macOS Hacking

Ayer salió a la venta macOS Hacking, mi último proyecto, realizado junto a mi amigo Ismael González de "Kontrol0".

 En el damos un repaso a todo el sistema operativo masOS (Apple) y todas las posibilidades que ofrece. 

¿Quien dijo que un hacker no puede tener un Mac? 

En el podrás disfrutar de un paseo por la historia y cambios que han ido sufriendo sufriendo los sistemas operativos de Apple desde su aparición hasta el actual macOS Sierra. También podrás conocer trucos y todas las increibles posibilidades que el ofrece el nuevo sistema operativo.

Además de todo esto ¿herramientas de hacking? ¿como hacer pentest con un macbook, o un mackbook pro? ¿que herramientas nos permite utilizar el SO y como utilizarlas? 

macOS Hacking  http://0xword.com/es/libros/91-macos-hacking.html

 "Cuando se habla de cualquier producto de la compañía de Cupertino, es común pensar en toda su filosofía de vender productos con un aspecto visual y un acabado que roza casi la perfección. Steve Jobs fue el mayor responsable de que esa filosofía se llevara acabo, quien a día de hoy a dejado un gran legado en manos de Tim Cook actual CEO de Apple  (1/11/16). Sin embargo la obsesión de Steve Jobs no se centraba sólo en hacer de Apple unos productos artísticos, sino que lo llevaba al extremo ofreciendo al usuario final un equipo versátil y potente a la par que fácil de usar, como es el caso de los equipos con OS X y macOS, donde se puede apreciar un sistema operativo con un aspecto visual elegante que en su interior posee herramientas tan potentes como Python, Perl, o Ruby entre otras.
Centrándose en temas de seguridad, cada día es más común ver equipos Mac en conferencias como Defcon, BlackHat, Rooted Con o Ekoparty, entre otras, donde sólo se reúnen expertos en seguridad.
La fuerte demanda de estos equipos y de su sistema operativo, ha hecho que se planteara la idea de escribir un libro que explicara en profundidad algunas de las características más esenciales de estos sistemas, enfocado siempre a la seguridad y el hacking. De esta manera, se busca dar a conocer multitud de funcionalidades ocultas del sistema, así como también un gran número de herramientas de hacking que permitirán tener un equipo Mac completamente preparado para realizar auditoría de seguridad y ataques hacking."

Configurando Safari en macOS Sierra, para navegar anonimamente con Tor

Antes de empezar con esta entrada... Felices Fiestas Navideñas a tod@s desde España!!
Nuestras primeras navidades juntos desde este Blog, así que quiero dar las gracias a todos los que lo habéis seguido durante este último año.

Quitando una entrada recopilatoria de todo lo que ha sido el año que veremos la semana que viene, para finalizar 2016, seguramente con esta entrada me despido antes de estas fiestas, así que H@ppy H@cking para todos!!

Y acabamos el año con algo sencillito pero muy útil y quizás en lo que los que llevais poco tiempo en el mundo no habeís caído o quizás acabais de adquirir un Mac por primera vez y no habéis llegado a habilitar el navegador para navegar de forma anónima.

Vamos a configurar Safari para navegar de forma anónima a través de Tor.

La operación es sencilla, y partiendo de la premisa de que ya tod@s tenéis instalado Tor en vuestro equipo ... Vamos a verlo.

Configurando Safari para navegar por Tor anonimamente

Antes de empezar, si queremos navegar de forma "segura", no nos interesa ser detectados o identificados a través de nuestra IP, es por ello que utilizaremos una herramienta como Tor (cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella).

Dando por echo que tod@s sabemos instalar y hemos utilizado Tor alguna vez en nuestro equipo (y lo tenemos instalado ahora mismo), en esta entrada veremos como utilizar el anónimato que este nos ofrece, pudiendo navegar tranquilamente por el Safari de nuestro sistema operativo macOS Sierra.

Aunque tengamos Tor funcionando, si no navegamos a través de su propio navegador y consultamos nuestra IP, veremos que se muestra la verdadera, "la nuestra".

Si abro Safari y utilizo cualquier Web de las que me dicen la IP, por ejemplo:
https://www.iplocation.net/find-ip-address

Me dice mi IP original, con algún dato más, como por ejemplo más o menos mi ubicación.

Como lo que nos interesa, depende de lo que estemos o queramos hacer, es ocultar nuestra identidad, vamos a configurar nuestro navegador para que nos ofrezca los sevicios de Tor.

Para ello, solo tenemos que abrir Tor y dejarlo arrancado.
A parte, solo tenemos que copiar la misma configuración que está utilizando su navegador para salir a la red.

En mi caso, me meto en dicha configuración dentro del menú de dicho navegador y puedo ver que lo hace mediante "Servidor SOCKS" (De esta manera, se habilita el uso del protocolo Socket Secure que permite direccionar paquetes entre un cliente y servidor a través de un servidor proxy.)








Además vemos en la imagen como hace referencia a la IP 127.0.0.1 y al puerto 9150.

Ahora solo tenemos que configurar estos mismos parámetros en el navegador Safari (Como he dicho mantenemos arrancado Tor).

1. Abrimos Safari.
2. En el Menú superior, seleccionamos Safari y preferencias.

Hecho esto se abrirá la Configuración de redes, por lo que solo hay que acceder a lo que nosotros nos interesa. En este caso es la sección de "Proxies", ya que queremos que actue en forma de proxy modo SOCKS para imitar el funcionamiento del navegador de Tor.

Introducimos como ya hemos visto antes, la misma IP y el mismo puerto (127.0.0.1 / 9150).
Aceptamos y aplicamos el cambio.

Si ahora volvemos dentro de Safari y accedemos a la misma web en que comprobamos la IP de nuestro equipo, veremos que esta a cambiado completamente y de echo nos está ubicando en un lugar muy diferente del que nos encontramos físicamente.

A partir de aquí podremos seguir usando el navegador Safari de nuestro Mac de forma totalmente anónima.

Un saludo y Felices Fiestas!!! 

Auditando la seguridad de Mac con Lynis

Como ya se ha podido ver en anteriores entradas, el autor de este blog tiene cierta debilidad por los sistemas, equipos, gadgets, que trae a la vida la compañía de Cupertino.
Se que dentro del mundo de la seguridad, como pasa en cualquier otro lugar y con cualquier otro tema, esto tiene gente a favor y totalmente en contra.

En este artículo, como ya he hecho en otros, voy a mostrar como con un Mac se puede hacer lo mismo que con cualquier otro tipo de equipo.

Para todos los que tienen un equipo de Apple (Macbook, Macbook Pro, Macbook Air, etc.) vamos a ver como poder auditar la seguridad de nuestro equipo. Para ello vamos a utilizar "Lynis", una estupenda herramienta para las auditorías de seguridad de código abierto.

Lynis es utilizada a menudo por administradores de sistemas, profesionales de seguridad y auditores, para evaluar las defensas de seguridad de sus sistemas basados ​​en Linux y UNIX. Se ejecuta en el propio host, por lo que realiza análisis de seguridad más extensos que los escáneres de vulnerabilidades.

En esta entrada se va a ver como se puede instalar en un sistema Mac, pero esta herramienta esta hecha para poder ejecutarse en casi todos los sistemas basados en Unix, como por ejemplo: AIX / FreeBSD / HP-UX / Linux / OS X / Mac OS / NetBSD / OpenBSD / Solaris.
También funciona en dispositivos como Raspberry Pi, o QNAP.

Lynis en su escaneo, realiza cientos de pruebas individuales, con lo que busca determinar el estado de seguridad del sistema. Además esto lo hace de manera totalmente inocua, ya que no necesita herramientas de terceros en su análisis, por lo que puede mantener el sistema totalmente limpio.
SI por ejemplo, Lynis detecta que Apache esta siendo ejecutado, comenzará a realizar pruebas relacionadas con Apache, y si durante esta ronda de pruebas detecta también una configuración de SSL / TLS, realizará posteriormente una auditoria de esto, guardando los certificados descubiertos para que el posterior escaneo.

Bien. Vamos a pasar a ver como se audita la seguridad de un Mac con Lynis.

Lo primero es descargar e instalar la herramienta. Hay varias posibilidades y no creo que haya una mejor que otra, ya que es algo que dependerá de como nos guste trabajar a cada uno.
Lynis esta disponible en sitios como "github.com", donde se puede descargar y posteriormente hacer todo el proceso de instalación.
Yo como se ha podido ver en otras entradas, cuando se trata de instalar en Mac, soy partidario de la utilización de gestores de paquetes, ya que facilitan mucho las cosas. En este caso como en otros, utilizaré Homebrew para instalar Lynis en mi equipo (En esta entrada no se verá evidentemente como instalar Homebrew, pero solo tienes que buscar como, ya que es verdaderamente sencillo).

 Abrimos el terminal y buscamos en el repositorio de Homebrew si está Lynis.


 Tras ver que si, pasamos a instalarlo.

 

Una vez que está instalado en el equipo, la ejecución es muy sencilla. Solo hay que ejecutar el comando: lynis -c ; y esta empieza atrabajar automáticamente, revisando todas las configuraciones en el sistema operativo.

El análisis empieza por lo más básico, va análizando y recopilando toda la información del sistema operativo, kernel, hardware, hostname, profiles, etc. 

 




































 
En su auditoría del sistema irá recabando información, encontrando a su paso vulnerabilidades y configuraciones por defecto.
Como se puede ver en la siguiente imagen, aún siendo una herramienta de terminal, consigue un aspecto muy visual, ya que emplea coloresalgo llamativos, a modo de semáforo, dando más importancia o menos a la información que va recopilando, siendo un "OK" Verde exponente de tranquilidad, hasta llegar al otro extremo, el Rojo de "WARNING".

 

Lynis hace un análisis totalmente extenso del sistema.

• System Tools
• Plugins
• Boot and Services
• Kernel
• Memory and Proccesses
• Users, Groups and Authentication
• Shells
• File Systems
• Ports and Packages
• Printers
• Software
• E-Mail and Messaging
• Firewall
• Support
• PHP
• Cryptography
• Y un largo etc...

Analiza cada archivo de configuración para saber en qué estado se encuentra el núcleo, esto le permitirá al usuario saber en qué estado se encuentra y poder tomar las medidas necesarias para fortalecerlo más.



Finalmente Lynis te ofrece los resultados obtenidos, haciendo especial referencia las vulnerabilidades encontradas.
Aparte de la información que Lynis muestra en la pantalla, todos los detalles técnicos sobre la exploración se almacenan en un archivo de registro a modo de informe técnico.

Cualquier hallazgo (advertencias, sugerencias, recopilación de datos) se almacena en un archivo de informe. Este lo podemos encontrar, si nos fijamos en la imagen de debajo, en "Follow-up" nos indica las rutas.



En Lynis "security scan details" en la imagen superior, se puede ver entre otras cosas en nivel de fortaleza que tiene el sistema auditado. En este caso un 73%.


Ahora solo tenéis que descargar la herramienta y empezar a practicar.





Un saludo y hasta la próxima entrada ;)

Análisis de Rootkit en OS X con Rkhunter

 Cuando un Rootkit es instalado dentro de un sistema, en la mayoría de los casos este pasa a ser administrado y manejado por una mano invisible, de la cual ni si quiera será detectada su presencia.

 Un rootkit es un software, o mejor dicho un conjunto de herramientas, que normalmente está asociado a su utilización para fines maliciosos, ya que su objetivo y razón es la de ocultar la presencia de malware en el sistema y/o permitir el acceso a un equipo o sistema, al que no se podría acceder sin autorización de privilegios y utilizando sus propiedadades, se mantiene oculto (invisible) a ojos de los administradores, mientras corrompe el funcionamiento normal del propio sistema y de las aplicaciones que se encuentran en él, con el objetivo fundamental de ejecutar acciones remotas y/o conseguir substraer información del mismo.

El Rootkit tiene la capacidad de penetrar en el sistema e interceptar las funciones del mismo y modificarlas, ocultar procesos, archivos, registros, crear backdoors, además algunos rootkit se encargan por si mismos de instalar en el sistema sus propios drivers.
Puede llegar a un sistema de forma automatizada o por medio de un atacante que una vez accedido a un sistema o programa lo instala ahí.

El atacante accederá al sistema explotando vulnerabilidades y una vez instale en rootkit podrá tener un acceso privilegiado, administrando y modificando las características, incluyendo el software y mientras esto sucede podrá ocultar su existencia asegurando el éxito de la operación.

Detectar que un Rootkit es bastante complicado, ya que puede ser capaz desestabilizarlo y desestructurarlo y en el caso de detectarlo la eliminación es muy complicada, sobre todo en situaciones en que el Rootkit se encuentre instalado en el núcleo del sistema, donde la manera más eficaz y óptima de desacernos de él, sería la reinstalación del sistema operativo intentando borrar todo su rastro.

En esta entrada voy a mostrar una herramienta capaz de detectar rootkits y backdoors, mediante la comparación de hashes MD5 de algunos de los ficheros importantes del sistema, códigos sospechosos en el kernel, permisos incorrectos o defectuosos y realización de pruebas de análisis de detección.

Esta herramienta es: "Rkhunter".

Rkhunter está disponible para los sistemas operativos:
GNU/Linux, BSD, AIX, Mac OS X, SME, Solaris, y otros Sistemas operativos basados en Unix.
Para la entrada utilizaré Mac OS X.

Instalarlo en Mac es bastante sencillo, solo se debe de acceder al terminal y utilizar algún software gestor de paquetes para Mac OS, como puede ser Homebrew o Macports.

Instalar estas herramientas es bastante sencillo y aunque ya lo comentaré en alguna entrada futura, para los que las desconocen, os animo a informaros sobre ellas.
Para hacer la entrada, vamos a instalar por ejemplo Homebrew rápidamente ...





Este gestor de paquetes, en pocas palabras, lo que hace es ayudarnos a instalar paquetes de aplicaciones en Mac, de forma comoda por medio de un simple comando y descargando dichas aplicaciones de los repositorios con los que trabaja.

Una vez instalado Homebrew, vamos a pasar a instalar Rkhunter utilizando el sencillo siguiente comando.








Una vez hecho esto, como se puede observar en la imagen, Rkhunter a sido descargado e instalado en la ruta indicada.

Para ejecutar la herramienta solo queda lanzar el comando: rkhunter.
El terminal nos muestra las diferentes opciones que nos ofrece la herramienta.

















 Antes de empezar, actualizamos la base de datos de Rkhunter con el siguiente comando.

Una vez actualizado procederemos a comenzar a analizar el equipo o sistema.
El comando: rkhunter --check



En su análisis realiza pruebas de detección rootkits, algunos de ellos muy frecuentes o conocidos: beX2, Gaskit, T0rn, Trojanit Kit, OS X Rootkit, Shutdown, TBD, etc.

Rkhunter entre otras, realiza pruebas en los puertos abiertos del sistema, analiza y comprueba los permisos y privilegios de los usuarios.

Como guinda al pastel, posee un fichero de log mucho más detallado que la información mostrada en el terminal, el cual está localizado en '/tmp/rkhunter.log'.

Sistema de Protección de la Integridad (SIP) para OS X (El Capitan) y MacOS Sierra

En una de las anteriores entradas "K0SASP - Pentesting con Mac OS X" se pudo ver como debido a nuevas implementaciones en sus medidas de seguridad, los sistemas operativos de Apple (a partir de la versión de OS X "El Capitan" incluían SIP (System Integrity Protection)) restringen la cuenta root y limitan las acciones que el usuario root puede realizar en las partes protegidas de OS X o MacOS.

En este caso tuvimos que ver como saltar esta medida de protección para poder instalar la suite de herramientas de hacking "K0SASP".

Pero...¿Que es exactamente SIP?

 

Este Sistema de Protección de la Integridad, es diseñado por Apple con la intención de evitar la instalación de malware capaz de modificar archivos y carpetas protegidas. Y es que Apple reconoce no fiarse del usuario o administrador de un equipo, ya que primando por la seguridad de su sistema, admite que muchos de los problemas que surgen a nivel de malware, vienen dados por la forma de actuación de dichos usuarios y la instalación de software no verificado.
Por todo esto, apartir de OS X "El Capitán", Apple con su SIP restringe por primera vez el poder del todo poderoso usuario "root", limitando las acciones que podrá realizar en partes protegidas del sistema. Todo esto según la compañía para alcanzar un alto y óptimo nivel de seguridad.
SIP solo permitirá el acto de modificar partes protegidas a software firmado y certificado por Apple.

Directorios protegidos:

• /System
• /bin
• /sbin
• /usr (a excepción de /usr/local)

Enlaces simbólicos protegidos:

• /etc
• /tmp
• /var
• /private

Como saltarnos System Integrity Protection es fácil, ya que aunque Apple como afirma quiere llevar sus sistemas a un punto de alto nivel de seguridad, es consciente que algunos usuarios de alto nivel, como pueden ser desarrolladores, hackers, etc., necesitarán en algún momento modificar estos directorios a priori protegidos, por lo que deja una ventana abierta.
Esta ventana viene en forma de herramienta y se llama "Csrutil". Con esta herramienta se puede habilitar y deshabilitar SIP (también denominado Rootless) y permitir la modificación de los ficheros protegidos.

Antes de pasar a deshabilitar el sistema de protección, seamos conscientes de su labor.
Si accedemos a una de las carpetas protegidas...

...por ejemplo "System" e intentamos crear un archivo o directorio dentro de ella, al estar protegida nos dirá:

Evidentemente no permite esta operación.

Para poder hacer esto sin restricción hay que hacer uso de "csrutil" y como ya vimos, para que sea efectivo hay que hacerlo a través del terminal pero en el modo "Recovery" del sistema, o lo que es lo mismo el modo de recuperación de sistema tanto para OS X como MacOS Sierra.
A través del modo Recovery pueden realizarse funciones como:

• Restaurar tu Mac a partir de una copia de seguridad de Time Machine.
• Comprobar y reparar unidades conectadas mediante Utilidad de Discos.
• Instalar o reinstalar OS X.

Pero también se puede tener acceso a utilidades como el terminal del sistema.
De este modo, para acceder al modo "Recovery" solo hay que reiniciar el sistema.

Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.







Veremos que el sistema operativo empezará a cargar como de costumbre, pero arrancará en un entorno diferente.

 
Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades en la barra de menú superior).

Dentro del terminal solo hay que lanzar el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).
 
Con Rootless deshabilitado vamos a realizar la misma acción de antes, a ver con que nos encontramos.
Entramos en el terminal y accedemos a "System".

Como se puede ver, el contenido es solo "Library". Después, mediante el comando "mkdir" decimos que queremos crear el directorio PruebaKoox, nos pide la password de administrador y lo crea sin problemas, en el mismo sitio que anteriormente no nos había permitido.

Como ya se ha indicado, para volver a activar SIP solo habría que realizar la misma operación, con la diferencia que en el terminal meteriamos el comando: "csrutil enable".