¡Llegamos a 27.900.574 visitas gracias a ustedes! ☆

HD Moore

De WikicharliE
HD Moore
Bienvenido a Biografias de WikicharliE

CEO Metasploit Framework

HD Moore.jpg

HD Moore es el desarrollador de Metasploit Framework[1], un software de pruebas de penetración, y fundador del Proyecto Metasploit y director de investigaciones de Rapid7 en Greater Austin, Texas.

WikicharliE Patrimonio de Chile

Contenido

Fundó el Proyecto Metasploit en el verano de 2003 con el objetivo de convertirse en un recurso público para la explotación de la investigación y el desarrollo de códigos. También es conocido por su trabajo en WARVOX, Herramientas de Rogue Red y el desarrollo de softwares de seguridad para el Departamento de Defensa de los Estados Unidos.

Realizo un experimento descubriendo de vulnerabilidades de los sistemas a nivel mundial, lo que permitió mejorar las medidas de seguridad en todo el mundo.

2008

Por Junio del 2008, el servidor web para las descargas de Metasploit, dejó de responder. En su lugar se podía ver una web que decía en modo jocoso: "hacked by sunwear ! just for fun".

¿Cómo sucedió? Según HD Moore, el creador de Metasploit, el servidor en concreto nunca llegó a ser comprometido de forma directa. Es decir, que los paquetes no fueron alterados ni troyanizados como se llegó a sospechar inicialmente. Para llegar a efectuar el DoS, los atacantes lograron penetrar en otra máquina de la misma red (en el mismo ISP). De esta manera, fueron capaces de generar un ataque de ARP Spoofing contra todos los servidores de esa subred, incluido el de Metasploit, de manera que envenenaban su caché ARP a la hora de definir el gateway por defecto. Así, todas las peticiones, no sólo hacia Metasploit, sino hacia todos los servidores que estaban en la misma red, se redirigían a una página china con el contenido de "Hacked by Sunwear!" mediante un Man in The Middle que se encargaba de hacer el defacement.

Según explica HD Moore, el problema se solucionó añadiendo de forma estática una entrada con la correspondencia IP/MAC reales del gateway por defecto y por supuesto notificando al ISP del problema.

Mis dudas ante este incidente son: ¿cómo logró HD Moore entrar en su máquina de forma remota si su servidor resolvía mal la ruta de vuelta? Es decir, a todos los que hemos tenido que administrar máquinas remotamente nos ha pasado alguna vez (me incluyo), a la hora de hacer alguna labor de cambio de dirección IP o de gateway, o de instalación de software cortafuegos, etc,... que hemos perdido la conectividad con la máquina en remoto. Las únicas soluciones para acceder a tu máquina es ir en modo consola y conseguir de nuevo la conectividad con tu red para poder seguir trabajando remotamente con la máquina, esto es pidiendo a la gente del ISP que te añada la entrada ARP válida. Otra opción posible es que HD Moore tuviera acceso a un switch KVM y que desde ahí pudiera estar ya dentro de la red interna. De esta manera, el ARP spoofing no le afectaría y podría hacer las modificaciones oportunas en su servidor.

2013 Qué pasó cuando un solo hombre puso a prueba todo Internet

Un experimento científico casero que tanteó a miles de millones de dispositivos conectados a Internet, revela que miles de sistemas industriales y empresariales ofrecen acceso remoto a cualquiera.

una pila de ordenadores recalentados que ocupaban su cuarto de invitados, contactaban tres veces al día con todos los dispositivos conectados a Internet del mundo, puede que incluso alguno que tengas en casa. "Tengo muchos equipos de aire acondicionado para asegurarme de que mi casa no sale ardiendo", afirma Moore, que es director de investigación en la empresa de seguridad informática Rapid7. En febrero del año pasado decidió llevar a cabo un censo personal de todos los dispositivos conectados a Internet como hobby. "Este no es mi trabajo, es lo que hago para divertirme", afirma.

De momento, Moore ha puesto esa diversión en espera. "Ha provocado unas cuantas quejas, correos de odio y llamadas de las agencias de seguridad", explica. Pero los datos recogidos han revelado algunos problemas graves de seguridad y expuesto a algunos negocios y sistemas industriales vulnerables que se usan para controlarlo todo, desde los semáforos hasta la infraestructura eléctrica.

El censo de Moore consistía en enviar mensajes sencillos automatizados a cada una de las 3.700 millones de direcciones IP asignadas a los aparatos conectados a Internet en todo el mundo (Google, en comparación, recoge la información pública que ofrecen los sitios web). Gran parte de los dos terabytes (2.000 gigabytes) de respuestas que recibió Moore de 310 millones de IPs indicaban que provenían de aparatos vulnerables a fallos conocidos o que estaban configurados de tal forma que cualquier podía hacerse con su control.

La semana pasada, Moore publicó los resultados sobre un segmento especialmente preocupante de esos dispositivos vulnerables: aquellos que parecen ser de empresas y sistemas industriales. Más de 114.000 de esas conexiones de control aparecían como conectadas a Internet y con fallos de seguridad conocidos. A muchos de ellas se podía acceder usando las contraseñas instaladas por defecto en los programas y 13.000 ofrecían acceso directo a través de un comando sin necesidad siquiera de usar una contraseña.

Moore afirma que esas cuentas vulnerables ofrecen a los atacantes oportunidades significativas, incluyendo la de reiniciar los servidores y sistemas informáticos de las empresas, acceder a los registros de aparatos médicos y de datos de consumidores e incluso conseguir acceder a sistemas de control industrial en fábricas o en la infraestructura eléctrica. Los últimos hallazgos de Moore se ven apoyados por una serie de datos parecida publicada por un hacker anónimo el mes pasado, recogida comprometiendo 420.000 piezas de hardware de red.

Las conexiones que buscaba Moore se conocen como servidores serie, usados para conectar a Internet aparatos que no tienen esa funcionalidad incorporada. "Los servidores serie funcionan como pegamento entre sistemas arcaicos y el mundo en red", explica Moore. "Están exponiendo a muchas organizaciones a posibles ataques". Moore no sabe si los fallos que ha descubierto ya están siendo explotados, pero ha hecho públicos los detalles sobre cómo las empresas pueden escanear sus sistemas en busca de los problemas que ha descubierto.

Joel Young, director tecnológico de Digi International, fabricante de muchos de los servidores serie inseguros que halló Moore, agradeció la investigación, afirmando que había ayudado a su empresa a entender cómo estaba usando la gente sus productos. "Algunos clientes que compran e instalan nuestros productos no han seguido una política o práctica de seguridad adecuada, afirma Young. "Tenemos que hacer una labor educativa más proactiva sobre seguridad para nuestros clientes".

Young explica que su empresa vende un servicio en nube que puede dar a sus productos una conexión segura, privada, fuera del Internet público. Sin embargo, también explica que Digi seguirá vendiendo productos con contraseñas por defecto porque facilita la instalación inicial y hace que sea más probable que los clientes instalen sus propias contraseñas. "No he encontrado una forma mejor de hacerlo", sostiene.

Billy Rios, investigador en seguridad que trabaja en sistemas de control industriales en la start-up de seguridad Cylance, afirma que el proyecto de Moore proporciona cifras muy valiosas para cuantificar la escala de un problema conocido por los expertos como él, pero que las empresas en situación de riesgo no saben valorar adecuadamente.

Rios explica que, en su experiencia, los sistemas usados por instalaciones más "críticas", como las de infraestructura energética, tienen las mismas probabilidades de ser vulnerables a un ataque que aquellos usados para labores como controlar las puertas en una pequeña oficina. "Están usando los mismos sistemas", afirma.

Retirar los servidores serie del Internet público para que se tenga que acceder a ellos a través de una conexión privada podría prevenir muchos de los ataques más fáciles, afirma Rios, pero los atacantes aún podrían usar varias técnicas para robar las credenciales necesarias para acceder.

El nuevo trabajo suma información a otros hallazgos significativos producidos por el curioso hobby de Moore. Unos resultados que publicó en enero demuestran que alrededor de 50 millones de impresoras, consolas de videojuegos, routers y discos de archivo en red están conectados a Internet y son fáciles de comprometer debido a fallos conocidos en un protocolo denominado Universal Plug and Play (UPnP). Este protocolo permite a los ordenadores encontrar las impresoras de forma automática, pero también viene incorporado en algunos aparatos de seguridad, routers de banda ancha y sistemas de almacenamiento de datos y podría estar poniendo en riesgo información valiosa.

Los datos recogidos por la encuesta de Moore también han ayudado a sus compañeros de Rapid7 a identificar cómo las agencias policiales y de inteligencia usaron un software llamado FinFisher para espiar a activistas políticos. También ha servido para desenmascarar la estructura de control de una larga campaña llamada Red October que se infiltró en numerosos sistemas gubernamentales europeos.

Moore cree que la industria de la seguridad está pasando por alto algunos problemas graves y básicos de seguridad al centrarse principalmente en los ordenadores usados por los empleados de la empresa. "Me ha quedado muy claro que tenemos problemas mucho más gordos", afirma Moore. "Existen problemas fundamentales sobre cómo usamos Internet hoy". Quiere conseguir que más personas trabajen en arreglar las puertas traseras que están poniendo en peligro a las empresas.

Sin embargo, Moore no tiene planes de volver a poner a prueba todo Internet. Las abultadas facturas eléctricas y de Internet e incidentes como que el Equipo de Respuesta Informática de Emergencia del gobierno chino pidiera a las autoridades de Estados Unidos que impidieran que Moore "hackeara todas sus cosas" le han convencido de que ha llegado el momento de encontrar un hobby nuevo. Sin embargo, con montones de datos aún por analizar, probablemente aún le queden cosas por revelar sobre el estado real de la seguridad en línea, afirma Moore: "Estamos sentados sobre montañas de nuevas vulnerabilidades".[2]

Fuentes y Enlaces de Interés

  1. http://www.metasploit.com/
  2. Qué pasó cuando un solo hombre puso a prueba todo Internet Articulo MIT , 7 de mayo de 2013

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el ícono
Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas