Nodo RSS, Directorio de Contenidos Sindicados  
Inicio | Dar de Alta un Sitio | Preguntas Frecuentes | Mapa del Sitio | Contacto

Inicio  Internet Blogs, Weblogs Sobre Seguridad Informática
 


Contenidos RSS de Sobre Seguridad Informática
 
ARGENTINA  El contenido de esta página es suministrado por:
Guru de la informática


En este blog informático esta reflejada mi experiencia en el mundo de la informática. Mis publicaciones seran sobre seguridad informática e internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético.

Seguridad
Chequeo rápido de vulnerabilidades Web.
Realizar un chequeo rápido de vulnerabilidades Web es posible con la herramienta para pruebas de seguridad de aplicaciones Web, Grendel-Scan. Es una herramienta que combina las funciones de proxy tipo Paros y las funciones de escáner de vulnerabilidades tipo Nikto.

Es ideal para chequeos rápidos de vulnerabilidades solo hay que definir: la URL raíz del sitio, donde se guardarán los archivos que genere el chequeo (Scan Output en la pestaña de General settings) y luego seleccionar los módulos utilizados en el escaneo (pestaña de Test Module Section). Se pueden realizar escaneos mas específicos configurando las opciones en Target Details/Scan restrictions, de forma que se puede: excluir o incluir parámetros a ser revisados, configurar parámetros ID especiales, leer nombres de sesiones no comunes?

Para el chequeo de vulnerabilidades utiliza los siguientes módulos:

  • SQL Injection.
  • Nikto.
  • Miscellaneous attacks.
  • Application architecture.
  • Web server configuration.
  • Spider.
  • File enumeration.
  • Information leakage.
  • Session Management.
  • XSS.

Con su función proxy podemos: configurar el user-agent y modificar valores de peticiones GET, POST, headers?

Es una herramienta portable que solo necesita de Java 5 para ejecutarla lo que permite usarla en las plataformas: Windows, Linux and Macintosh.

Más información y descarga de Grendel-Scan:
http://grendel-scan.com/download.htm
Wed, 03 Sep 2008 11:34:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Enmascarar sistema para evitar OS Fingerprinting.
El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Lo más habitual para evitar esta técnica es implementar IDS (sistema de detección de intrusos). Pero algunas veces un IDS no detecta esta técnica y aunque la detecte si no es un IDS reactivo (que responde a la actividad sospechosa reprogramando los cortafuegos para que bloquee tráfico que proviene de la red del atacante) nos sirve para evitarla.

Existe otra forma de evitar estés ataques que consiste en enmascarar nuestro sistema, o bien modificando los valores TCP/IP o utilizar sistemas operativos virtuales con una filosofía parecida a los honeypots.

Modificar valores TCP/IP en Windows:

  • Time To Live (TTL). En sistemas Windows tiene un valor de 128. Para modificarlo se usa el regedit y en ? HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\? se crea o se modifica una nueva variable DWORD con el nombre DefaultTTL y se introduce el valor deseado. Por ejemplo: 64 el usado para sistemas Linux.
  • Modificar el tamaño de la ventana. Usando el regedit en ?HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces? se crea o se modifica una nueva variable DWORD con el nombre TcpWindowSize y se introduce el valor deseado.
  • Desactivar paquetes ICMP Redirects.Con el regedit en ?HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\? se crea o se modifica una nueva variable DWORD con el nombre EnableICMPRedirects y se introduce el valor 0 (por defecto está a 1).

Es recomendable antes de hacer estas modificaciones hacer una copia de seguridad del registro de Windows, debido a que estas modificaciones pueden afectar a la conectividad del sistema a los diferentes servicios.

Modificar valores TCP/IP en sistemas Linux:

  • Time To Live (TTL). En sistemas Linux tiene un valor de 64. Para modificarlo usamos el comando ?echo 128 > /proc/sys/net/ipv4/ip_default_ttl?, introducimos 128 porque es el valor por defecto de Windows.
  • Desactivación de TCP TIMESTAMP. Utilizamos el comando ?echo 0 > /proc/sys/net/ipv4/tcp_timestamps?.
  • Desactivación del tamaño de la ventana. Utilizamos el comando ?echo 0 > /proc/sys/net/ipv4/tpc_window_scaling?.
  • Activar ICMP REDIRECTS. Utilizamos los comandos: ?echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects? para aceptar estés paquetes y ?echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects? para enviarlos.
También se recomienda hacer copias de seguridad ya que modificar estos parámetros puede afectar a la conectividad del sistema.

Utilizar sistemas operativos virtuales.

La siguiente técnica no nos permite ocultar o cambiar completamente nuestro SO, pero nos va permitir ocultarlo en aspectos concretos de conexiones. Esta idea está siendo aplicada en el tema de los honeypots y consiste en hacer creer a los atacantes que hay máquinas de un SO específico (el virtual) y ocultar tu SO real para atraerlos.

La herramienta que emplearemos es honeyd, de Niels Provos. Una de sus grandes características es que podemos asignar a cada una de nuestros dispositivos virtuales el SO que queramos. Esa personalidad también se especifica con un fichero normal de firmas de SO de Nmap, permitiéndonos convertirnos en el SO que queramos.

Un ejemplo practico:

Tenemos un servidor Linux que queremos que responda como: si fuera Sistema Solaris si se intenta conectar un Windows con el, que es un Windows 2000 server SP2 si se conectan desde un rango de Ip asignado y que es un router si se conectan a determinadas horas desde 12:00am a 5:00am.

En primer lugar instalamos honeyd, y después configuramos el archivo honeyd.conf:
El servidor tiene la ip 192.168.1.100.

Archivo honeyd.conf:

##### Honeyd Configuration File #####


###
### Start with default template. If you don't assign specifc
### behavior to a specific IP address, Honeyd defaults to the
### 'default' template. You must have a template with the name
### 'default'.

### Default Template
create default
# Set default behavior
set default personality "Windows NT4 / Win95 / Win98"
set default default tcp action reset
set default default udp action reset
set default default icmp action open
# Add specific services
add default tcp port 139 open
add default tcp port 137 open
add default udp port 137 open
add default udp port 135 open

### We now have the rest of our templates and honeypot behavior
###
### Port Behavior
### TCP (default is Open)
### - Open: Respond with Syn/Ack, establish connection
### - Block: Drop packet and do not reply
### - Reset: Respond with RST
### - Tarpit: Sticky connection
###
### UDP (default is Closed)
### - Open: No response
### - Block: Drop packet and do not reply
### - Reset: Respond with ICMP port error message
###
### ICMP (default is Open)
### - Open: Reply to ICMP packets
### - Block: Drop packet and do not reply
###

### Tarpit Template
### Insecure and open Mac box designed to tarpit worms/autorooters

### Solaris Spam Relay
create relay
set relay personality "Solaris 2.6 - 2.7"
set relay default tcp action reset
set relay default udp action reset
add relay tcp port 25 "perl scripts/unix/general/smtp.pl"
add relay tcp port 111"perl scripts/unix/general/rpc/bportmapd --proto tcp --host scripts/unix/general/rpc/hosts/solaris-2.7 --srcip $ipsrc --dstip $ipdst --srcport $srcport --dstport $dport --logfile /var/log/honeyd --logall"
add relay tcp port 8080 "perl scripts/unix/general/proxy.pl"
add relay udp port 111"perl scripts/unix/general/rpc/bportmapd --proto udp --host scripts/unix/general/rpc/hosts/solaris-2.7 --srcip $ipsrc --dstip $ipdst --srcport $srcport --dstport $dport --logfile /var/log/honeyd --logall"
bind 192.168.1.120 relay

### Standard Windows 2000 computer
create win2k
set win2k personality "Windows 2000 server SP2"
set win2k default tcp action reset
set win2k default udp action reset
set win2k default icmp action block
set win2k uptime 3567
set win2k droprate in 13
add win2k tcp port 21 "sh scripts/win32/win2k/msftp.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 25 "sh scripts/win32/win2k/exchange-smtp.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 80 "sh scripts/win32/win2k/iis.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 110 "sh scripts/win32/win2k/exchange-pop3.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 143 "sh scripts/win32/win2k/exchange-imap.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 389 "sh scripts/win32/win2k/ldap.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 5901 "sh scripts/win32/win2k/vnc.sh $ipsrc $sport $ipdst $dport"
add win2k udp port 161 "perl scripts/unix/general/snmp/fake-snmp.pl public private --config=scripts/unix/general"
# This will redirect incomming windows-filesharing back to the source
add win2k udp port 137 proxy $ipsrc:137
add win2k udp port 138 proxy $ipsrc:138
add win2k udp port 445 proxy $ipsrc:445
add win2k tcp port 137 proxy $ipsrc:137
add win2k tcp port 138 proxy $ipsrc:138
add win2k tcp port 139 proxy $ipsrc:139
add win2k tcp port 445 proxy $ipsrc:445
bind 192.168.1.130 win2k


### Cisco router
create router
set router personality "Cisco IOS 12.1(5)-12.2(1)"
set router default tcp action reset
set router default udp action reset
set router uid 32767 gid 32767
set router uptime 1327650
add router tcp port 23 "perl scripts/router/cisco/router-telnet.pl"
add router tcp port 80 open
add router udp port 161 "perl scripts/unix/general/snmp/fake-snmp.pl public private --config=scripts/unix/general"
bind 192.168.1.254 router

###
### We now have our dynamic template, which creates different
### virtual honeypots based on the attacker, including OS. Honeyd
### has passive fingerprinting capabilities built into it. You
### can see which OS types it can passively fingerprint in the
### file pf.os.
###
### NOTE: You can make the dynamic template your default template
### with 'dynamic default'. Also, the dynamic template must
### go after all the other templates it is using, as such
### the dynamic template should go last.
###

### Dynamic honeypot
dynamic magichost
add magichost use relay if source os = "windows"
add magichost use win2k if source ip = 192.168.1.0/28
add magichost use router if time between 12:00am - 5:00am
bind 192.168.1.100 routerone

Existen mas configuración y documentación en la pagina web del proyecto honeyd.


Modificar los valores TCP/IP en ambos sistemas operativos puede tener problemas de conectividad y no funcionar algunos servicios, si se quiere realizar esta técnica se necesita probar que los servicios que se ofrecen funcionan al hacer las modifcaciones, además no garantiza que no sean detectados. Usar honeyd dentro de sus limitaciones es la mejor opción y camufla perfectamente el sistema.

Más información y descarga de honeyd:
http://www.honeyd.org/

Honeypots:
http://vtroger.blogspot.com/2006/11/tarros-de-miel.html
Thu, 28 Aug 2008 16:52:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Escáner de vulnerabilidades DNS.
Con la herramienta PorkBind podemos analizar vulnerabilidades que afectan a la seguridad de servidores DNS. Una vez descubierta la vulnerabilidad nos indica como solucionarla con su correspondiente link de CVSS v2.0 y OVAL. Entre las vulnerabilidades que chequea se encuentra la popular vulnerabilidad reportada por Dan Kaminsky.

Las vulnerabilidades que detecta son:


Descarga de PorkBind v1.3:
http://innu.org/~super/tools/porkbind-1.3.tar.gz
Mon, 18 Aug 2008 23:05:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Propagación de Spam a través de Bluetooth.
El teléfono móvil debido a su extendido uso se ha convertido en un objetivo del Spam y gracias a la tecnología Bluetooth, que implementan la mayoría de los teléfonos móviles, convertirse en un Spammer de dispositivos con esta tecnología esta la alcance de cualquiera.

Existen programas que rastrean los dispositivos Bluetooth que están a su alcance y les envían fotos y mensajes. Estés programas se suelen usar para envió de Spam. Su funcionamiento se basa en el empleo del protocolo OBEX que incluye Bluetooth y mas concretamente de los OOP (Obex Object Push) y OBEX-FTP (OBEX File Transfer Protocol) pertenecientes al protocolo OBEX. Existen programas de este tipo para Linux como: Btopush, para Pocketpc: BT Spammer y para Palm OS: BlueSpam.

Para evitar recibir Spam a través de Bluetooth se debe:

  • Inhabilitar Bluetooth cuando no se este utilizando a menos que se este trasfiriendo información o conectado a otro dispositivo.
  • Utilizar Bluetooth en modo oculto, esto le permite conectarse a dispositivos y enviar información, pero su dispositivo no será visible por los otros dispositivos con tecnología Bluetooth.
  • Tener mucho cuidado donde se usa Bluetooth, los lugares públicos son los más peligrosos para la infección de virus o Spam.
  • Utilizar los ajustes del dispositivo para tener más seguridad y ajustar siempre estes a las utilidades que usted solo usa para que el riesgo sea menor. Y sobre todo si el dispositivo tiene cifrado utilizarlo.

Más información y descarga de Btopush para Linux:
http://www.josos.org/index/040-softwares/bluetooth/

Más información y descarga de BT Spammer para Pocketpc:
http://www.smartmadsoft.com/forum/index.php?action=vthread&forum=2&topic=17

Más información y descarga de BlueSpam para Palm OS:
http://www.mulliner.org/palm/bluespam.php

Suite para test de seguridad en Bluetooth:
http://vtroger.blogspot.com/2008/05/suite-para-test-de-seguridad-en.html
Thu, 14 Aug 2008 11:02:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Ingeniería inversa de procesos que corren en Windows.
Podemos realizar ingeniería inversas de procesos en Windows a nivel de API con la herramienta oSpy. Al trabajar a nivel de API permite una vista muy profunda de los procesos, sus comportamientos y ver su código. Con esta herramienta podemos monitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea?

Además podemos simular como afectaría un entorno firewall en un proceso con una función llamada softwalling que permite aplicar reglas firewall al proceso monitorizado.

Esta herramienta simplifica un análisis de conexiones de una aplicación ya que no hay que capturar el tráfico y separarlo, como seria en el caso de usar un sniffer.

Esta técnica se puede utilizar para analizar procesos sospechosos de malware. Pero también para análisis forense de malware, ya que se detectan las acciones del malware en el sistema, las conexiones de red que establece y a que direcciones las establece.

Más información y descarga de oSpy:
http://code.google.com/p/ospy/
Wed, 13 Aug 2008 13:00:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Estudio sobre el grado de adaptación de las PYME españolas a la LOPD y el nuevo Reglamento de Desarrollo (RDLOPD).
Publicado por Observatorio de la Seguridad de la Información de INTECO. La metodología del estudio se basa en el análisis cuantitativo basado en 250 encuestas a empresas de menos de cincuenta empleados, con el contraste efectivo de los datos reales de inscripción en el Registro General de Protección de datos. Con un error muestral de ±6,2. Y un análisis cualitativo a 25 pymes españolas consideradas, casos de éxito, en la adecuación a la normativa, y con entrevistas en profundidad a expertos, juristas y consultores especializados en la implementación de la normativa de protección de datos en el ámbito de la pequeña y mediana empresa. Añadiendo la visión clave de la AEPD organismo encargado de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.

Entre los datos de este estudio destacaría:

  • El 96% de las pymes españolas disponen de ficheros con datos personales, y el 78% en soporte automatizado. Todas ellas están por tanto sujetas a la normativa sobre protección de datos.
  • Entre las pymes españolas sólo un 34% declara conocer la existencia de la LOPD.
  • Pymes con ficheros automatizados, el 37% afirma haberlos declarado en el registro de la AEPD, frente a un 47% que confirma que no los ha declarado.
  • Un 66% dice desconocerla por completo, incluso después de haberles aclarado brevemente su origen e implicaciones.
  • En lo que concierne a la RDLOPD, en vigor desde el 19 de abril de 2008: un 14% de las pymes declara conocer el reglamento, mientras que un 85% de los encuestados dice no conocer la existencia ni implicaciones del mismo.
  • Es particularmente relevante señalar que en el último año las inscripciones de ficheros han aumentado un 20%.

Mi conclusión final, coincide con la conclusión de este estudio sobre los motivos del bajo nivel de cumplimiento de la normativa entre pymes. Y es en muchos casos debido a la falta de información de las mismas. Personalmente creo que las administraciones públicas debían de realizar más campañas sensibilizadoras de normativa sobre protección de datos.


?Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD)? del Observatorio de la Seguridad de la Información de INTECO:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_lopd_pymes
Fri, 08 Aug 2008 15:49:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Auditoria
Analizar bugs en aplicaciones Java.
Una de los mejores analizadores bugs en Java es FindBugs, que utiliza el método de análisis estático.

Es muy fácil de utilizar solo hay que indicarle el archivo jar y el código asociado, para que lo analice. FindBugs después de analizar, mostrara un árbol con los errores archivados por categorías, indicando cómo debería mejorarse cada error.

Esta herramienta esta disponible para las plataformas: Windows, Linux y Mac OS X. Necesita para su funcionamiento Java 2 Standard Edition versión 1.5 o superior.

Con esta herramienta se puede incrementar el rendimiento de las aplicaciones desarrolladas en Java y su seguridad ante el aprovechamiento de bugs.

Más información y descarga de FindBugs:
http://findbugs.sourceforge.net/

Manual FindBugs:
http://findbugs.sourceforge.net/manual/index.html
Wed, 06 Aug 2008 17:48:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Auditoria
Analizar vulnerabilidades a través de la red.
Utilizando una herramienta llamada SARA (Security Auditor?s Research Assistant) basada en el escáner de vulnerabilidades SATAN. Es una herramienta muy eficaz ideal para auditorias de seguridad. Soporta las plataformas: Unix, Linux, MAC OS/X y Windows (usando coLinux).

Entre sus principales características destaca:

  • Integra vulnerabilidades obtenidas de NVD (National Vulnerability Database).
  • Posee varios test de SQL injection.
  • Incluye exhaustivos test XSS.
  • Puede adaptarse a entornos de red con diferentes firewalls.
  • Permite realizar escaneados remotos a través de fáciles API.
  • Soportas estándares CVE. Una lista de nombres estandarizada para las vulnerabilidades y otras exposiciones de seguridad de la información.
  • Puede ejecutarse usar en modo normal o modo demonio.
  • Permite realizar test de búsqueda inversa para DNS y envenenamiento de cache DNS.
  • Se actualiza todos los meses.

Más información y descarga de SARA (Security Auditor?s Research Assistant):
http://www-arc.com/sara

Documentación de SARA:
http://www-arc.com/sara/sara8.html

NVD (National Vulnerability Database):
http://nvd.nist.gov/

CVE (Common Vulnerabilities and Exposures):
http://www-arc.com/sara/cve/cve.html

Más información y descarga de coLinux:
http://www.colinux.org/
Tue, 29 Jul 2008 21:56:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Análisis forense router Cisco.
En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

  • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
  • Comprometer otros routers a través de el.
  • Desviar firewalls de red, IDS o otros servicios.
  • Monitorizar y grabar el tráfico entrante o saliente de la red.
  • Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

  • Configuración activa.
  • Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos?

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

  • Configuración de arranque.
  • Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

  • No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
  • Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
  • Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
  • Grabar la sesión completa de análisis de la consola en un archivo de log.
  • Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
  • Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

  • show clock detail
  • show version
  • show running-config
  • show startup-config
  • show reload
  • show ip route
  • show ip arp
  • show users
  • show logging
  • show ip interface
  • show interfaces
  • show tcp brief all
  • show ip sockets
  • show ip nat translations verbose
  • show ip cache flow
  • show ip cef
  • show snmp user
  • show snmp group
  • show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool?

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post ?Herramientas para asegurar dispositivos Cisco?:
http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post ?Auditar seguridad en dispositivos Cisco?:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
Wed, 23 Jul 2008 16:08:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Herramienta de borrado seguro para Linux.
Se trata de srm una herramienta de borrado seguro para remplazar la actual rm. Con srm podemos evitar que se recuperen datos sensibles después de ser borrados.
Su sistema de borrado se basa en el método Gutmann que consiste en utilizar los algoritmos publicados por Peter Gutmann en su articulo ?Secure Deletion of Data from Magnetic and Solid-State Memory?.
Esta herramienta no trabaja en reiserfs, pero se puede utilizar en: ext2, ext3, FAT, FAT32 y sistemas de archivos nativos Unix.

Más información y descarga de srm:
http://srm.sourceforge.net/

?Secure Deletion of Data from Magnetic and Solid-State Memory? de Peter Gutmann:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Thu, 17 Jul 2008 11:36:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Análisis forense de elementos enviados a la papelera de reciclaje.
Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en ?C:\Recycled\?
  • Windows NT/2000/XP/ en ?C:\Recycler\?

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.

Ejemplo:

Entramos en la carpeta de usuario en la ruta ?C:\RECYCLER?.

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>

Y ejecutamos rifiuti:

rifiuti INFO2>e:\analisis.txt

Y el resultado se genera en el archivo ?analisis.txt? donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.

Rifiuti también esta disponible para Linux.

Más información y descarga de rifiuti:
http://www.foundstone.com/us/resources/proddesc/rifiuti.htm
Mon, 14 Jul 2008 21:41:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Auditoria
Herramientas para asegurar dispositivos Cisco.
En este post describiré unas herramientas muy útiles para asegurar dispositivos Cisco.


Router Audit Tool (RAT).

RAT esta diseñada en Perl. Su funcionamiento consiste en descargar los archivos de configuración del router y analizar los agujeros de seguridad y después aporta datos de como solucionar los fallos con unas guías que incluye.
Consta de 4 programas:

  • Snarf : Sirve para descargar los archivos de configuración del router.
  • Ncat: Para leer los archivos de configuración y reglas base para la evaluación, genera un archivo con los resultados.
  • Ncat_report: Crea el HTML de los archivos planos del resultado.
  • Ncat_config: Se utiliza para localizar de los archivos de reglas básicas.

Es una herramienta ideal para asegurar la configuración de routers Cisco y para realizar auditorias de caja blanca de los mismos.

Más información y descarga de RAT y guías de ayuda:
http://www.cisecurity.org/bench_cisco.html


Cisco Snmp Tool.

Es una herramienta para administrar las configuraciones de routers Cisco en redes LAN y WAN. Además tiene una interface visual con un mapa del diseño de la red.

Entre sus funciones destaca:

  • Puede descargar y cargar las configuraciones del router.
  • Puede escribir en la memoria NVRAM del router.
  • Herramientas de ping y tracert.
  • Monitoriza el estado de los dispositivos de red en tiempo real.
  • Realiza log del estado de los dispositivos y sus fallos.
  • Puede analizar trafico CPD.
  • Posee una herramienta para visualizar la configuración de los dispositivos.

Más información y descarga de Cisco Snmp Tool:
http://billythekids.demirdesign.com/


Cisco Torch.

Es un escáner fingerprinting para descubrir dispositivos Cisco. Este escáner identifica los dispositivos y rastrea sus servicios: telnet, SSH, los servicios Web, NTP y SNMP. Y también permite realizar ataques de fuerza bruta. Es ideal para auditorias de caja negra.

Descarga de Cisco Torch:
http://www.arhont.com/digitalAssets/210_cisco-torch-0.4b.tar.gz
Más información y modo de empleo Cisco Torch:
http://www.arhont.com/digitalAssets/200_README.txt


EIGRP Tools.

Es una sniffer para el protocolo EIGRP que también tiene la posibilidad de generar paquetes. Desarrollado para probar la seguridad y eficiencia de este protocolo.

Modo de empleo:

eigrp.pl [--sniff] [ --iface=interface ] [--timeout=i]

Modificadores:

--sniff Sniff eigrp packets
--iface Listen on an interface
--iflist List all available network interfaces
--source Source IP address
--dest Packet destination IP. Default multicast IP - 224.0.0.10
--timeout=n pcap init timeout (500 default)
--hello Send EIGRP HELLO
--update Update route
--query Send [Query] (Unreachable destination )
--external External route
--internal Internal route
--ipgoodbye=s IP to [Goodbye message] Authentication replay not implemented
--file2ip=s Send raw sniffed eigrp data from file to IP
--payback Sniff the UPDATE packet, change [Delay] and send it back (PoC)
--op=n EIGRP opcode no. to trigger, capture a pkt defined by the trigger onto a disk
--sn=n EIGRP sequence number to trigger
--auth Authentication data for the reply attack (copy past hex from sniff)
--opcode Custom opcode for hello packets fuzzing
--flags=n EIGRP flags (0,1 or 2)
--version=n EIGRP version [8 bit integer] Default = 2
--as=n Autonomous system number, Default = 1
--k1=n Metric K1 Default 1
--k2=n Mertic K2 Default 0
--k3=n Mertic K3 Default 1
--k4=n Mertic K4 Default 0
--k5=n Mertic K4 Default 0
--mtu=n MTU
--nms=n Add NMS (Next multicast message) to Hello packet
--eigrpv=s EIGRP release version
--ios=s IOS version
--hopcount=n Hop count
--reliability=n Reliability
--load=n Load
--delay=n Delay
--sequence=n Sequence (32bit sequence) Default = 0
--ack=n Acknowledge (32bit sequence) Default = 0
--nexthop=s Next Hop
--bandwidth=n Bandwidth
--routedest=s Route destination
--origrouter=s Originating router
--origas=n Originating Autonomous system number
--arbitatag=n Arbitrary tag
--metric=n protocol metric (external EIGRP metric for the external updates)
--extproto=n External protocol
ID IGRP(1)
EIGRP(2)
Static Route(3)
RIP(4)
HELLO(5)
OSPF(6)
IS_IS(7)
EGP(8)
BGP(9)
IDRP(10)
Connected link(11)
--hold=n Hold time in seconds
--hellotime=n Hello send retries timeout . Default = 5 sec
--hellodos=s IP subnet. Nasty DOS attack! Send HELLO EIGRP Argument from IP range.
--retries=n Packet send retries Default = 1;

Descarga de EIGRP Tools.
http://www.arhont.com/digitalAssets/264_eigrp-tools.tar.gz


Auditar seguridad en dispositivos Cisco:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
Thu, 10 Jul 2008 15:12:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Auditoria
Auditar seguridad en dispositivos VoIP basados en SIP.
Con la herramienta SIPVicious un kit de utilidades diseñadas para auditar la seguridad en dispositivos VoIP basados en el protocolo SIP.

SIPVicious esta compuesto de las siguientes herramientas:

Svmap: es un escaner del protocolo SIP. Escanea rangos de IP y identifica cualquier servidor que trabaje en SIP. También tiene la opción para explorar rangos de puertos. Puede obtener todos los teléfonos en una red para hacerlos sonar al mismo tiempo (usando el método INVITE).

Modo de empleo:
http://code.google.com/p/sipvicious/wiki/SvmapUsage

Svwar: Muy parecido a un war dialer usado para llamar a números de teléfono en la red para identificarlos. Esto aplicado en el protocolo SIP, permite identificar a usuarios activos.

Modo de empleo:
http://code.google.com/p/sipvicious/wiki/Svwarusage

Svcrack: Sirve para atacar la autentificación de los dispositivos. Puede atacar contraseñas en los servidores VoIP y los servidores proxy. Para realizar estés ataques de diccionario necesita un archivo previamente asignado.

Svreport: Maneja las sesiones creadas por el resto de las herramientas y permite exportarlas a pdf, xml, csv y testo plano. Lo que facilita el trabajo para generar informes de la auditoria.

Estas herramientas que componen SIPVicious están escritas en python y necesitan para ser ejecutadas la versión 2.4 o superior. Su funcionamiento esta totalmente probado en: Linux, Mac OS X, Windows y en FreeBSD 6.2.

Más información y descarga de SIPVicious:
http://code.google.com/p/sipvicious/

Caso practico de uso de SIPVicious:
http://code.google.com/p/sipvicious/wiki/GettingStarted

Interceptar conversaciones VoIP:
http://vtroger.blogspot.com/2008/06/interceptar-conversaciones-voip.html

Escáner de vulnerabilidades de telefonía VoIP:
http://vtroger.blogspot.com/2008/01/escner-de-vulnerabilidades-de-telefona.html

Herramienta de test de penetración para VoIP:
http://vtroger.blogspot.com/2007/10/herramienta-de-test-de-penetracin-para.html
Mon, 07 Jul 2008 15:30:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas.
Publicado por Observatorio de la Seguridad de la Información de INTECO. Un interesantísimo y completo estudio sobre el marco de la seguridad de los dispositivos móviles y redes inalámbricas en España. Realizado con la opinión consensuada de profesionales de más de 20 empresas del sector así como de un panel expertos en seguridad y con la realización y análisis de resultados de 3.233 encuestas a usuarios que se conectan a Internet con dispositivos y redes inalámbricas desde el hogar.

En este estudio destacaría aspectos como:

  • En los hogares españoles el 51% tiene portátil con Wi-Fi o bluetooth y el 50,3% Router Wi-Fi. Pero un 12,2% desconoce la configuración de seguridad de los dispositivos y un 7,9% no considera necesario tener sistemas de seguridad. Frente a un 26,1 % usa cifrado WEP y un 20% WPA.
  • Un 5.2% ha descubierto alguien usando su conexión y un 18.7% sospecha que alguien ha usado su conexión.
  • El 20% usa Bluetooth siempre encendido y listo para usar.
  • En lo que se refiere a amenazas mas importantes de seguridad móvil las organizaciones estiman que el 87,7 perdida o robo, 65% accesos no autorizados a la red.
  • Relata muy bien el marco legal de las redes inalámbricas en España.

Mi principal conclusión sobre este estudio porque creo que es algo que se debe mejorar mucho: Los usuarios domésticos necesitan más información sobre seguridad en redes inalámbricas y los proveedores de servicios de internet, debían de incluir guías de seguridad en sus productos de conexión a internet, para informarlos.

?Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas? del Observatorio de la Seguridad de la Información de INTECO:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_redes
Wed, 02 Jul 2008 17:23:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Antivirus
Betatester de Panda Internet Security 2009.
Panda Security ha iniciado un concurso de Betatester para su versión Internet Security 2009. Los primeros 150 usuarios que reporten una incidencia desconocida recibirán una Nintendo DS. Todos aquellos usuarios que hayan reportado alguna incidencia, gozarán de un 50% de descuento al adquirir el producto final.

Más información Betatester de Panda Internet Security 2009:
http://www.pandasecurity.com/spain/promotions/betatest/
Wed, 02 Jul 2008 17:18:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Interceptar conversaciones VoIP.
Es posible interceptar conversaciones en el protocolo VoIP porque las secuencias de datos de voz son transmitidas generalmente en el protocolo IP por medio del protocolo de transporte RTP. Este protocolo proporciona las funciones de transferencia convenientes para transmitir datos en tiempo real tales como: datos audio, de vídeo o de simulación, servicios de red en multicast o en unicast. La voz se envía comprimida en codecs que se utilizan para convertir las secuencias de datos en el lado del transmisor y receptor. El RFC-3551 describe cómo los datos audio y de video se pueden llevar dentro de RTP y también definen un sistema de decodificadores estándares y sus nombres, cuando está utilizado dentro de RTP.

Para capturar conversaciones utilizamos un sniffer que extrae los parámetros como: puertos de RTP, direcciones IP de la sesión de RTP del emisor y receptor y los tipos dinámicos del códec de la sesión del SIP que precede los datos flujo en RTP. Después captura y descifra las corrientes audio de RTP codificadas con los codecs. Una vez descifrado el audio se guarda en archivos de sonido en el disco duro. Los programas sniffer para VoIP puede descifrar y grabar las conversaciones que estén codificadas en los codecs soportados, por dichos programas.

Capturar conversaciones desde la plataforma Windows.

Utilizando una famosa y polivalente utilidad Cain & Abel, que puede decodificar los flujos de audio RTP codificados con los siguientes códecs: G711 uLaw, G771 aLaw, ADPCM, DVI4, LPC, GSM610, Microsoft GSM, L16, G729, Speex, iLBC, G723.1, G726-16, G726-24, G726-32, G726-40, LPC-10. También implementa un modulo para envenenamiento de la cache ARP para evitar las limitaciones de tráfico broadcast impuestas por los switch. Los switch solo envían paquetes entre los host que están incluidos en su tabla ARP, limitando así el broadcast entre emisor y receptor, con el envenenamiento ARP se consigue mediante una técnica denominada ataque man-in-the-middle, falsear la MAC del atacante para poder recibir ese broadcast y capturar las conversaciones VoIP entre el emisor y receptor.

Para comenzar a interceptar el tráfico con Cain & Abel pinchamos en el botón ?Start/Stop Sniffer? situado a la izquierda en la barra de herramienta. Seleccionamos la pestaña Sniffer de la parte superior, y después pinchamos en la pestaña VoIP de la parte inferior. El sniffer capturara las conversaciones colocándolas por orden de captura en una lista. Cuando se pare el sniffer podemos reproducir los archivos generados en formato WAV, que se alamcenaran en la ruta de instalación del programa, si la elegida en la instalación es la ruta por defecto seria la siguiente: ?C:\Archivos de programa\ Cain\VoIP?.

Si queremos utilizar la técnica de envenenamiento ARP solo tendremos que pinchar con el sniffer activado el botón ?Start/Stop APR?, seleccionar la pestaña APR de la zona inferior de la pantalla y pulsar en el signo ?+? en la barra de herramientas. Se despliega un menú en el que hay que elegir en la zona izquierda donde se encuentran las IP de los equipos de la red, los equipos que quieres interceptar, que aparecerán en la zona derecha, para finalizar pulsamos OK y ya estaría funcionando el envenenamiento ARP.

Capturar conversaciones desde otras plataformas.

Utilizando Voipong que intercepta las las comunicaciones VoIP en la red que utilizan los protocolos: SIP, H323, Cisco's Skinny Client Protocol, RTP y RTCP. Decodifica los flujos de audio codificados con el códec G711 convirtiéndolos al formato WAV. Está escrito en C para mayor eficacia y funciona sobre las plataformas: Solaris, Linux y FreeBSD.

Antes de instalarlo es necesario tener instalada la librería libpcap de captura de paquetes. Después de instalar el programa y libpcap editamos el fichero de configuración del voipong en la ruta por defecto ?/usr/local/etc/voipong/voipong.conf?, comprobando que los parámetros sean correctos. Cambiamos los parámetros ?soxpath? y ?soxmixpath? con la ruta de sox y soxmix respectivamente. Para encontrar las rutas podemos utilizar el comando ?whereis?. Modificamos el parámetro ?device? en el que tenemos que poner el nombre del interfaz de por la cual interceptamos los paquetes. También modificamos el apartado ?outdir? en el especificamos la ruta donde se guardán los ficheros en formato WAV correspondientes a las conversaciones que capturemos.

Una vez configurado podemos ejecutar el programa con la sentecia ?voipong?, para un mejor funcionamiento ejecutamos el Voipong en modo debug, para que no trabaje en modo demonio con los modificadores ?d4 y ?f. Los ficheros en formato WAV con las conversaciones interceptadas los encontraremos en la ruta asignada como ?output? en el fichero voipong.conf.

Para realizar el envenenamiento ARP podemos usar la herramienta Arpoison.

Sintaxis:

NAME
arpoison -- arp cache update utility
SYNOPSIS
arpoison -i -d -s -t -r
[-a] [-n number of packets] [-w time between packets]
DESCRIPTION
Arpoison constructs an ARP REQUEST or REPLY packet using the
specified hardware and protocol addresses and sends it out the specified interface.
-i Device e.g. eth0
-d Destination IP address in dotted decimal notation.
-s Source IP address in dotted decimal notation
-t Target MAC address e.g. 00:f3:b2:23:17:f5
-r Source MAC address
-a Send ARP REQUEST
-n Number of packets to send
-w Time in seconds between packets

Para averiguar las direcciones MAC solo tenemos que hacer ping a las maquinas que queremos atacar y encontraremos su MAC visualizando nuestra tabla ARP con ?arp -nv -i eth0?.

Como prevenir el ataque.

La mejor forma de prevenir el ataque es encriptando, la clave estaría en elegir un algoritmo de encriptación rápido y eficiente. Las técnicas más eficientes serian: VPN (virtual personal network), el protocolo Ipsec y otro protocolos como ZRTP. El menos conocido es el protocolo ZRTP creado por Phil Zimmermann (creador de PGP), Jon Callas y Alan Johnston, se trata de un protocolo de acuerdo de claves Diffie-Hellman durante el establecimiento de una llamada en el flujo de datos Real-time Transport Protocol (RTP), que ha sido establecido empleando el protocolo de señalización Session Initiation Protocol (SIP), generando un secreto compartido que es usado para las claves en una sesión segura. La gran ventaja de ese protocolo es que no requiere el uso de una infraestructura de calve publica (PKI). El protocolo ZRTP se puede implementar en las plataformas Windows, Linux y Mac OS X; utilizando las aplicación Zfone. Esta aplicación para cifrar comunicaciones VoIP trabaja con la mayoría de los clientes como: X-Lite, Gizmo, Apple iChat AV (audio y video), XMeeting y SJphone; no funciona con Skype debido a que este cliente utiliza protocolos cerrados.

Más información y descarga Cain & Abel:
http://www.oxid.it/cain.html

Manual Cain & Abel:
http://www.oxid.it/ca_um

Más información y descarga Voipong:
http://www.enderunix.org/voipong

Manual Voipong:
http://www.enderunix.org/voipong/manual

Más información y descarga Arposion:
http://www.arpoison.net

Más información y descarga Zfone:
http://zfoneproject.com

IETF protocolo ZRPT:
http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-04
Mon, 30 Jun 2008 13:25:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
LiveCD ideal para eliminar virus.
Se trata de Trinity Rescue Kit(TRK) una distribución Linux en LiveCD ideal para rescate ante daños de disco duro y para eliminar virus.

Entre sus funciones mas importantes destaca:

  • Herramienta para borrar contraseña de Windows.
  • Puede escribir en NTFS gracias a ntfs-3g.
  • Clona discos NTFS a través de la red con CloneXP.
  • Incluye herramientas de recuperación de datos.
  • Tiene 2 herramientas para la detección de rootkit.

Destacaría su uso para la eliminación de virus, ya que puede utilizar cuatro motores de antivirus: BitDefender Scanner, Grisoft AVG, F-prot y Clamav. Gracias a un script que incorpora, llamado Virusscan que permite utilizar los cuatro motores y actualizar sus sistemas de firmas.

Modo de uso:

'virusscan -a {clam,avg,fprot,bde} -c -g -n -d {Destino}'

Parametros:

-a: Elige el motor del escaneo. Se usa 'clam' para ClamAv, 'fprot' para F-Prot, 'avg'
para Grisoft AVG y 'bde' para BitDefender. Si no se pone el parámetro por defecto usa ClamAv.
-c: Extensiones alternativas do los motores.
-g: Para actualizar los motores. No se puede usar en un escaneo.
-d: Destino del escaneo para poner varios destinos se debe separar por comas.
-n: El AVG se actualiza solo antes de escanear este modificador es para que no se actualice.
-h: Mensaje de ayuda.

Más información y descarga de Trinity Rescue Kit:
http://trinityhome.org/Home/index.php?wpid=1&front_id=12
Thu, 26 Jun 2008 11:00:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Estegoanalisis y ataque esteganografico.
El estegoanalisis es la técnica que se utiliza para descifrar mensajes ocultos por esteganografía. El estegoanalisis puede ser de dos tipos: manual o estadístico.

  • Estegoanalisis manual. Consiste en buscar de forma manual diferencias entre el fichero original y el esteganografiado buscando cambios en la estructura para localizar datos ocultos. Los principales inconvenientes de esta técnica son: que se necesita tener el fichero original y que es una técnica que solo puede detectar el fichero esteganografiado pero es casi imposible descifrar el mensaje.
  • Esteganoanalisis estadístico. Esta técnica consiste en el cotejo de la frecuencia de distribución de colores en el caso de un fichero de imagen esteganografiado. Es una técnica lenta para la que se deben emplear software especializado. Aunque estés programas suelen buscar pautas para ocultar los mensajes que utilizan los programas más habituales de esteganografía lo que los hace muy eficaces cuando se trata de mensajes ocultos con programas. Lo mensajes ocultados manualmente son casi imposibles de encontrar para estés programas. Los programas de estegoanalisis mas usados son: Stegdetect, Stegspy y Stegsecret.
Ataque esteganografico.

Consiste simplemente en interceptar el archivo esteganografiado y destruir el mensaje de forma que no se pueda recuperar. En técnicas como la LSB de una foto seria tan fácil como rotar la imagen o comprimirla a formato JPEG, esto produciría un cambio significativo en la estructura del archivo de imagen y el mensaje oculto se destruiría sin forma de poder recuperarlo. El ataque esteganografico también puede ser usado por el receptor para destruir el archivo una vez recuperado el mensaje, para no tener copia del mensaje y que nadie lo pueda recuperar.

Más información y descarga de Stegspy:
http://www.spy-hunter.com/stegspydownload.htm

Más información y descarga de Stegsecret:
http://stegsecret.sourceforge.net/

Más información y descarga de Stegdetect:
http://www.outguess.org/detection.php

Esteganografia manual:
http://vtroger.blogspot.com/2008/06/esteganografia-manual.html
Mon, 23 Jun 2008 13:10:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Recuperar archivos basándose en su estructura.
Con la herramienta foremost, que nos permite recuperar archivos basándose en su estructura interna. Esta técnica permite una eficiente recuperación de archivos donde otro software no es capaz de recuperar.

Las estructuras de archivos que reconoce y recupera son: jpg(soporta JFIF y Exif), gif, png, bmp, avi, mpg, exe, rar, wav, riff, wmv, mov, pdf, ole (estructura usada por PowerPoint, Word, Excel, Access y StarWriter), doc (es mas eficiente usar la herramienta para estructuras ole), zip, htm y cpp.

Foremost esta disponible para Linux y entre sus principales características destaca la posibilidad de trabajar con imágenes de disco, característica que la convierte en una herramienta útil para informática forense.

Más información y descarga de foremost:
http://foremost.sourceforge.net/

Manual de uso de foremost:
http://foremost.sourceforge.net/foremost.html
Thu, 19 Jun 2008 11:00:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Auditoria
Auditar seguridad en distribuciones Linux.
Es muy fácil con la herramienta Lynis diseñada para sistemas basados en UNIX. Con Lynis podemos detectar errores de configuración que pueden ser aprovechados para atacar nuestro sistema, también detecta vulnerabilidades en software, permisos?

Con esta herramienta podemos auditar las distribuciones:

  • CentOS 5.
  • Debian 4.0.
  • Fedora Core 4 y superiores.
  • FreeBSD 6.x, 7.0.
  • Mac OS X 10.x (Tiger, Leopard).
  • OpenBSD 4.2, 4.3.
  • OpenSolaris.
  • OpenSuSE.
  • Red Hat, RHEL 5.x.
  • Slackware 12.1.
  • Ubuntu 7.04, 7.10, 8.04.

Es una herramienta muy recomendable para administradores de sistema, para ayudar a corregir errores de configuración en implementaciones, que puede producir fallos de seguridad o disminuir el rendimiento del sistema. Es muy importante aclarar que Lynis no corrige las vulnerabilidades, informa de ellas y muestra información de cómo solucionarlas.

Más información y descarga de Lynis:
http://www.rootkit.nl/projects/lynis.html

Documentación de Lynis:
http://www.rootkit.nl/files/lynis-documentation.html
Mon, 16 Jun 2008 19:09:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Esteganografia manual.
Ante un estegoanalisis del que hablaremos más adelante la mejor técnica para evadirlo es la técnica manual. Para realizar la técnica manual se usa el método LSB (inserción del último bit significante) que consiste en convertir el mensaje a nivel de bits usando la tabla ASCII. El primer paso es estudiar el fichero de imagen a modificar buscando los grupos que conforman cada píxel y deducir cual es la cifra menos significativa. Después sumaremos 1 a dicha cifra cuando el bit del mensaje sea 1 y dejaremos la cifra intacta cuando sea 0, a partir de una determinada posición sin modificar la cabecera. Cada modificación en el fichero cambiara el color de la imagen un punto. Para recuperar el mensaje solo hay que comparar el fichero modificado con el original a partir de la posición modificada.

Ejemplo:

Abrimos el archivo de imagen con un editor hexadecimal:

471696 93 81 d8 1b e9 84 aa 25 18 f4 2b 1b 52 30 41 79 0
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 25 0
471728 76 d6 d5 c8 da 4d 9f 34 93 81 d8 1b e9 84 aa 43 0
471744 d4 b6 33 ea 72 cc 25 2c 76 d6 d5 c8 da 4d 9f 35 0
471760 18 f4 2b 1b 52 30 41 79 a8 4d 1b 03 19 3c 9e a1 0
471776 ca 95 c3 9c f3 4d 73 c2 0f 1b 9e c0 f7 25 30 41 0
471792 33 7e 26 ae ef 1d 79 7c e2 26 ac eb e4 cc 2c b7 0
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 11 0


Mirando la tabla ASCII el carácter A en binario 0100 0001.
Sumamos 1 cuando el bit del carácter sea 1 y dejamos la cifra intacta cuando sea 0, a partir de la posición 471696.

471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 25
______________________________________________ +1
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 26

471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 11
_____________________________________________+1
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 12

Queda codificado:

471696 93 81 d8 1b e9 84 aa 25 18 f4 2b 1b 52 30 41 79 0
471712 a8 4d 1b 03 19 3c 9e a0 d4 b6 33 ea 72 cc 25 26 1
471728 76 d6 d5 c8 da 4d 9f 34 93 81 d8 1b e9 84 aa 43 0
471744 d4 b6 33 ea 72 cc 25 2c 76 d6 d5 c8 da 4d 9f 35 0
471760 18 f4 2b 1b 52 30 41 79 a8 4d 1b 03 19 3c 9e a1 0
471776 ca 95 c3 9c f3 4d 73 c2 0f 1b 9e c0 f7 25 30 41 0
471792 33 7e 26 ae ef 1d 79 7c e2 26 ac eb e4 cc 2c b7 0
471708 0f 1b 9e c0 f7 25 30 41 ca 95 c3 9c f3 4d 73 12 1

Para descodificar se compara la imagen esteganografiada con la original a partir de la posición 471696.


Esteganografia avanzada:
http://vtroger.blogspot.com/2008/01/esteganografia-avanzada.html
Thu, 12 Jun 2008 14:52:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Extracción y uso de metadatos.
Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación?

Los metadatos pueden tener varias aplicaciones como:

  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos.
  • En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red? para después realizar un ataque de fuerza bruta.

Aquí dejo una lista de herramientas de adquisición de metadatos muy útiles:

hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y esta disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD.

Más información y descarga:
http://hachoir.org/wiki/hachoir-metadata

ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux.

Más información y descarga:
http://www.sno.phy.queensu.ca/~phil/exiftool/

Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través de google, y analizar los metadatos de los archivos. Para obtener información y realizar un ataque o un test de intrusión. Esta escrita en python.

Más información y descarga:
http://www.edge-security.com/metagoofil.php

Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas.

Más información y descarga:
http://www.pinpointlabs.com/free_tools/metaviewer/
Tue, 10 Jun 2008 11:52:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Servidor de imágenes de disco.
Una buena técnica para realizar imágenes de disco y desplegarlas rápidamente. Existe una solución muy eficaz y gratuita se trata de Clonezilla Server Edition, un servidor de imágenes que se puede montar en las plataformas:

  • Debian Woody(3.0), Sarge(3.1), Etch(4.0) y Lenny (5.0).
  • Ubuntu Breezy(5.10), Dapper(6.06), Edgy(6.10), Feisty(7.04), Gutsy (7.10) y Hardy(8.04).
  • B2D.
  • RedHat Linux 8.0, 9.
  • Fedora Core 1, 2, 3, 4, 5, 6, Fedora 7 y Fedora 8.
  • Mandrake 9.2, 10.0, 10.1, Mandriva LE2005 (10.2), 2006, 2007.0, 2007.1 y 2008.0.
  • CentOS 4 y CentOS 5.
  • SuSE 9.3, SuSE 10.0, OpenSuSE 10.0, 10.1, 10.2 y 10.3.

Soporta los sistemas de archivos: ext2, ext3, reiserfs, xfs, jfs of GNU/Linux, FAT y NTFS. Puede clonar varios sistemas a la vez. Es compatible con la función PXE (Preboot eXecution Environment) que tienen algunas BIOS, para arrancar la copia y restauración en red.
Clonezilla es una herramienta de clonado muy rápida porque solo clona los bloques utilizados en el disco duro con los sistemas de ficheros soportados en lugar de hacerlo con todo el disco.

Además con la herramienta drbl-winroll puedes hacer que las maquinas Windows una vez restauradas en un sistema, cambien automáticamente: el nombre de equipo, el grupo de trabajo y el SID de la maquina; en coordinación con el servidor de imágenes para evitar problemas de red, como por ejemplo uniones a dominio no permitidas por SID duplicado.

Más información de Clonezilla Server Edition:
http://www.clonezilla.org/clonezilla-server-edition/

Descarga de Clonezilla Server Edition:
http://drbl.sourceforge.net/download/sourceforge/

Manual instalación Clonezilla Server Edition:
http://drbl.sf.net/one4all
Thu, 05 Jun 2008 17:48:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Recolección de evidencias forenses sistema vivo.
Con la herramienta Evidence Collector se puede hacer una recolección de evidencias forenses en sistema vivo de la plataforma Windows, de una forma muy rápida. Es ideal para un primer análisis general. Esta herramienta esa compuesta por varias aplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados.

Con esta herramienta podemos extraer las siguientes evidencias:

  • Información de sistema: Usuarios, IP y MAC .
  • Recursos compartidos y las políticas que se aplicaron a los recursos: Muy práctico para detectar si a través de que recursos compartidos se pudo acceder a la maquina.
  • Servicios iniciados y parados: Algunos servicios pueden ser las puertas para conseguir accesos desautorizados.
  • Software instalados: Listado del software instalado en la maquina.
  • Actualizaciones instaladas: Enumeración de actualizaciones instaladas. El no tener el sistema actualizado es vulnerabilidad potencialmente explotable.
  • Enumeración de procesos: Enumera los procesos que se cargan al inicio del sistema.
  • Registros de sucesos: Se recogen los registros de aplicación, sistema y seguridad. Los registros del sistema guardan rastros de intrusiones.
  • Conexiones TCP/UDP: Muestra las conexiones TCP/UDP, los procesos que tienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administración remota y troyanos.
  • Seguimiento de procesos: Inspecciona la actividad de los procesos: cuando se cargan, si acceden al registro y si modifican archivos. Útil para ver si existen procesos sospechosos.
  • Programas que se añaden al inicio: Al reiniciar las computadoras, muchos malware se añaden en el registro para ser recargados otra vez.
  • Módulos sospechosos: Explora módulos en busca rootkit.
  • Historia USB: Muestra información sobre los dispositivos USB que fueron conectados al sistema.
  • Políticas de usuarios: Recoge lo usuarios del sistema y las políticas.

Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiéis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.

Más información y descarga de Evidence Collector:
http://www.security-database.com/evidence.php
Mon, 02 Jun 2008 17:41:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
Seguridad
Clonar disco duro, con borrado seguro de disco origen.
Con la herramienta CopyWipe, que permite clonar discos y hacer un borrado seguro del disco origen, para garantizar que nadie pueda recuperar esa información.

Se puede usar en modo consola de comandos o con un interfaz, existe una versión para hacer un diskette arrancable y complementos para crear un CD/DVD arrancable.

Tiene nueve métodos ha elegir de borrado seguro:

Quick ? 1 Pass: Sobrescribe con un paso por 0 y después borra.

Random ? 1 Pass: Sobrescribe con un paso de datos al azar, seguido por un paso por 0 y después borra.

Random ? 4 Pass: Sobrescribe con cuatro pasos de datos al azar, seguido por un paso por 0 y después borra.

Random ? 8 Pass: Sobrescribe con ocho pasos de datos al azar, seguido por un paso por 0 y después borra.

Pattern ? PG MFM 28 Pass: Sobrescribe un total de 29 veces antes de borrar, incluyendo los patrones específicos para la codificación de MFM:
  • 4 pasos de alternancia de datos al azar.
  • 20 pasos usando datos diseñados específicamente para la codificación de MFM.
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern ? PG RLL(1,7) 26 Pass: Sobrescribe un total de 27 veces antes de borrar, incluyendo los patrones específicos para la codificación de RLL (1.7):
  • 4 pasos de alternancia de datos al azar.
  • 18 pasos usando datos diseñados específicamente para la codificación de RLL (1.7).
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern ? PG RLL(2,7) 23 Pass: Sobrescribe un total de 24 veces antes de borrar, incluyendo los patrones específicos para la codificación de RLL (2.7):
  • 4 pasos de alternancia de datos al azar.
  • 15 pasos usando datos diseñados específicamente para codificación de RLL (2.7).
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern ? PG 35 Pass: Sobrescribe un total de 36 veces antes de borrar, incluyendo los patrones específicos para la codificación de MFM, de RLL (1.7) y de RLL (2.7):
  • 4 pasos de alternancia de datos al azar.
  • 27 pasos usando una variedad de patrones diseñados específicamente para RLL (1.7), RLL (2.7) y MFM.
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern ? Hardware: Sobrescribe usando la característica de borrado seguro que incorporan algunos discos duros. Esta opción no la poseen todos los discos duros, CopyWipe avisa si el disco tiene esta opción.

Es una excelente herramienta para el clonado de información de ordenadores obsoletos de los que nos vamos a deshacer.
El borrado seguro es un fallo de seguridad muy frecuente en empresas, ya que suelen tener información valiosa y renuevan sus equipos informáticos con más frecuencia. Los equipos normalmente solo son formateados y donados o vendidos en subastas, y en muchos casos con software adecuado, se pueden conseguir de ellos información muy importante de la empresa.

Más información y descarga de CopyWipe:
http://www.terabyteunlimited.com/copywipe.php

Manual de usuario de CopyWipe:
http://www.terabyteunlimited.com/downloads/copywipe.pdf
Thu, 29 May 2008 15:07:00 +0000
alvaro15280@gmail.com (Alvaro Paz)
 
 
By alvaro15280@gmail.com (Alvaro Paz)
Ultima actualización: Sat, 06 Sep 2008 14:01:59 +0000
 
 
 
 
Google
Ultimos Aprobados
  Universidades en España - ESPAÑA
  Blogs - ESPAÑA
  Pasajes Aéreos en España - ESPAÑA
  Blogs de Noticias - ARGENTINA
  Ambientación - COLOMBIA
  Turismo rural en España - ESPAÑA
  Videos Deportivos - ARGENTINA
  Rosario - ARGENTINA
  Erotismo - Juguetes - ESPAÑA
  Turismo en España - ESPAÑA
  Blogs - ESPAÑA
  FF.AA. de España - ESPAÑA
  Portales sobre Automovilismo - ESPAÑA
  Psicoanalistas - ESPAÑA
  Revista Decoración Actuallyhome - ESPAÑA
  Golf en España - ESPAÑA
  Danzas Clásicas - ARGENTINA
  Periodico E'a - PARAGUAY
  Portales sobre Motociclismo - ESPAÑA
  La Cuarta - CHILE
 
Otros están viendo
 
Sugiera un FEED | Sitios amigos | Terminos | Politicas de Privacidad | Faq's | Mapa del Sitio

Todos los canales y sus entradas son propiedad de sus respectivos autores.
 
Copyright nodorss.com.ar - 2008   -   Optimizado para ver en 1024x768