miércoles, 21 de junio de 2017

Recordatorio: Torificar cualquier comunicación con TOR Browser

Aunque mucho se ha escrito sobre este asunto, quiero crear un recordatorio para las personas con mala memoria.

El objetivo es: torificar cualquier programa que utilice comunicaciones TCP.

Para ello, sólo necesitaremos:

1.- TOR Browser (https://www.torproject.org/)
2.- ProxyChain (http://proxychains.sourceforge.net/)

-----------------------------------------------------------------------------------------------------------------------------------------------------------
NOTA:  El TOR Browser lo puedes cambiar por el comando TOR (linux). El siguiente enlace explica perfectamente como instalar y usar la combinación: TOR/ProxyChain

https://www.redeszone.net/2014/10/17/como-instalar-y-usar-proxychains-y-tor-en-kali-linux/

                O usar la combinación: TOR/ProxyChain/nmap.

https://www.shellhacks.com/anonymous-port-scanning-nmap-tor-proxychains/
 ----------------------------------------------------------------------------------------------------------------------------------------------------------

TOR Browser, es nuestro navegador web favorito que utiliza la red TOR para establecer su conexiones web. Para lo cual utiliza un túnel VPN, el cual utilizará ProxyChain.

Se encuentra disponible para múltiples sistema operativos, y su instalación es muy sencilla tanto en sistema Linux como en sistema Windows.

ProxyChain, permite tunelizar comunicaciones TCP y DNS a través de proxys.

Sólo se encuentra disponible para versiones Linux, y su uso es tan fácil como escribir el siguiente comando:

proxychain <programa a torificar> <opciones del programa a torificar>

Pero antes de lanzar el comando se tiene que hacer:

1.- ESENCIAL Y DE CARACTER PERMANENTE: Este paso consiste en modificar la configuración de ProxyChain, para que traslade todas las comunicaciones TCP a través del túnel vinculado con la red TOR. Para ello, abrimos el archivo: /etc/proxychains.conf, y :

                 1.1.- Des-comentamos la línea 10 (en mi archivo): #dynamic_chain


Línea 10 (#dynamic_chain), des-comentada.

                1.2.- Comentamos la línea 18 (en mi archivo): strict_chain.

Línea 18 (strict_chain), des-comentada.

               1.3.- Y por supuesto, creamos/modificamos las últimas líneas del archivo con las que indicaremos al ProxyChain por donde debe enviar las comunicaciones.

                El TOR browser, por defecto, habilita el puerto 9150/TCP, como puerto de entrada al túnel dirigido hacía la red TOR.

Camino por donde se envian los paquetes al utilizar el comando: proxychain.

2.- ESENCIAL: Levantar una instancia de TOR Browser.

Y ahora ya, sí que sí, podemos torificar el programa que "deseemos"

Ejemplo: Torificación de la navegación web a través del firefox


Solicitud de la IP que se utiliza para navegar por internet a través del Firefox y a través del TOR Browser


Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

martes, 6 de junio de 2017

¡¡Estamos igual o peor que hace años!!

En una de las últimas auditorias sobre un WordPress de "última generación", más concretamente: versión 7.4.5, se encontró con una fuga información conocida desde 2011, más concretamente sobre las versiones de WordPress:  2.6, 3.1, 3.1.1, 3.1.3 y 3.2-beta2.

La fuga de información permite conocer los nombres de los usuarios almacenados en la base de datos de WordPress, y se encuentra identificada como: CWE-715.

Está vulnerabilidad se categoriza como:

Impacto: Bajo
Explotable remotamente: Sí
Explotable locamente: Sí

Para ello sólo hay que jugar con el parámetro "author" con el que trabaja WordPress. Dicho parámetro acepta valores numéricos que hacen referencia al ID del usuario, por lo que si se utiliza la petición: [http|https]://<dominio>/?author=<ID> , se podría conocer el nombre del usuario, e incluso ser redirigido hacía la página personal del usuario. Aunque esto último, supuestamente , a partir de la versión 3.1.3 esto ya no se puede.

Más información:
https://www.talsoft.com.ar/site/talsoft-advisory-security-wordpress-user-id-and-user-name-disclosure/

Se quiso probar con otro sitio donde estuviera instalada la última versión de WordPress (7.4.5), y me se encontró lo siguiente:

Sitio Web que utiliza la última versión conocida de WordPress.

Nombre de uno de los usuarios almacenados en la base de datos de WordPress

Es decir, al igual que la que se audito, esté sitio también permite enumerar los usuarios almacenados en la base de datos mediante el CWE-715.

¡Después de tantos años seguimos igual!

¡¡O peor!!, ya que se nos redirige a la página del usuario ... algo que debería estar resuelto desde la versión: 3.1.3

Página web del usuario:"gregwstuart"

CONTRAMEDIDA

Recomiendo encarecidamente el bastionado del servicio WordPress mediante algún tipo de guía. Sugiero la guía: CCN-STIC-460

https://www.ccn-cert.cni.es/series-ccn-stic/guias-de-acceso-publico-ccn-stic/952-ccn-stic-460-seguridad-en-wordpress/file.html


Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.

ACTUALIZACIÓN (21/06/2017)

Si se introduce el siguiente código en el archivo: funcions.php, se podrá evitar la enumeración a través del parámetro "author", ya que dichas peticiones serán redirigidas:

Código que permite evitar la enumeración de usuarios a través del parámetro: "author".