo haciendo configuraciones y levantando o tumbando servidores. Como ejemplo, nos mostró la metodología OSINT  y su proceso. Como primera toma de contacto, la verdad es que estuvo bien. Conocimos un poco más a la persona que hay detrás de @Daboblog . Pero llegaron los siguientes días y comenzó el “entrar en harina”. Nos enseñó que la buena auditoria se va haciendo sin necesidad de herramientas muy potentes ni automatizadas, que eso de atacar con todo lo que se tiene no es buena metodología, que es mejor ir conociendo el sitio, navegar como un usuario normal y que la propia página, con las malas configuraciones que se dejan “por defecto”, te da la información necesaria para empezar a hacer “pupa”.

Comenzamos con la instalación de plugins para ayudarnos en esta tarea de “gardening”. A nivel de aplicación web, el plugin de Wappalyzer nos sorprendió a todos. Muestra demasiada información, por culpa de las configuraciones por defecto, sobre el software que publica la web mostrando las versiones. Esto puede parecer una tontería, pero es un elemento a tener en cuenta para evitar los ataques automatizados a versiones. A nivel de servidor y contenedor de aplicaciones, los plugins de Server Spy, SearchStatus y HackSearch también ayuda mucho en la tarea de recolectar información sobre el sitio. ServerSpy nos muestra la información sobre el contenedor de aplicaciones o el sistema operativo en el cual está montado y sus versiones. SearchStatus, herramienta de SEO, nos muestra el rango de otras aplicaciones web alojadas en la misma IP (mismo servidor), nos muestra el robots.txt y el sitemap.xml si los hubiera. Esto es muy interesante, ya que en el robots.xml el desarrollador pone lo que no quiere que los buscadores web indexen. Por último, HackSearch es un plugin para gestionar elementos que los buscadores web hayan indexado. Estos elementos normalmente suelen ser ficheros públicos que existen dentro de la web, pero otras muchas veces suelen ser configuraciones, backups o contraseñas. Sí, habéis leído bien, contraseñas, impresionante. Con estas herramientas, la simple navegación por la web ya es el primer paso del pentesting, recolectar información. Aunque hay sitios muy mal educados que nos intentan engañar con lo que realmente tienen, publicando cosas que no son. Hay que aprender a distinguirlo bien..

Con toda esta información que nos regalan las web que vamos visitando, lo único que consiguen es facilitar a los posibles atacantes que exploits concretos usar. Lo más gracioso vino después. Una vez que detectamos que el propio software del servidor web publicaba las versiones que utilizaba, nos comentó como taparlo. Fue nuestro “bautismo” en servidores con Dabo. Cambiamos una configuración “por defecto”, que está alojada en /etc/, para que esa información no fuera tan sensible. Lo más interesante fue que hacer este cambio es una trivialidad. Como todo en UNIX, fue cambiar 2 valores del archivo de configuración. El objetivo de cambiar este tipo de información que se muestra tan alegremente al resto del mundo es evitar ataques automatizados, es decir, seguridad por oscuridad. Además, esta metodología de trabajo, en muchas ocasiones, evita que nos molesten en nuestras vacaciones por ataques de 0 day, ya que como no mostramos nuestras versiones, es un poco más complicado que nadie se moleste en atacarnos sin saber si va a lograr algo.

Aun así, muchos de los servicios que se publican al mundo, aunque no sean visitados mediante la web y estos plugins no obtengan su identificador, se pueden utilizar herramientas “made in old school” como netcat. Al conectarnos por nc a una ip y puerto, normalmente nos devuelve su banner con más información de la que debería.

Auditando un servidor con Dabo (Parte II)

Patxi Galan García
Acerca de
Investigador de S3lab
Expertise: Natural Language Processing, Android, Cyberbullying
2 Comentarios en “Auditando un servidor con Dabo (Parte I)
  1. Dabo dice:

    Aupa Patxi !

    Muchas gracias por la entrada y también por tus palabras. Lo cierto es que fue una gran experiencia estar con vosotros y ya sabes que por mi parte, encantado de repetir. Estaré al tanto de la segunda parte y publicaré una entrada en mi blog por aquello de “devolver el feedback” (aunque sé que no hace falta, sino más me apetece;).

    Para mi fue una gran experiencia impartir el módulo y se aprende mucho de los puntos de vista de los demás cuando estás centrado en un punto con unas ideas preconcebidas, que no siempre son las acertadas. Sobre las configuraciones por defecto, sólo añadir que es algo muy sencillo de mejorar partiendo de ese estado inicial potencialmente peligroso. Lamentablemente, pasarán los años y seguiremos viendo como de forma inexplicable, la gente se esfuerza por mejorar y proteger sus equipos de escritorio pero no los servidores donde se guardan muchas veces sus datos…

    Un fuerte abrazo a todos y os leo !! cc / Carlos & Borja

    • Patxi Galan García Patxi Galan García dice:

      Buenas Dabo,

      ya sabes que eres bienvenido aquí siempre 😉
      Pues la verdad es que si, que pasaran los años, se centraran en los dispositivos personales, pero donde de verdad está la chicha y todos los datos, en los servidores, se pasará de ellos.
      Como ya hablamos, prefieren gastar más pasta en poner pepinacos, que en hacer configuraciones personalizadas y eficientes.

      Una pena, pero mejor, así gente como nosotros puede seguir trabajando 😉

      Saludos

4 Pings/Trackbacks para "Auditando un servidor con Dabo (Parte I)"
  1. […] Auditando un servidor con Dabo (Parte I) […]

  2. […] poco contamos la experiencia de un asistente en el módulo de David Hernandez a.k.a. Dabo (Parte I y Parte II), y ahora es Dabo el que cuenta su experiencia como […]

  3. […] más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte I – Parte […]

  4. […] recordábamos una gran experiencia recibiendo una clase magistral de auditoría en servidores web (Parte I y Parte II) dirigida por uno de los mayores expertos en la materia del panorama nacional: […]

Deja un comentario

Tu dirección de correo electrónico no será publicada.