Sec-Track

El pasado 24 de abril tuve el placer de asistir como conferencista al Festival Internacional de Instalación de Software Libre desarrollado en Medellín.

La conferencia que presenté trató sobre la implementación de Laboratorios de Entrenamiento en Seguridad Informática, y de como el Proyecto Sec-Track puede ser una magnífica herramienta para cumplir con ese objetivo.

El contenido temático de dicha conferencia, es el siguiente:

• Descripción del Proyecto Sec-Track
• Por qué implementar laboratorios de entrenamiento?
  • Facil inicio para aprendices
  • Diferentes niveles de complejidad
  • Portables
  • Simulación de entornos reales
  • Implicaciones legales
  • Problemas de conexión
  • Tiempo de desarrollo de escenarios
  • Costos
  • Tu lo construyes… Tu sabes como resolverlo
  • Posibilidad de crear comunidad
• Implementación de Hardware
  • Computadores (Dispositivos)
  • Herramientas de Red
  • Cables
  • Hubs
  • Switches
  • Routers
  • Dispositivos de almacenamiento
  • Firewalls
  • Acces Points
  • Reguladores eléctricos
• Implementación de Software
  • Virtualización
  • VirtualBox
  • XEN
  • QEMU
  • Virtual PC
  • VMWare
  • Diferentes S.O
  • Tools
• Laboratorios de Test de Penetración
  • Evaluación activa de las medidas de seguridad de la información
  • Metodologías
  • ISSAF
  • NIST SP 800-42
  • EC-Council (CEH)
  • De-Ice PenTest LiveCDs
  • PwnOS
  • DVL
  • WebGOAT
  • Damn Vulnerable Web App
  • Sauron 1.0
  • FoundStone
  • BadStore
  • TurnKey Linux
  • Libros Recomendados
• Laboratorios de Hardening
  • Honeywall CD-Rom
  • Labs Hardening Windows-GNU/Linux
  • Libros Recomendados
• Laboratorios de Análisis Forense Digital
  • Retos Forenses UNAM
  • Reto Forense Comunidad DragonJAR
  • HoneyNet Project Challenges
  • Libros Recomendados
• Laboratorios de Análisis de Malware
  • Windows-GNU/Linux
  • Libros Recomendados
• Muchos otros Entornos/Ideas/Posibilidades
  • CTF
  • Campus Party
  • Criptogramas
  • Crackmes
  • Hackme
  • WarGames

En el transcurso de algunos días estaré publicando en detalle cada uno de estos (y mucho más) entornos de entrenamiento, como objetivos de aprendizaje colaborativo en el Proyecto Sec-Track.

Desafío número 10 publicado por Cristian F. Borghello en el Blog de ESET Lationoamérica.

Un cliente acaba de enviarnos un archivo comprimido con clave y nos dice que las pistas para encontrar dicha contraseña de 9 caracteres se encuentra oculto de alguna forma en este otro par de archivos (MD5: 159aa63c90c0a2692562d3414a39eaca).

Se debe determinar cual es la contraseña buscada sin realizar ataques de fuerza bruta sobre ningún archivo y dejarla en los comentarios de este post. La primera persona en describir la forma de llevar a cabo el proceso para obtener dicha clave, se llevará una Licencia del Antivirus de ESET.

Las ideas, comentarios y sugerencias para resolver este reto pueden ser tratadas en la lista de Sec-Track o por medio de los comentarios de nuestro Blog.

Estos son los solucionarios publicados por parte de HackPlayers (desarrolladores del primer reto de esteganografía publicado en Sec-Track y de quienes esperamos publiquen muchos más (Y)) y de Juanma Merino (quien desde un comienzo intentó resolverlo hasta conseguirlo, Felicitaciones Juanma ).

Read the rest of this entry »

HackPlayers ha decido publicar un pequeño reto relacionado con la Esteganografía. Y pues  la idea es realizarlo desde Sec-Track a través de los comentarios y de la lista de correo de los lectores.

Read the rest of this entry »

Algunos apartados más del libro Técnicas criptográficas de protección de datos. (Más información >>) relacionados con el Criptoanálisis:

El Criptoanálisis está íntimimante ligado a cada algortimo de cifrado. Cuando alguien diseña un criptosistema, tiene que tener en mente todos los posibles ataques que éste puede sufrir, y cada mecanismo de ocultación que implementa está respondiendo a un hipotético procedimiento de Criptoanálisis.

Read the rest of this entry »

En el post anterior dedicado  a la  criptología realizamos una pequeña introducción sobre algunos temas relacionados con esta ciencia y propose un pequeño criptograma a modo introductorio con la finalidad de practicar algunos métodos de cifrado clásico (César).

Nuestro amigo Servant desde la lista de discusión de Sec-Track se dió a la tarea de realizar este criptograma con el objetivo de introducir y acercar de una manera más práctica a los interesados en esta amplia y compleja ciencia. Veamos:

” Buen día:
Sé que esto es muy básico y la mayoría lo manejan pero pues quiero aportar en lo poco que puedo.
Mientras cojo mas cancha en este campo… (y)

Cifrado por sustitucion o Cifrado Cesar

Utilizamos el alfabeto americano [26 Letras]
Creamos una llave de sustitucion [N]
Este método fue utilizado por Julio César y de ahí viene su nombre, consiste en cambiar cada letra del texto por la que esté N lugares más adelante en el abecedario.

Por Ejemplo:

Abecedario: ABCDEFGHIJKLMNOPQRSTVWXYZ
Llave N: 14
Abecedario + N: OPQRSTUVWXYZABCDEFGHJKLMN

Mensaje: sectrack dot com the do to security
Mensaje + N: eqofdmow paf oay ftq pa fa eqogdufk

Este método es muy conocido en foros para dar respuestas a adivinanzas por ejemplo y evitar que sin querer alguien la lea.
También conocido como ROT13 cuando N = 13 y su relativo para los números ROT5 donde N = 5

ROT13:
Abecedario: ABCDEFGHIJKLMNOPQRSTVWXYZ
Llave N: 13
Abecedario + N: NOPQRSTUVWXYZABCDEFGIJKLM

ROT5
Numeros: 0123456789
Llave N: 5
Numeros + N: 5678901234

Ahora podemos utilizar una funcion en PHP para evitar hacer este proceso a mano:

Codigo.php

<?php
$mensaje=”Este es un mensaje cifrado”;
$mensaje_cifrado= str_rot13($mensaje);
echo $mensaje_cifrado;
echo ‘<br>’;
echo $mensaje;
?>

Bytes
Servant ”

Muchas gracias a Servant por realizar el solucionario para este Criptograma (Y)

Como para “relajarnos” y distraernos un poco entre uno y otro reto con los entornos virtualizados de intrusión iré publicando una serie de ejercicios y lecturas relacionadas con la Criptología (Criptografía | Criptoanálisis).

También publicaré uno que otro acertijo matemático y lógico que tanto me gustan.

Primero hagamos una pequeña introducción a estas temáticas. Para ello utilizaré como base un magnífico libro que lleva por título: Técnicas criptográficas de protección de datos. (Más información >>) de este extraeré algunos apartados/frases/resúmenes que considero importantes y de interés para nuestros objetivos.

• De forma esquemática podría decirse que la Criptología tiene dos objetivos fundamentale, que dan lugar a dos parcelas de la misma, claramente dependientes: La Criptografía y el Criptoanálisis. La Criptografía estudia cómo mantener secretas las comunicaciones que se efectúan por medio de los denominados canales inseguros (teléfonos, tarjetas electrónicas, computadores, etc), y el Criptoanálisis analiza cómo descifrar tales comunicaciones. El proceso básico seguido para conseguir que las comunicaciones sean seguras, es decir, que sean secretas para un criptoanalista, consiste en enmascarar el texto que se desea transmitir mediante el uso de las claves.

• Los fundamentos en los que se basa esta moderna disciplina proceden, fundamentalmente, de diferentes y muy variados campos de la Matemática (Álgebra Lineal, Teoría de Números, Estadística, Teoría de la Complejidad, etc.), de las Ciencias de la Computación y de las Telecomunicaciones.
• La Criptografía se divide en dos grandes campos: Clave secreta y Clave pública.
• La Criptografía de clave secreta puede definirse como aquella que hace uso de  claves secretas para cifrar y descifrar el mensaje que se envía o se recibe.
• La Criptografía de clave pública utiliza una clave pública, conocida y utilizada por cualquier persona (como si de un número telefónico se tratara) que desee enviar un mensaje, y otra clave privada, sólo conocida por el destinatario, que le permite descifrar el mensaje recibido.
• La criptografía como medio de proteger la información personal es un arte tan antiguo como la propia escritura. Como tal, permaneció durante siglos vinculada muy estrechamente a los círculos militares y diplomáticos, puesto que eran los únicos que en principio tenían auténtica necesidad de ella.
• A y B son, respectivamente, el emisor y receptor de un determinado mensaje. A transforma el mensaje original (texto claro o texto fuente), mediante un determinado procedimiento de cifrado controlado por una clave, en un mensaje cifrado (criptograma) que se envía por un canal público. En recepción, B con conocimiento de la clave transforma ese criptograma en el texto fuente, recuperando así la información original.

Lecturas y temáticas recomendadas para el desarrollo de este primero Criptograma:

• Cifrado por Sustitución

Libro recomendado (Libro Electrónico de Seguridad Informática y Criptografía)

Página Web recomendada (Es.Kioskea.es)

Para este primer acercamiento a la Criptología por parte de Sec-Track publicaré un muy sencillo criptograma. Con el objetivo de poner a prueba los conocimientos adquiridos en las lecturas recomendadas.

Criptograma I (nivel muy muy muy bajo):

eqofdmow paf oay ftq pa fa eqogdufk

Recuerden que la finalidad de los ejercicios, pruebas,  retos, wargames, etc. de Sec-Track no es dar una simple solución. El objetivo es generar conocimiento (documentación, debates, artículos, videos, etc) de como se realizó dicho objetivo.