Guru de la informática

Herramienta de borrado seguro de datos privados en Windows y Linux.

2009-11-27T20:36:00.000+01:00

Se trata de BleachBit una complete herramienta de borrado seguro de datos privados en Windows y Linux. No se trata de la típica herramienta que borra el historial, las cookies, favoritos… de IE y Firefox, BleachBit va mas allá es capaz de limpiar las configuraciones de los programas:

Adanaxis
Adobe Reader
aMSN
aMule
APT
Audacious
Bash
Beagle
Chromium
Downloader for X
Deep scan
Easytag
ELinks
emesene
Epiphany
Evolution

Exaile
Filezilla
Firefox
Flash
gedit
gFTP
GIMP
GL-117
GNOME
GNOME Art
Google Chrome
Google Earth
Google Toolbar
gPodder
Gwenview
Hippo OpenSim Viewer
Internet Explorer
Java
KDE
Liferea
Links 2
Metacity
Microsoft Office
Midnight Commander
Miro
MySQL
Nautilus
Nexuiz
Notify OSD
OpenOffice.org
Opera
PDFedit
Phatch
Pidgin
PlayOnLinux
RealPlayer
Recoll
Rhythmbox
rpmbuild
Safari
SeaMonkey
Second Life Viewer
Skype
sqlite3
System logs
System
TeamViewer
Thumbnails
Transmission
Tremulous
VIM
Virt-Manager
Vuze / Azureus
Winamp
Windows Defender
Windows Explorer
Windows Media Player
WINE
winetricks
WinRAR
X11
XBMC Media Center
XChat
Xine
X-Moto
Yahoo! Messenger
yum
Zsh

Entre sus características destaca:

Mejora el rendimiento de Firefox filtrando la base de datos del historial.
Elimina los datos de paquetes de la cache en: CentOS, Fedora y Red Hat.
Limpieza datos de APT para: Debian, Ubuntu, Kubuntu, Xubuntu, y Linux Mint.
Eliminar idiomas que no se usan en distribuciones Linux.
Tiene actualizaciones continuas que mejoran su efectividad.

BleachBit es la herramienta perfecta para limpiar el sistema de datos privados ocultos cuando no se quiere borrar el contenido, ni el sistema del disco duro.

Más información y descarga:
http://bleachbit.sourceforge.net/

Analizar librerías DLL agregadas a procesos en busca de malware.

2009-11-18T15:05:00.000+01:00

Es una práctica muy habitual en él malware utilizar procesos del sistema para esconder librerías DLL dañinas. Normalmente esta técnica es empleada por programas de spyware.

Para descubrir estas librerías DLL se puede utilizar la consola de comandos de Windows (cmd) y el comando “tasklist /m”, que muestra todas las librerías DLL cargadas por los procesos del sistema y con la página ProcessLibrary.com se puede obtener información sobre librerías DLL sospechosas.

Existe una herramienta llamada SpyDLLRemover que simplifica este proceso y permite desactivar las librerías perjudiciales. Esta herramienta escanea los procesos y marca las librerías peligrosas con colores: las peligrosas en rojo, las menos dañinas en naranja y las dudosas en amarillo.

En el caso de las marcadas en amarillo es necesario investigar si son dañinas o no, para este fin, se puede utilizar ProcessLibrary.com para obtener información.

Esta herramienta está disponible para: Windows Vista, XP y 2003. Para un correcto uso de SpyDLLRemover, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de SpyDLLRemover:
http://www.rootkitanalytics.com/tools/spy-dll-remover.php

ProcessLibrary.com (Ingles):
http://www.processlibrary.com/

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe:
http://vtroger.blogspot.com/2009/06/como-averiguar-los-servicios-que-se.html

LiveCD con herramientas de seguridad de red.

2009-11-12T20:08:00.000+01:00

Network Security Toolkit (NST) es una LiveCD con herramientas de seguridad de red. Esta LiveCD está basada en una distribución Fedora 11 y la mayoría de las herramientas de seguridad de red que la integran se encuentran en el Top 100 Security Tools de INSECURE.ORG.

Principales herramientas que forman NST:

Wireshark, analizador de protocolos.
Multi-Tap Network Packet Capture, interfaz para realizar capturas simultaneas con varios dispositivos de red.
Nessus, escáner de vulnerabilidades.
Snort, sistema de detección de intrusos.
NMap, escáner de puertos.
NTop, monitorización de red.
Kismet, analizador de redes inalámbricas.
Driftnet, para capturar archivos de imágenes transferidos en la red.
TCPxTract, para capturar documentos incluyendo PDF o Microsoft Word.
Nsttraceroute, utilidad de traceroute que muestra los resultados en Google Earth.

Esta LiveCD es ideal para un administrador de red, porque permite convertir cualquier equipo en un: monitor de red, un firewall o un IDS en pocos minutos. Además está disponible en maquina virtual ya instalada y viene con opciones para instalarla en un USB.

Más información y descarga de NST:
http://www.networksecuritytoolkit.org/

Wiki de NST:
http://wiki.networksecuritytoolkit.org/

Herramienta de OS fingerprinting.

2009-11-04T20:08:00.001+01:00

El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Los programas que se utilizan para realizar OS Fingerprinting se basan en dos filosofías, escáner pasivo o activo:

En un escáner activo la herramienta envía paquetes esperando una respuesta del sistema operativo y la compara con su base de datos. Suele usar técnicas como: inundación de paquetes SYN, envió de flags TCP incorrectos, envió de paquetes FIN… Estas técnicas son fáciles de detectar.
En un escáner pasivo la herramienta escucha el trafico para identificar las maquinas que actúan en la red comparando sus tiempos de respuesta pero sin actuar en la red. Es una técnica más difícil de detectar pero tiene dos inconvenientes: algunas veces hay que esperar mucho tiempo si el sistema que queremos identificar no envía paquetes, no podemos identificalo y al no enviar peticiones la herramienta no genera respuestas esto limita su acción al ámbito de broadcast, se puede solucionar con técnicas de envenenamiento de la cache ARP.

Satori es una herramienta de OS fingerprinting pasivo que utiliza pcap. Satori utiliza los comportamientos en la red de los siguientes elementos para identificar sistemas: sistemas Windows, dispositivos HP(gracias al uso de HP Switch Protocol), dispositivos Cisco (envió paquetes CDP), teléfonos VoIP y servidores DHCP. Satori está disponible para Windows y para Linux.

Más información y descarga de Satori:
http://myweb.cableone.net/xnih/
Enmascarar sistema para evitar OS Fingerprinting:
http://vtroger.blogspot.com/2008/08/enmascarar-sistema-para-evitar-os.html

Varias distribuciones de seguridad en un solo USB.

2009-11-02T11:00:00.000+01:00

Con Katana un conjunto de distribuciones de seguridad y herramientas agrupadas en una sola distribución arrancable en USB. Katana es la mejor opción para tener a mano herramientas que pueden servir para: test de penetración, auditoria, romper contraseñas, análisis forense y Honeypots.

Katana incluye las siguientes distribuciones y herramientas:

Instalación de Katana.

Es necesaria una memoria USB de 8GB con 6GB de espacio libre. Y después seguir los siguientes pasos:

Descargar el archivo “katana-v1.rar” y descomprimirlo.
Crear una carpeta de nombre “boot” en el USB y copiar en ella los archivos descomprimidos.
Hacer arrancable el USB. En Linux ejecutar el script “boostinst.sh” de la carpeta boot y en Windows ejecutar “boostinst.bat” de la carpeta “boot”.

Más información de Katana:
http://www.hackfromacave.com/katana.html

Descargar Katana:
http://mirror.cc.vt.edu/pub/katana/katana-v1.rar

Herramienta análisis forense sistema de archivos.

2009-10-29T18:13:00.004+01:00

Se trata de Digital Forensics Framework es una herramienta de análisis forense de sistema de archivos, de arquitectura modular. Al estar dividida en módulos esta herramienta permite realizar varias tareas a la vez y así agilizar el análisis forense. Además está diseñada para trabajar sobre la imagen previamente realizada al disco (como en todo buen análisis forense no corromper la escena es muy importante).

Entre sus características destaca:

Recuperación potente de archivos borrados.
Permite analizar el sistema de archivos de teléfonos móviles y recuperar archivos borrados.
Descifra el contenido y metadatos de SMS para mostrarlos como en un teléfono móvil.
Tiene un editor hexadecimal.
Posee un interfaz grafico y consola de comandos.
Posee un modulo de autodetección basado en estructuras de archivos para localizar archivos con extensiones cambiadas.

Digital Forensics Framework es una herramienta de código abierto multiplataforma, muy útil para análisis forense de memorias USB, PDA, tarjetas de memoria y teléfonos móviles, ya que solo soporta FAT 12/16/32.

Más información y descarga de Digital Forensics Framework:
http://www.digital-forensic.org/download-en.html

Guía de uso de Digital Forensics Framework:
http://wiki.digital-forensic.org/wiki/dff/DFF_guide

Juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores.

2009-10-23T13:00:00.000+02:00

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) y la iniciativa PantallasAmigas lanzan TriviRal un juego online de preguntas y respuestas sobre seguridad en Internet dirigido a menores.

Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 años principalmente). TriviRal combina un triple objetivo de carácter didáctico (que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), lúdico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos).

TriviRal está diseñado para que resulte un material educativo adecuado, tanto para uso en el ámbito doméstico, como para su empleo en el contexto escolar. Dispone de un sistema de cómputo y estadísticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada área temática, de manera que ofrece a padres y educadores un método para medir el grado de conocimiento y aprendizaje de los menores.

Web de TriviRal:
http://www.navegacionsegura.es/

Análisis de datos ocultos en un documento PDF.

2009-10-21T17:06:00.004+02:00

El formato PDF conserva los cambios realizados en un documento, de tal forma que crea un historial de las modificaciones que sufre. Este historial se mantiene de forma oculta en el archivo PDF.

Con la herramienta PDFResurrect para análisis de documentos PDF, es posible extraer todas las versiones previas y generar un resumen de cambios, producidos entre las distintas versiones del documento. Esta herramienta también permite eliminar este historial de cambios en un documento PDF para que no pueda ser recuperado por nadie.

Esta herramienta sirve para: verificar la autenticidad de un documento, comprobar que no ha sido manipulado por terceras personas y recabar metadatos del mismo.

Más información y descarga de PDFResurrect:
http://www.757labs.com/projects/pdfresurrect

Análisis de documentos PDF en busca de código malicioso:
http://vtroger.blogspot.com/2009/10/analisis-de-documentos-pdf-en-busca-de.html

Extracción y uso de metadatos:
http://vtroger.blogspot.com/2008/06/extraccin-y-uso-de-metadatos.html

Evitar SQL injection en ColdFusion.

2009-10-15T19:53:00.008+02:00

Cuando se incorporan consultas a ColdFusion, sin etiquetas cfqueryparams, se debilita la seguridad del sistema haciéndolo vulnerable a ataques de SQL injection. Las etiquetas cfqueryparams previenen de ataques SQL injection porque sirven para:

Comprobar los tipos de datos que se incorporan a un parámetro.
Separar el código SQL de los parámetros introducidos.
Garantizar que los valores de un parámetro nunca se agreguen a una consulta SQL modificando la misma para realizar un ataque.

Con la herramienta qpScanner es posible explorar el código, en busca de consultas con variables que no estén dentro de una etiqueta cfqueryparam.

Entre las características de qpScanner destaca:

Encuentra todas las variables en consultas sin un cfqueryparam circundante.
Exhibe nombres de fichero, las líneas de código y el contenido de la pregunta para todos los riesgos potenciales.
Múltiples formatos de presentación de resultados (HTML, XML y WDDX).
Soporta: ColdFusion 8, ColdFusion MX7, BlueDragon 7 y Railo 3.

Más información y descarga de qpScanner:
http://qpscanner.riaforge.org/

Más información sobre cfqueryparams en ColdFusion:
http://www.moopoint.com/tutorials/queryparam_intro.html

Análisis de documentos PDF en busca de código malicioso.

2009-10-07T19:22:00.005+02:00

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder información mediante la codificación y compresión de streams. Esta característica es utilizada para esconder código Javascript y explotar las vulnerabilidades del lector PDF y así comprometer la seguridad del sistema.

Con la herramienta Origami es posible buscar código malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el análisis.

Entre las características de Origami destaca:

Permite explorar documentos a nivel de objeto, buscando código en streams codificados o ofuscados.
Realiza operaciones de alto nivel, tales como: encriptación, desciframiento y firma.
Posee un interfaz grafico para analizar rápidamente en el contenido del documento.

Origami contiene un conjunto de scripts para facilitar el análisis y otras tareas:

detectjs.rb: busca código Javascript en el documento.
embed.rb: agrega un attachment al documento.
create-jspdf.rb: agrega código Javascript a un archivo PDF, que se ejecutara cuando se abra el documento.
moebius.rb: transforma un PDF en moebius.
encrypt.rb: cifra un archivo PDF.

Más información y descarga de Origami:
http://security-labs.org/origami

Visualizar redes en tiempo real.

2009-10-01T13:03:00.002+02:00

Utilizando la NetGrok una herramienta para visualizar redes en tiempo real. NetGrok es una potente herramienta y fácil de usar, que nos permite detectar rápidamente un problema en una red.

NetGrok tiene tres tipos de visualización de redes:

Graph View: Es una vista grafica en la que podemos ver todos los enlaces de la red y la topología de la red.
TreeMap View: Es una vista grafica en la que podemos ver la red por capas.
Edge Table: Una lista detallada de los host de red.

Con NetGrok también se pueden guardar capturas de tráfico en formato PCAP para su posterior análisis. Aunque donde mejor funciona esta herramienta es en un análisis en tiempo real de la red, porque nos permite filtrar los datos dinámicamente por: ancho de banda, número de conexiones y tiempo.

Más información y descarga de NetGrok:
http://www.cs.umd.edu/projects/netgrok/

Suite para test de penetración de redes.

2009-09-24T23:27:00.004+02:00

Se trata de PenTBox una mini suite de test de penetración, programada en Ruby, destinada a testear la seguridad y estabilidad de las redes. Formada por herramientas como: crackeadores de claves, herramientas para realizar denegación de servicio (DoS y DDoS), generadores de claves seguras, Honeypots...

Herramientas de la suite:

Cryptography tools.
- Base64 Encoder & Decoder.
- Multi-Digest (MD5, SHA1, SHA256, SHA512).
- Secure Password Generator.
- Hash Password Cracker (MD5, SHA1, SHA256, SHA512) .
Network tools.
- UltraFast Port scanner.
- Simple TCP DoSer.
- TCP AutoDoSer.
- Nmap based SYN Flood DoSer.
- Honeypot Creator.
Extra.
- L33t Sp3@k Converter.

PenTBox es una suite multiplataforma que puede correr en sistemas: Linux, Windows y MacOS. Entre sus herramientas me gustaría destacar “Honeypot Creator” que nos permite montar un Honeypot en una red local de una forma rápida y sencilla.

Más información y descarga de PenTBox:
http://www.pentbox.net/

Herramienta de creación automática de firmas para Snort.

2009-09-17T18:14:00.004+02:00

Se trata de Nebula una herramienta de creación automática de firmas para Snort. Su funcionamiento consiste en ejecutarse como demonio y recibir ataques a través de un honeypot, inmediatamente Nebula genera una firma de ese ataque en lenguaje Snort. Nebula está diseñado para trabajar con los honeypot: Honeytrap y Argos.

Puede ayudar a asegurar una red automáticamente derivando e instalando reglas para filtrar ataques en el IDS Snort. También sirve para crear reglas de una forma rápida y fácil o para aprender a crear reglas de determinados ataques simulados previamente.

Más información y descarga de Nebula:
http://nebula.carnivore.it/

Más información y descarga de honeypot Argos:
http://www.few.vu.nl/argos/

Más información y descarga de honeypot Honeytrap:
http://sourceforge.net/projects/honeytrap/

Configuración remota de políticas de IDS Snort:
http://vtroger.blogspot.com/2008/11/configuracin-remota-de-polticas-de-ids.html

Monitorización en tiempo real de IDS Snort:
http://vtroger.blogspot.com/2008/11/monitorizacin-en-tiempo-real-de-ids.html

Análisis forense de cola de impresión de Windows.

2009-09-09T19:06:00.004+02:00

Es posible recuperar el último archivo impreso en Windows y visualizarlo. Para realizar esta técnica es necesario saber el funcionamiento de la cola de impresión en Windows.

En el momento que se envía un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se envía a la impresora y las opciones de impresión, su extensiones son: *.SPL y *.SHD. Cuando la impresión finaliza, Windows borra estos archivos que se almacenan en:

c:\windows\system32\spool\printers

Para hacer un análisis forense del último documento impreso, hay que usar un software de recuperación para obtener los archivos *.SPL y *.SHD.

Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el último archivo impreso y obtener las propiedades de impresión utilizadas

Para la cronología de la escena podemos usar los metadatos del archivo o la fecha de eliminación ya que corresponde con la fecha de impresión. Esta técnica funciona para Windows NT/2000/XP/VISTA.

Más información y descarga de EMF Spool Viewer:
http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx

Más información sobre la cola de impresión y archivos EMF:
http://www.microsoft.com/india/msdn/articles/130.aspx

III Encuentro Nacional de la Industria de la Seguridad en España (ENISE).

2009-09-08T11:26:00.006+02:00

El Instituto Nacional de las Tecnologías de la Comunicación (INTECO), presenta de forma oficial la tercera edición del Encuentro Nacional de la Industria de la Seguridad en España (ENISE), que este año se celebrará los días 27, 28 y 29 de octubre en León.

La edición de este año está dedicada a la innovación tecnológica en materia de seguridad en las Tecnologías de la Información. La seguridad de la información se está convirtiendo en un aspecto clave de las tecnologías de la información, las cuales están presentes en todos los ámbitos de la sociedad. Es por ello, que es fundamental potenciar este sector tanto desde el punto de vista económico como del tecnológico, favoreciendo el crecimiento de este sector en España, e impulsando la innovación la cual es fundamental para aumentar y potenciar la competitividad y permitirnos además favorecer la expansión e internacionalización de las empresas españolas de seguridad TIC fuera de España.

Es por ello, que la edición de este año, se centra en las siguientes temáticas repartidas en los tres días que dura el evento:

Para más información pueden consultar el programa del evento, en la página web del ENISE, o solicitar toda la información que consideren oportuna en los datos de contacto. Así mismo, si desean asistir, pueden realizar la inscripción a través de la página web del evento, en el apartado de inscripción, donde encontrarán toda la información relativa a la asistencia al evento.

Por otro lado, si ustedes desean participar como ponentes o patrocinadores, pueden solicitarlo a través de los formularios de solicitud de ponencia, o a través del formulario de solicitud de patrocinio, también a su disposición en la página web del evento.

Organización del ENISE:
Email: enise@inteco.es
Teléfono: 34 987 877 189 Extensiones: 5107, 5109 y 5106.
Web: http://enise.inteco.es/

Auditar seguridad en terminales de acceso público a internet con capacidades restringidas.

2009-09-04T20:33:00.002+02:00

Usando la herramienta iKAT que sirve para auditar la seguridad de terminales de acceso público a internet con capacidades restringidas, especialmente los que usan entornos CITRIX.

Estos ordenadores suelen necesitar tener un entorno muy controlado para evitar que el usuario realice acciones, que de alguna manera puedan ser dañinas. Con iKAT se pueden hacer diferentes pruebas de seguridad entre las que se encuentran exploits para navegadores.

iKAT es una aplicación Web y tiene dos versiones una para terminales que trabajan en la plataforma Windows y otra para los que trabajan en la plataforma Linux.

iKAT Linux:
http://ikat.ha.cked.net/Linux/index.html

iKAT Windows:
http://ikat.ha.cked.net/Windows/index.html

Análisis forense de Mozilla Firefox 3.X.

2009-08-27T18:06:00.006+02:00

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

content-prefs.sqlite: Las preferencias individuales para páginas.
downloads.sqlite: Historial de descargas.
formhistory.sqlite: Contiene los formularios memorizados.
permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
cookies.sqlite: Las Cookies.
places.sqlite: Los datos de los marcadores e historial de navegación.
search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
webappsstore.sqlite: Almacena las sesiones.

Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

Linux : “/home/"nombre usuario"/.mozilla/firefox//”
Windows XP: “C:\Documents and Settings\"nombre usuario"\Application Data\Mozilla\Firefox\Profiles\"carpeta perfil"\”
Windows Vista: “C:\Users\"nombre usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\"carpeta perfil"\”

Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
http://www.sqlite.org/download.html

Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html

También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

Aplicaciones de seguridad para Windows Mobile.

2009-08-19T19:00:00.003+02:00

En anteriores post he citado herramientas y problemas de seguridad de dispositivos con Windows Mobile. En este post tratare sobre dos herramientas que complementan la seguridad de estos dispositivos: RemoteTracker y CardPass.

RemoteTracker es un software de seguridad para localizar el dispositivo en caso de pérdida o robo, ideal para Smartphones con GPS.

RemoteTracker funciona monitorizando los SMS recibidos desde cualquier teléfono móvil. Y a través de comandos enviados por SMS se puede controlar el dispositivo de forma que envié la posición por: SMS, e-mail y a un FTP. Además de poder utilizar otros muchos comandos de control sobre el dispositivo, todo esto de forma silenciosa, sin que se aprecie ningún proceso en el dispositivo.

Entre sus características destaca:

Protección del cambio de la tarjeta de SIM, se activa al detectar un cambio de tarjeta SIM no autorizado. En ese momento, envía un mensaje SMS con la posición del dispositivo, el número de teléfono de la nueva tarjeta SIM y otros datos adicionales, a los números de teléfono definidos por el usuario. Se pueden fijar hasta cuatro tarjetas SIM diferentes.
Protección por contraseña: Se puede fijar contraseñas para: la desinstalación del programa y para la respuesta de comandos por SMS.
Mediante comandos se puede programar para que llame a un número y habrá el micrófono de forma oculta.
Mediante comandos se puede consultar su IP y activar un VNC para controlar el dispositivo.

Más información y descarga de RemoteTracker:
http://remotetracker.sourceforge.net/

Manual de RemoteTracker:
http://remotetracker.sourceforge.net/manual.html

CardPass es un software de seguridad para login seguro en Windows Mobile. Con esta aplicación se puede configurar el dispositivo para que solo se acceda al sistema usando una tarjeta de memoria (SD/CF) como método de login.

Descarga de CardPass:
http://www.geocities.co.jp/SiliconValley/8491/CardPassv10.zip

Seguridad en Windows Mobile:
http://vtroger.blogspot.com/2008/03/seguridad-en-windows-mobile.html

Aplicaciones y consejos de seguridad para PDA y Smartphone:
http://vtroger.blogspot.com/2007/11/aplicaciones-y-consejos-de-seguridad.html

Guía para realizar test de penetración.

2009-08-14T19:30:00.003+02:00

Vulnerabilityassessment publica una interesante guía para realizar test de intrusión, se llama Penetration Testing Framework. Es una guía muy completa y actualizada donde además de explicar los pasos de un test de penetración, muestran herramientas y manuales muy interesantes.

La guía está dividida en las fases de un test de penetración:

Obtener información de la red.
Descubrir elementos de la red.
Enumerar servicios.
Exploración de vulnerabilidades.
Penetración.

Además incorpora unos capítulos adicionales para test de penetración específicos:

Test penetración Bluetooth.
Test penetración Cisco.
Test penetración Wifi.
Test penetración Citrix.
Test penetración para servidores.

Penetration Testing Framework:
http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html

Detectar ordenadores zombis en la red local.

2009-08-04T19:38:00.006+02:00

En un post anterior he escrito sobre ordenadores zombis y botnet (redes formadas por ordenadores zombis), en este post tratare sobre una herramienta muy eficaz para detectar ordenadores zombis en una red local llamada BotHunter.
BotHunter es una herramienta pasiva de supervisión de red, diseñada para reconocer los patrones de comunicación de computadoras infectadas por malware dentro de un perímetro de red.

BotHunter está diseñado para seguir los flujos de comunicación entre los activos internos y las entidades externas de una botnet, buscando el rastro de evidencias de los intercambios de datos que se producen en la secuencia de infección del malware. BotHunter consiste en un motor basado en: partes del motor de la versión 2 de Snort y algunas mejoras. Este motor analiza las acciones que ocurren durante el proceso de infección del malware:

Exploración del anfitrión.
Uso de exploit de ataque.
Transferencia del software de control al sistema anfitrión.
Diálogo del malware con el servidor C&C, encargado de la coordinación y control del mismo.
Propagación del malware atacando otros host de la red.
Comunicación con la botnet usando P2P (en el pasado usaban para comunicarse el protocolo IRC).

Después de comparar estas acciones con los patrones de infección que tiene en su base de datos, si coincide, es detectada como infección. Entonces BotHunter realiza un informe detallado con todos los acontecimientos y fuentes que desempeñaron un papel durante el proceso de la infección.

BotHunter es gratuito y está disponible para las plataformas:

Windows XP/Vista/2003 Server 32 y 64.
Linux, probado en distribuciones: Fedora, Red Hat Enterprise Linux, Debian y SuSE.
FreeBSD, probado en la versión 7.2.
Mac OS X, probado en: Tiger y Leopard, Mac OS 10.4 y 10.5.

BotHunter no es solo una herramienta ideal para la detección de ordenadores zombis en redes locales, también sirve para investigar las fases de infección del malware.

Más información y descarga de BotHunter:
http://www.bothunter.net/

Ordenadores zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

Herramienta para test de penetración automatizado de dispositivos Bluetooth.

2009-07-28T00:04:00.004+02:00

Se trata de la herramienta pwntooth para Linux, diseñada para automatizar test de penetración de dispositivos Bluetooth. Pwntooth explora los dispositivos activos y después utiliza las herramientas y parámetros especificados en el pwntooth.conf para realizar un test de penetración completo.

Las herramientas usadas por Pwntooth para el test de penetración automatizado son:

Blueper diseñada para utilizar la transferencia de archivo en dispositivos Bluetooth. Utiliza ussp-push para transferir archivos de un dispositivo a otro. El diseño de esta herramienta proporciona varios resultados finales posibles: utilizar molestos popups continuos de peticiones de transferencia de archivo en el dispositivo a atacar y escribir datos en el disco del dispositivo sin la interacción del usuario. Puede incluso llegar a bloquear el dispositivo.

Bluesnarfer desarrolla el ataque Bluebug sobre teléfonos con Bluetooth por medio de comandos AT y permite:

Ejecutar comandos AT personalizados.
Obtener información general del teléfono móvil atacado: marca, modelo, IMEI, cobertura y nivel de batería.
Extraer la agenda de contactos almacenados en la tarjeta SIM.
Extraer la bandeja de entrada de mensajes SMS.

Bluetooth Stack Smasher (BSS), permite sobrecargar la stack de un dispositivo para comprobar si es vulnerable, maneja distintos tipos de ataques tipo SYN flood, etc. Gracias a esta herramienta se han descubierto que algunos dispositivos no manejan bien ciertos estados de la stack pudiendo provocar un DoS.

Carwhisperer sirve para conectarse y permitir la recepción y envío de audio a dispositivos manos libres con tecnología Bluetooth instalados en vehículos. Para que el carwhisperer pueda acceder al dispositivo manos libres, éste ha de estar en modo de emparejamiento constantemente, tener un código PIN predeterminado de cuatro dígitos (normalmente los fabricantes usan ' 0000' o ' 1234') y no estar conectado a ningún teléfono. No todos los manos libres son vulnerables, algunos utilizan PIN generados al azar para cada dispositivo durante el proceso de producción y otros permiten elegir un PIN al usuario para enlazar el dispositivo.

Psm_scan para escanear L2CAP PSMs.

Rfcomm_scan escanear canales RFCOMM.

VCardBlaster es una herramienta diseñada para forzar del envío de vCards sobre Bluetooth. Permite que el usuario envíe una corriente continua de vCards para intentar un DoS o para abusar de otros recursos del dispositivo. Un usuario puede enviar un vCard específico o permitir que el vCardBalster envíe un nuevo vCard generado para cada iteración. También permite un ataque contra uno o varios dispositivos Bluetooth que estén en el radio de alcance.

Más información y descarga de pwntooth:
http://www.hackfromacave.com/pwntooth.html

Suite para test de seguridad en Bluetooth:
http://vtroger.blogspot.com/2008/05/suite-para-test-de-seguridad-en.html

Seguridad en tecnología Bluetooth:
http://vtroger.blogspot.com/2006/05/seguridad-en-tecnologa-bluetooth.html

Monitor de integridad de sitios Web.

2009-07-20T20:32:00.002+02:00

Se trata de NBIM un monitor de integridad de sitios Web, que detecta cambios desautorizados en los mismos. Con esta herramienta podemos detectar si nuestro sitio Web ha sido pirateado.

NBIM captura imágenes del sitio Web, registros del DNS, información de WHOIS, certificados SSL y si está incluido en listas negras. Y después va comparando la información actual con la que tiene almacenada y si detecta algún cambio lo notifica al correo electrónico.

Características de NBIM:

Supervisión cada 10 minutos, todos los días.
Permite añadir varios sitios Web a supervisar.
Detecta si un sitio web es incluido en una lista negra.
Notificación inmediata y muy detallada al correo electrónico.

NBIM es un servicio gratuito y muy recomendable para los administradores Web, porque permite detectar rápidamente si un sitio web ha sido hackeado.

Más información y servicio Web NBIM:
http://sucuri.net/

“Catálogo de Empresas y Soluciones de Seguridad TIC” de INTECO.

2009-07-08T16:57:00.003+02:00

El Centro Demostrador de Tecnologías de Seguridad de INTECO publica el Catálogo de Empresas y Soluciones de Seguridad TIC en formato pdf.

El Catálogo de Empresas y Soluciones de Seguridad TIC recoge todas las empresas del ámbito de la Seguridad TIC, así como su oferta de Productos y Servicios. La actual edición incorpora un total de 553 empresas y 1.002 soluciones, de las cuales 396 son productos y 606 son servicios.

El catálogo representa un importante esfuerzo por reunir a todos los actores del mercado de la seguridad, realizando un especial hincapié en las empresas con el objetivo de dar a conocer dicho mercado y acercarlo tanto al sector público y privado, así como a los ciudadanos.

Este catálogo incluye una clasificación de los distintos productos y servicios de seguridad TIC, qué facilita la búsqueda de productos y servicios, además de recomendaciones y buenas prácticas destinadas a la aplicación de las tecnologías de seguridad y de la implantación de servicios de seguridad para las empresas y usuarios.

La versión más actualizada del catalogo es su versión como aplicación web, que cuenta, entre otros, con más de 100 empresas que ofrecen servicios de cumplimiento con la legislación LOPD,LSSI,…), y más de 35 soluciones para proteger la empresa de accesos no autorizados a la red corporativa, etc. fácilmente accesible desde la herramienta de búsqueda on-line que incorpora.

Puede descargarse el documento en formato pdf en el siguiente enlace:
http://www.inteco.es/file/1000233702

Versión del catalogo como aplicación web:
http://www.inteco.es/Seguridad/C_Demostrador/Catalogo/

Nuevas soluciones Anti-Malware.

2009-07-03T13:12:00.002+02:00

En un post anterior he escrito sobre nuevas amenazas malware, en este voy a tratar sobre nuevas tendencias en el mundo de los antivirus. Se trata de dos propuestas antivirus totalmente diferentes:

Quttera zero-day, se trata de una solución antivirus que utiliza solo técnicas heurísticas. La mayoría de antivirus compara el código de cada archivo con el código que está en su base de datos de los virus ya conocidos, comúnmente esta técnica se llama sistema de firmas de virus. Quttera utiliza solo método heurístico, esta técnica consiste en descompilar el código del malware para simular que haría en el sistema si se llegara a ejecutar. Casi todos los antivirus tienen un método heurístico, pero a diferencia de Quttera no lo utilizan es su protección en tiempo real solo lo utilizan para escáneres minuciosos.

Ventajas:
Protección ideal malware reciente y exploits de día 0.

Desventajas:
Falsos positivos frecuentes, que necesitan de conocimientos avanzados para discernir un malware de una aplicación inocua.

Más información y descarga de Quttera zero-day:
http://quttera.com/free/
Panda Cloud Antivirus, es un antivirus basado en la técnica de Cloud Computing. Esta técnica consiste en basar las aplicaciones en servicios alojados de forma externa. De esta forma el antivirus no funciona mediante firmas que se descargan, la lógica de detección y eliminación de malware está en los servidores de Panda. Este antivirus se apoya en Cloud Computing para recoger muestras de infecciones de los equipos y así descubrir nuevas infecciones.

Ventajas:
Un antivirus ligero que consume pocos recursos. Al delegar la detección y eliminación en los servidores Panda las actualizaciones son inmediatas.

Desventajas:
Todas las de las técnicas de Cloud Computing, la dependencia de los servicios en línea: conexión, carga del servidor, estado del servidor….

Más información y descarga de Panda Cloud Antivirus:
http://www.cloudantivirus.com/default.aspx?lang=spa

Nuevas amenazas de malware:
http://vtroger.blogspot.com/2009/05/nuevas-amenazas-de-malware.html

Antivirus gratuitos para Windows Vista:
http://vtroger.blogspot.com/2007/05/antivirus-gratitos-para-windows-vista.html

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

2009-06-22T16:49:00.004+02:00

Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.

Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.

Esta herramienta está disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html

Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es

Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html