martes, febrero 07, 2017

CloudShark: Tus credenciales en las trazas PCAPs de la nube

Hace ya algún tiempo que salieron los primeros servicios que permitían analizar ficheros PCAP en la nube. Es decir, analizar ficheros con capturas de tráfico de red que eran subidos a la nube para ser analizados, como el caso del servicio Immunity Stalker del que os hablé allá por el ya lejano 2012. Hoy os vengo a hablar de otro servicio que implementa el interfaz del popular Wireshark, pero en cloud, y que tiene el nombre de CloudShark.

Figura 1: CloudShark. Tus credenciales en las trazas PCAPs de la nube

La idea del servicio es bien sencilla. Haz una captura de red en formato PCAP con tu sniffer de red favorito y súbela a CloudShark para poder visualizar los paquetes y el contenido de los mismos. Hasta aquí todo va bien, pero cuando vemos que las capturas que se suben con los servicios gratuitos sin autenticar quedan expuestas a todo el mundo, y que las opciones de protección contra el indexado y caché de los buscadores no están fortificadas, la cosa se puede complicar.

Figura 2: Buscando en Google en las capturas indexadas de CloudShark

De esto se dio cuenta mi amigo rootkit, y tras estar jugando un rato con las búsquedas, se puede ver que es muy fácil acceder a contraseñas de servicios de todo tipo. Muchas de ellas en redes locales, muchas otras de servicios en Internet.

Figura 3: Traza de una conexión FTP en red local

Afinando las búsquedas y sacando el máximo del hacking con buscadores es posible localizar usuarios de WordPress, usuarios de servicios FTP, usuarios de administración de dispositivos de red o casi cualquier cosa que se te ocurra buscar en este servicio. 

Figura 4: Traza de petición HTTP POST de login a una web con usuario y contraseña

Si alguien estuviera buscando víctimas al azar o servidores que utilizar para lanzar un ataque desde ellos, desde luego ir a ver qué hay ya en CloudShark publicado en Google es una forma muy sencilla de hacerse con un servidor aleatorio sin realizar mucho trabajo, tal y como se puede ver en las imágenes.

Figura 5: Trazas de sesión de administación de un WordPress

Si vas a hacer un trabajo de ethical hacking en un cliente y has hecho una captura PCAP del tráfico de un segmento, no la subas a un servicio en Cloud sin asegurarte de que no va a quedar expuesto a todo el mundo e indexado en un buscador, ya que podrías poner en riesgo la seguridad de tu cliente. Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.

Saludos Malignos!

3 comentarios:

  1. Entiendo: Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.

    ResponderEliminar
  2. Vi esto y es engañoso. Google solo indexa enlaces web que están enlazados en un sitio web. No todos de CloudShark.

    ResponderEliminar
  3. @Jason, eso es. Pero el error es que no se han configurado las opciones de indexación correctas en el sitio. Lee las referencias en los enlaces al principio. Saludos!

    ResponderEliminar