¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.

El otro día me hacía una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un muy puen Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Estoy tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

  • PowerShell 2.0 o superior.
  • Windows 7/Windows Server 2008 o superior.
  • Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

adaclscan0001

 

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

  1. Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
  2. Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
  3. Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

adaclscan0002

Opciones del Escaner:

  • Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
  • Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

adaclscan0003

adaclscan0004

 

  • También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.

 

  • Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

 

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

 

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

adaclscan0005

 

Filtrado.- Podemos realizar los siguientes filtros:

 

  • Filtro de permiso de Permitir o Denegar.
  • Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
  • Filtro “By Trustee”, o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

 

Con esta herramienta no se que escusa poner ahora.

Suerte.

Rotura de claves WPA en Router de Telefonica y Jazztel.

En un Post de hace unos meses, os comenté uno de los últimos libros que me había leido “Hacker Epico“. En uno de los capítulos hablan de lo fácil (para un hacker) que es crackear una Wi-Fi securizada con WPA, en concreto en determinados Routers Wi-Fi de Telefónica y Jazztel, los que tienen una denominación del tipo: WLAN_XXXX, o sea, el mio.

liberadaWifi0002

Concretamente lo que se había descubierto era que el mecanismo de generación de claves, dicho algoritmo estaba basado en el BSSID (la dirección MAC del router WiFi), y el ESSID ( lo que se conoce como el nombre de la red WiFi, en nuestro caso WLAN_XXXX) del router. Estos datos son públicos en conexiones a redes WiFi.

Ya sabeis el dicho, “en casa del herrero, …..”. Me puse manos a la obra con mi Router de Telefónica recien instalado para ver si era cierto …… mediante herramientas de Snifer conseguí la dirección MAC de mi Router ….

img-000007Vaya, el ESSID de mi Router termina en 2E4C y la MAC del mismo router, o sea, el BSSID, ….. también!!!! Sospechoso.

Pues nada, me descargué de Google Play el siguiente programa “Liberad a Wifi Revolution”:

liberadaWifi0001

el cuál, hace todo el trabajo por mi, jejeje

Lanzamos el aplicativo:  SC20130513-225903

Nos detecta todas las redes Wi-Fi a nuestro alrededor, y, en concreto, la que nos interesa:

liberadaWifi00001

Y, para finalizar, nos hace el cálculo a través del citado algoritmo, de nuestra clave WPA:

liberadaWifi00002

Os confirmo que no es la que tengo asignada. Uf!! primera prueba superada.

Si quieres hacerlo a través de una web (aqui), lo ejecutamos en nuestro navegador y nos aparece la siguiente pantalla:

Una vez introducidos los datos que hemos obtenido y pulsando a “Calcular key”, nos aparece la siguiente clave:

WPAWIFI0001Que, nuevamente, no corresponde con la nuestra. Uf! menos mal, de momento, hemos pasado el primer filtro.

Bibliografia: Creo que de estos temas hay mucha, pero que mucha bibliografía, y muy buena, en este caso, producto ibérico, de pata negra:

La seguridad en la oficina – Ataque David Hasselhoff.

 

Buenos dias a todos. Hoy voy a hablar de un clásico de la seguridad informática en los entornos de trabajo con muchos puestos, como pueda ser una oficina.IMG_2266

La primera vez que oí hablar de este tipo de ataque fue a mediados del año 2008, en el Blog “El Diario de Juanito“, un clásico del análisis forense digital en entornos windows. En aquel post (ver aqui) explicaban paso a paso en qué consiste este tipo de ataque tan perverso. Te hackean el ordenador, entran y modifican en tu equipo. No os quiero contar la cara que se te queda despues de sufrir el “Ataque David Hasselhoff”.

¿En qué consiste este tipo de ataque?

 

Consiste en poner una foto del susodicho individuo con el torso semidesnudo y unos perritos sharpeis sobre ciertas partes de su cuerpo como fondo de escritorio o papel tapiz.

 

¿Cómo puedo evitarlo?

Pues no relajandonos en nuestras medidas de seguridad, sobre todo en la de bloquear el equipo siempre cuando abandonemos nuestro puesto de trabajo.

 

Ayer batí mi record, dos ataques en una tarde, increible pero IMG_2268cierto.

 

Existe una variación de este tipo de ataque, el denominado “mejorado”, que podeis encontrar en el blog del maligno (ver este post) en el año 2009, otro Blog de obligada visita si os gusta la seguridad informática.

Suerte y dedicarnos alguna que otra pillada.