Guru de la informática

Este blog en Twitter.

2013-05-21T19:45:00.000+02:00

Este blog desde hoy tendrá su sitio en Twitter donde se publicarán todas las entradas recientes y algún que otro comentario de un servidor. También quiero adelantar que tras una época de pocas publicaciones, intentare darle un poco más de vida a este blog, que últimamente, tengo algo abandonado.

Aquí os lo dejo:
https://twitter.com/gurudelainf

SEGURIDAD SCADA: Herramientas de seguridad para WINCC y PLC´s S7.

2013-05-02T10:00:00.000+02:00

En este post tratare sobre tres herramientas muy interesantes para el análisis de seguridad y fortalecimiento de redes en SCADA Siemens y PLC´s S7, ya que el SCADA WINCC junto con los PLC´s de la serie S7 son los más usados en la automatización industrial.

Estas herramientas son:

PLCScan.
Herramienta programada en python, para la exploración dispositivos PLC de la serie S7 a través del protocolo ModBus/tcp.

Ejemplo de usos:
plcscan.py 192.168.0.1
plcscan.py --timeout 2 192.168.0.1:102 10.0.0.0/24
plcscan.py --hosts-list hosts.txt

Ejemplos de resultados:
192.168.0.1:102 S7comm (src_tsap=0x100, dst_tsap=0x102)
   Module                   : 6ES7 151-8AB01-0AB0 v.0.2
   Basic Hardware           : 6ES7 151-8AB01-0AB0 v.0.2
   Basic Firmware           :                      v.3.2.6
   Unknown (129)            : Boot Loader           A
   Name of the PLC          : SIMATIC 300(xxxxxxxxx)
   Name of the module       : IM151-8 PN/DP CPU
   Plant identification     :
   Copyright                : Original Siemens Equipment
   Serial number of module : S C-BOUVxxxxxxxx
   Module type name         : IM151-8 PN/DP CPU

Más información y descarga:
https://code.google.com/p/plcscan/

wincc_harvester.
Un modulo para Metasploit que permite acceder a datos sensibles de la base de datos de Siemens SIMATIC WinCC, datos como: usuarios, roles, PLC..
Intalación en Metasploit:
Copiar el archivo “wincc_harvester.rb” en “/opt/metasploit/msf3/modules/auxiliary/admin/scada /”
Uso:
El uso auxiliar en “/admin /SCADA /wincc_harvester”

Más información y descarga:
https://github.com/nxnrt/wincc_harvester

OPC Server para PLC S7 Siemens.
El OPC server para PLCs S7 de Siemens ofrece conectividad a la familia de PLC´s S7 (S7-200, S7-300, S7-400 y S7 serie 1200) a través de Ethernet. Permite el acceso a datos en vivo de Siemens S7, este servidor es asequible, permite ponerlo en marcha de inmediato sin la complejidad de otros paquetes de software.

Entres sus características destaca:

La función de detección automática para los adaptadores NetLink-MPI Hilscher sin la necesidad de software de configuración adicional.
Puede importar símbolos de proyectos de Simatic STEP 7 para la configuración simple de etiquetas.
Configuración del sistema "en vivo" sin pérdida de datos, no requiere reinicio del servidor.
Permite trabajar en modo offline para ayudar a la integración de sistemas.
Redundancia a nivel de dispositivo.
Fácil configuración paso a paso basada en un asistente.
Permite conceder y denegar el acceso a etiquetas basándose en el inicio de sesión del usuario.

Más información y descarga:
http://www.matrikonopc.com/downloads/442/index.aspx

Seguridad SCADA: Implementar IDS.

http://vtroger.blogspot.com.es/2012/05/seguridad-sada-implementar-ids.html

Seguridad SCADA: Disponibilidad en servicios OPC.

http://vtroger.blogspot.com.es/2011/05/seguridad-scada-disponibilidad-en.html

Seguridad SCADA: Honeypot para simular redes SCADA:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html

Herramienta para monitorizar procesos en busca de malware.

2013-03-19T20:17:00.000+01:00

Se trata Procces Hacker una herramienta para sistemas Windows muy potente y polivalente que ayuda a monitorizar procesos, recursos del sistema, depurar software y detectar malware.

Entre sus características principales destaca:

Una descripción detallada de la actividad de los procesos que corren en el sistema resaltando los más importantes.
Utiliza gráficos y estadísticas que permiten localizar rápidamente los procesos que más recursos consumen y los que sobrecargan la CPU.
Descubre los procesos que están utilizando un archivo, esto nos permite saber porque no se puede eliminar un archivo determinado.
Permite ver qué procesos tienen conexiones de red activas con detalles como: puerto, ip de destino, ancho de banda…
Obtener información en tiempo real sobre el acceso a disco.
Puede ver trazas detalladas con kernel-mode, WOW64 y .NET.
Crear, modificar y controlar los servicios de Windows.
Muestra máscaras simbólicas de acceso (por ejemplo Read y Write ), en lugar de números (por ejemplo 0x12019f ).

Esta herramienta combinada con la web ProcessLibrary un recurso gratuito de Uniblue Systems Ltd. que proporciona información acerca de los procesos y DLLs que se encuentran en los sistemas Windows y que cuenta con una amplia base de datos y se actualiza regularmente con más de 195.000 entradas; forman una combinación excelente para detectar malware en un sistema Windows.

Más información y descarga de Procces Hacker:
http://processhacker.sourceforge.net/

Seguridad SCADA: Implementar IDS.

2012-05-08T22:50:00.001+02:00

Un IDS siempre es una buena solución para mejorar la seguridad de una red, pero para que sea efectivo en un entorno tan particular como una red de un sistema SCADA, tiene que tener unas reglas especificas adaptadas a los protocolos que se usan en dichas redes.

La mayoría de los proveedores de IDS también ofrecen un sistema de prevención de intrusiones IPS, se refiere a la capacidad de que no sólo puede detectar un ataque, también puede bloquear la comunicación para defenderse de dicho ataque. Teniendo en cuenta que la disponibilidad es el problema de seguridad más crítico en la gran mayoría de los sistemas SCADA, los falsos positivos en una implementación de IPS podrían tener resultados desastrosos.

Digital Bond tiene un proyecto de desarrollo de firmas IDS para entornos SCADA llamado QuickDraw muy complemento y gratuito. En este momento hay firmas disponibles para: protocolos de red usados en SCADA, un conjunto de firmas que identifican ataques contra las vulnerabilidades divulgadas de sistemas SCADA y un grupo de firmas que identifican los eventos de seguridad específicos para sistemas de diferentes proveedores. Todas las firmas están documentadas e incluyen una sección sobre falsos positivos.

Este proyecto incluye preprocesadores y plugins para el IDS Snort. Estos preprocesadores manejan protocolos usados en redes SCADA como: DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicación para el análisis de las reglas de Snort. Los plugins están disponibles para cada preprocesador y sirven para crear palabras clave que pueden ser utilizadas en las reglas, para evaluar el contenido descodificado en el preprocesador. En todos los casos, los preprocesadores y plugins hacen la escritura de reglas más fácil, porque realizan el trabajo de identificación de los diversos campos, al igual que la decodificación de protocolo, así el análisis de un paquete es más sencillo. Sin el preprocesador, sería muy difícil o imposible que funcionasen las reglas. Por ejemplo, hay algunas reglas que sólo son aplicables cuando una sesión se ha establecido, una regla que no pueda realizar un seguimiento de este estado, es probable que reporte falsos positivos.

Las firmas incluidas en este proyecto se desarrollaron inicialmente como reglas de Snort, y la descarga desde la pagina se encuentra todavía en un formato de Snort. Muchos proveedores de IDS / IPS, soportan o tienen la capacidad de importar reglas de Snort y han optado por agregar las firmas a sus bases de normas SCADA. Una lista parcial de proveedores que apoyan todas o algunas de las firmas QuickDraw en sus IDS / IPS son:

3com/Tipping Point
Cisco
Counterpane/BT
Fortinet
Industrial Defender
ISS/IBM
Juniper
McAfee
Secureworks
Symantec
Tenable Security

Mientras que las firmas de Snort se convierten fácilmente a otro formato de IDS / IPS, los preprocesadores no son fáciles de convertir. Estos preprocesadores son esencialmente programas de software que decodificar el protocolo y almacenar los campos de las variables para el análisis de palabras clave nuevas creadas en los plugins.

Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de Snort. La mayoría de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son fáciles de exportar otro IDS / IPS.

Más información y descarga de QuickDraw:

http://www.digitalbond.com/tools/quickdraw/download/

Seguridad SCADA: Disponibilidad en servicios OPC.

http://vtroger.blogspot.com.es/2011/05/seguridad-scada-disponibilidad-en.html

Hardening SSL/TLS.

2011-10-17T08:00:00.032+02:00

Con Harden SSL / TLS una aplicación que permite mejorar la seguridad de SSL / TLS de las versiones de Windows 2000, 2003, 2008, 2008 R2, XP, Vista y 7. Esta aplicación permite establecer a nivel local y remota políticas basadas en permitir o denegar ciertos hashes o conjuntos de cifrado, establecer prioridades y modificar parámetros de la caché de sesión TLS.

Harden SSL / TLS permite realizar políticas específicas de ajuste con respecto a los cifrados y los protocolos que estén disponibles para aplicaciones que utilizan el interfaz SCHANNEL de criptografía, ya sean aplicaciones cliente o servidor. Una gran cantidad de aplicaciones de Windows utilizan esta interfaz, por ejemplo: Google Chrome, Safari de Apple… Al cambiar la configuración indirectamente se puede controlar que cifrados pueden utilizar estas aplicaciones. Teniendo en cuenta que una aplicación puede solicitar un conjunto específico de sistemas de cifrado, y si se ha desactivado este conjunto ya no puede usarlo.

En el modo avanzado de esta aplicación permite:

Habilitar el modo ECC P521; Microsoft eliminó el modo ECC P521 después de Vista y Server 2008, esta opción permite volver a habilitar y volver a introducir el modo ECC P521 para Windows 7 y Server 2008R2.
Habilitar soporte módulo 1; Cuando un servidor Web utiliza un certificado con un exponente 1 de clave pública RSA, el exponente de la clave privada también se pone a 1. Si estas condiciones están presentes, la conexión no tiene la seguridad de encriptación. Al habilitar esta se configura el cliente para permitir una conexión a un servidor Web que utiliza un certificado con un exponente 1 de clave pública RSA.
Modificar el tiempo de la cache TLS / SSL; Una de las razones para cambiar el valor predeterminado de la caché de sesión SSL es obligar al cliente a autenticar con más frecuencia. El frecuente almacenamiento en caché es útil a veces, por ejemplo, si se desea reducir el esfuerzo computacional o si se sabe que el cliente está utilizando una tarjeta inteligente y desea que la página web sea accesible sólo cuando el usuario inserta la tarjeta inteligente en el lector.
Tamaño de la cache TLS / SSL; IIS mantiene los objetos en memoria para el seguimiento de cada conexión a la web de entrada. Después de cinco minutos de tiempo de inactividad, estos objetos son destruidos para reclamar los recursos. Durante este proceso, IIS purga el ID de sesión SSL / TLS de la tabla sesión ID de la caché del sistema operativo. IIS también purga toda la información de conexión que se negocia entre el cliente y el servidor. Cuando un cliente intenta reanudar una sesión de SSL / TLS mediante el identificador de sesión anterior, el servidor no puede encontrar la información de conexión en la memoria caché. Por lo tanto, el cliente debe renegociar la conexión. Además, el cliente debe obtener un nuevo identificador de sesión. El aumento del tamaño de la caché puede reducir la carga de la CPU, pero aumenta el uso de memoria, cada elemento de caché de la sesión normalmente requiere de 2 a 4 Kb de memoria.

Más información de Harden SSL / TLS:
http://www.g-sec.lu/sslharden/documentation.pdf

Descarga de Harden SSL / TLS:
http://www.g-sec.lu/sslharden/HardenSSL.zip

Seguridad en el protocolo SSL:
http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html

Auditar seguridad de SSL:
http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html

Cortafuegos de aplicación Web.

2011-07-26T19:54:00.000+02:00

Se trata de IronBee, cortafuego de aplicación web (WAF) de fuente abierta. Llevado por el equipo que diseñó y construyó ModSecurity, el nuevo proyecto apunta a producir un cortafuegos de aplicación web que sea seguro, de alto rendimiento, portable, y libremente disponible incluso para el uso comercial.

Un WAF es típicamente una aplicación, un plugin del servidor, o un filtro basado en programas que aplica un sistema de reglas a una conversación del HTTP para supervisar y controlar el movimiento de datos, manteniéndolo seguro de posibles ataques. Modificando las reglas para requisitos particulares de un WAF, muchos ataques pueden ser identificados y bloqueados.

El uso cada vez mayor de aplicaciones web y de la transición a la computación en nube hace necesario desplegar tecnología WAF, para proteger datos y aplicar regulaciones tales como las impuestas por la industria de tarjeta de pago (PCI).

Entre las características de IronBee destaca:

Motor avanzado de la inspección de seguridad de uso, que proporciona las nuevas herramientas de proceso y el análisis para el tráfico HTTP.
Licencia v2, una licencia no-viral del software de Apache de fuente abierta que permite que participen igualmente los individuos y las organizaciones comerciales, creando una comunidad de usuarios, así como una comunidad de desarrollo.
La portabilidad, que le permite múltiples modos de trabajo tales como: pasivo, embebido, fuera del proceso y como proxy reverso.
Arquitectura modular, permitiendo a contribuidores ejecutar fácilmente sus propios módulos sin requerir la comprensión profunda de la arquitectura de IronBee, así como permitir el empaquetado directo de la información y de los módulos de configuración apropiados a las necesidades de cada usuario.
Esfuerzo de colaboración de la comunidad para capturar, centralizar y compartir la información necesaria para defender aplicaciones web.

Está cada vez más claro que no importa si somos buenos en programación segura (SDLC), y no importa si nuestras herramientas de la exploración de código y de análisis de vulnerabilidades son eficaces, ninguna de las dos cosas solventara nuestro problema de seguridad de aplicaciones web, la mejor técnica es tener una protección y un remiendo. Cuando descubrimos una nueva vulnerabilidad, nos blindamos con cortafuegos y otras técnicas de seguridad perimetral (protección), para después parchear la vulnerabilidad (remiendo) y poner solución problema.

Más información y descarga de IronBee:
https://www.ironbee.com/

Seguridad SCADA: Disponibilidad en servicios OPC.

2011-05-31T22:36:00.001+02:00

Dentro de la seguridad informática la disponibilidad es un factor muy importante que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. La disponibilidad es un factor imprescindible en sistema SCADA. En este post tratare sobre herramientas para mejorar la disponibilidad en OPC.

OPC (OLE for Process Control) de Microsoft es un estándar de comunicación con arquitectura Cliente-Servidor usada en la industria de control de procesos. Está pensada para garantizar la comunicación entre dispositivos de distintos fabricantes, permitiendo la comunicación entre aplicaciones de control y de supervisión con independencia de la red en la que trabaje. OPC se basa en los estándares de Microsoft: DCOM, OLE y RPC.

MatrikonOPC dispone de cuatro herramientas gratuitas que nos permiten: probar clientes y servidores OPC, simular y testear problemas de conexión en OPC. Estas aplicaciones son:

MatrikonOPC Explorer:

Es una herramienta para visualizar variables OPC y realizar pruebas con conexiones en tiempo real. MatrikonOPC Explorer es una herramienta fácil y rápida para comprobar el funcionamiento de servidores OPC y realizar desarrollos OPC de una forma más simple. Más allá de la prueba simple de conexión, esta herramienta proporciona funciones avanzadas incluyendo la prueba de carga del servidor OPC, identificando los servidores OPC seguros y la capacidad de conectar con ellos para buscar la configuración más óptima.

Más información y descarga de MatrikonOPC Explorer:
http://www.matrikonopc.com/products/opc-desktop-tools/opc-explorer.aspx

MatrikonOPC Simulation Server:

Es una herramienta diseñada para integradores y desarrolladores que necesitan realizar pruebas con aplicaciones OPC. Esta aplicación permite realizar pruebas de conectividad y calidad de clientes OPC. Los usos de pruebas en los servidores OPC en servicio, pueden dar lugar a pérdida de datos de la producción real. El servidor de simulación de MatrikonOPC crea un ambiente simulado para en caso de problemas, no perder ningún dato de proceso real.

Más información y descarga de MatrikonOPC Simulation Server:
http://www.matrikonopc.com/products/opc-drivers/opc-simulation-server.aspx

MatrikonOPC Analyzer:

Es una utilidad para encontrar áreas problemáticas comunes de OPC y archivos importantes de respaldo de OPC.
Características:

Soprota archivos de configuración de XML y ficheros de log del servidor del OPC.
Comprueba áreas problemáticas comunes del OPC tales como ajustes del cortafuego, DEP, ajustes de red, así como la información del registro de acontecimientos y actualización del sistema operativo
Resume los ajustes de DCOM por defecto, ajustes de OPCEnum y ajustes específicos de DCOM en el servidor OPC.

Más información y descarga de MatrikonOPC Analyzer:
http://www.matrikonopc.com/products/opc-desktop-tools/opc-analyzer.aspx

MatrikonOPC Sniffer:

Especialmente diseñada para integradores de instalaciones y configuración de arquitecturas OPC, MatrikonOPC Sniffer ayuda a investigar objetivamente la solución de problemas de interoperabilidad entre Cliente OPC / Servidor OPC. MatrikonOPC Sniffer señala rápidamente cuando los Servidores OPC y Clientes no se comunican correctamente. Registra la actividad entre Servidores y Clientes OPC para aislar los problemas de interoperabilidad y ayudar a resolver problemas de forma rápida y sencilla.

Más información y descarga MatrikonOPC Sniffer:
http://www.matrikonopc.es/products/opc-data-management/opc-sniffer.aspx

Seguridad SCADA: Honeypot para simular redes SCADA:
http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html

Honeypot para SSH.

2011-04-19T20:28:00.000+02:00

Se trata de Kippo un honeypot para SSH diseñado para registrar ataques de fuerza bruta y la interacción del atacante en el mismo. Kippo se inspira, pero no está basado en Kojoney.

Algunas características interesantes:

Simula un sistema de ficheros completo que se asemeja a una instalación de Debian 5.0, con capacidad de agregar y quita archivos.
La posibilidad de agregar archivos a ese sistema de ficheros falso permite que el atacante pueda ver archivos tales como “/etc/passwd”, solo se incluye un contenido mínimo del archivo.
Registros de la sesión del atacante son almacenados en un formato compatible con UML para la respuesta fácil con sincronizaciones originales.
Kippo salva los archivos transferidos con el wget para la inspección posterior.

Kippo está probado en las plataformas: Debian, CentOS, FreeBSD y Windows 7. Y necesita de los siguientes componentes para su funcionamiento: Python 2.5+, Twisted 8.0+, PyCrypto y interface Zope.

Más información y descarga de Kippo en:
http://code.google.com/p/kippo/

Seguridad en el protocolo SSL.

2011-02-01T18:18:00.001+01:00

Muchos dispositivos de red, utilizan para cifrar sus conexiones SSL, llaves hard-coded almacenadas en su firmware, de esta forma, dos routers que tengan el mismo firmware utilizaran las mismas llaves para cifrar sus conexiones SSL. Esto significa que si capturamos la llave privada del firmware podemos descifrar todo el trafico encriptado en SSL.

Existe una herramienta llamada LittleBlackBox que contiene una base de datos donde se correlacionan llaves privadas de SLL, con sus respectivos certificados públicos, que corresponden a determinado hardware. Esta base de datos incluye más de 2 millones llaves privadas tanto de SSL como de SSH.

Con esta herramienta es posible identificar un dispositivo de red por su certificado público SSL. Además, dado un certificado público, la herramienta busca en la base de datos para considerar si tiene una llave privada correspondiente; si es así, la llave privada se puede utilizar con: Wireshark o SSLsniff, para descifrar tráfico o para realizar ataques de MITM.

Con LittleBlackBox podemos auditar la seguridad del cifrado SSL que utilizan nuestros dispositivos de red. Para mejorar la seguridad de cifrado SSL de nuestros dispositivos de red lo mejor es cambiar los certificados SSL que utilizan por defecto (esta medida es posible en muchos dispositivos).

Más información y descarga de LittleBlackBox:
http://code.google.com/p/littleblackbox/

Más información y descarga de Wireshark:
http://www.wireshark.org

Más información y descarga de SSLsniff:
http://www.thoughtcrime.org/software/sslsniff/

Auditar seguridad de SSL:
http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html

Geoetiquetas, una nueva amenaza en la seguridad de los metadatos.

2010-11-22T21:42:00.000+01:00

En anteriores post he escrito sobre los posibles usos de los metadatos y formas de recolectarlos. En este post tratare sobre las geoetiquetas, una nueva amenaza en la seguridad de los metadatos.

Los formatos de archivos de imagen JPEG, TIFF Rev. 6.0, y RIFF utilizan la especificación Exif. Esta especificación agrega metadatos como:

Información de fecha y hora. Las cámaras digitales registran la fecha y la hora actual y la almacenan en los metadatos.
Configuración de la cámara. Esta incluye información estática como el modelo de cámara y el fabricante, e información que varia con cada imagen como la orientación, apertura, velocidad del obturador, distancia focal, medidor de exposición y la velocidad de la película.
Geoetiquetas, la cual podría provenir de un GPS conectado a la cámara. Hasta el 2004 solo unas pocas cámaras lo soportaban. Actualmente los smartphone poseen cámara fotográfica y receptor GPS, y añaden geoetiquetas a las fotos que realizan.

Con las geoetiquetas se puede determinar el lugar exacto donde se realiza una foto, y esto puede suponer un problema cuando se publican fotos en redes sociales o álbumes fotográficos en la web. La mayoría de estos dispositivos permiten desactivar esta función pero muchos usuarios desconocen su existencia.

Existen aplicaciones con las que podemos extraer estas geoetiquetas y visualizarlas en google earth y también aplicaciones con las que podemos limpiar las fotos de geoetiquetas. Entre estas aplicaciones destacaría dos: Geotag y Geotag Security.

Geotag Security.

Es una herramienta para la plataforma Windows, que explora un destino seleccionado en busca de imágenes que contienen geoetiquetas y se las elimina. Es una herramienta muy fácil de usar y bastante rápida. Su única pega es que no permite visualizar las geoetiquetas.

Más información y descarga de Geotag Security:
http://www.geotagsecurity.com/what-is-geotag-security/

Geotag.

Es un programa multiplataforma programado en Java que permite la edición y visualización de metadatos es archivos fotográficos. Geotag está orientado a la edición y visualización de geoetiquetas y además permite visualizarlas en google earth. Geotag también permite insertar geoetiquetas en fotos y editarlas. Es un buen complemento para análisis forense de metadatos.

Más información y descarga de Geotag:
http://geotag.sourceforge.net/

Extracción y uso de metadatos:
http://vtroger.blogspot.com/2008/06/extraccin-y-uso-de-metadatos.html

Seguridad SCADA: Honeypot para simular redes SCADA.

2010-10-21T18:26:00.001+02:00

Es muy difícil recrear un honeypot de una red SCADA dado la variedad de despliegues de redes industriales y la falta de una arquitectura estándar. Otro de los factores que dificultan simular estas redes, es que utilizan muchos protocolos de red diferentes y topologías muy complejas. En SCADA HoneyNet Project podemos encontrar complementos para el honeypot Honeyd que nos permiten simular una variedad de redes industriales tales como arquitecturas de SCADA, de DCS, y de PLC.

Con Honeyd es posible simular varios dispositivos industriales basados en IP en un mismo anfitrión como por ejemplo: un servidor de Modbus/TCP en el puerto 502 y EtherNet/IP en los puertos 44818/2222. Y de esta forma recoger datos sobre los ataques que se producen a dichos dispositivos.

Para completar este honeypot necesitamos simular conexiones serie debido a que muchos dispositivos industriales utilizan RS-232/485, es posible, utilizando el modulo programado en python llamado pySerial. De esta forma presentamos un interfaz de protocolo a un atacante que se conecte por el puerto serie.

Este honeypot no solo nos puede servir de estudio de ataques que puede sufrir una red industrial, aplicando las cualidades de Honeyd nos permite utilizarlo como técnica de camuflaje ante ataques de Fingerprinting. Ya que entre las opciones de Honeyd es posible configurar que solo responda a un rango de IP determinado o que responda en una franja horaria concreta.

Más información y descarga de SCADA HoneyNet Project:
http://scadahoneynet.sourceforge.net/

Ejemplo de simulación de un PLC:
http://scadahoneynet.sourceforge.net/plc.html

Modulo pySerial escrito en python de simulación de RS-232/485:
http://pyserial.sourceforge.net/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Vulnerabilidades en OPC:
http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html

Seguridad SCADA: Vulnerabilidades en OPC.

2010-09-22T13:17:00.003+02:00

OPC (OLE for Process Control) de Microsoft es un estándar de comunicación con arquitectura Cliente-Servidor usada en la industria de control de procesos. Está pensada para garantizar la comunicación entre dispositivos de distintos fabricantes, permitiendo la comunicación entre aplicaciones de control y de supervisión con independencia de la red en la que trabaje.

OPC se basa en los estándares de Microsoft: DCOM, OLE y RPC. Estos componentes de Microsoft han sido grandes fuentes de vulnerabilidades, de las que se han aprovechado múltiples virus. Esto se convierte en un grave problema en sistemas de control industrial porque es muy difícil implementar actualizaciones.

El problema actual es que la mayoría de los componentes y servidores OPC no incorporan ningunas funcionalidades de seguridad, afortunadamente MatrikonOPC dispone de tres aplicaciones gratuitas y certificadas por la fundación OPC que permiten fortalecer la seguridad de las comunicaciones OPC. Esas tres aplicaciones son:

MatrikonOPC Security Gateway:
Esta aplicación completa el vacío en seguridad que tienen muchas arquitecturas OPC en sus comunicaciones. Es compatible con Servidores OPC de cualquier fabricante y provee un control total sobre el acceso a las variables. Con MatrikonOPC Security Gateway es posible controlar para cada usuario si podrá acceder, leer o escribir en cada una de las variables.

MatrikonOPC Tunneller:
Permitire solucionar de forma rápida y fácil los diferentes inconvenientes asociados al DCOM de Windows. Es posible configurar el tiempo de Time-Out y la reconexión de Clientes OPC. Esta herramienta es ideal para reducir el tiempo de trabajo y configuración de arquitecturas OPC. MatrikonOPC Tunneller utiliza un único puerto para el envió de datos entre Servidor y Cliente OPC, puede hacerlo con compresión y encriptación para mayor seguridad. Soporta las especificaciones DA y HDA y es extremadamente fácil de instalar y configurar.

MatrikonOPC Server for Performance Monitor:
Este Servidor OPC permite monitorizar la actividad y la eficiencia de cualquier computadora en la red. Esta aplicación es una herramienta fundamental para el Soporte Técnico y el Departamento de IT ya que podrán conocer en tiempo real los detalles de funcionamiento de cada computadora involucrada en la arquitectura de adquisición de datos. MatrikonOPC Server for Performance Monitor envía Alarmas y Eventos ante situaciones anormales tales como uso extremo del CPU, intentos fallidos de logarse, fallos en Windows, etc.

Más información y descarga de estas herramientas en:
http://www.matrikonopc.es/products/opc-security/index.aspx

Seguridad SCADA: Firewall para MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Herramienta para analizar la eficacia de los IDS.

2010-09-02T20:12:00.001+02:00

Los métodos de identificación usados por los IDS no son perfectos y los sistemas pueden no detectar todos los ataques o divulgar alarmas falsas.

La herramienta Thor es ideal para analizar la eficacia de los IDS por que pone en marcha automáticamente ataques, recoge las alarmas y muestra información sobre ellas. Thor utiliza variaciones de ataques para hacer análisis más exactos sobre las capacidades de la detección de un IDS. Una característica importante de esta herramienta es la posibilidad de intentar evadir IDS utilizando varios ataques de una forma autónoma.

Thor puede ser utilizado en dos escenarios típicos:

Simulando ataques desde cualquier dispositivo de la red. Por lo tanto, los ataques se encaminan a través de esos dispositivos y se observa, qué alarmas del IDS se generan en comparación al caso donde no estaban presentes los dispositivos.
Identificar IDS instalados en una red y analizar si están correctamente configurados para ese entorno especifico.

Más información y descarga de Thor:
http://thor.cryptojail.net/thor/

Seguridad SCADA: Firewall para MODBUS/TCP.

2010-08-24T22:24:00.000+02:00

Los cortafuegos efectúan un perímetro lógico de seguridad para las redes SCADA y son claramente un elemento indispensable para garantizar la seguridad de este entorno. Pero los cortafuegos no cumplen las necesidades de las redes SCADA al no poder manejar los protocolos de comunicación, como es el caso de Modbus. Los cortafuegos y las ACLs actuales pueden filtrar direcciones IP y puertos, tal como TCP 502 para Modbus, pero no pueden filtrar contenidos en el protocolo Modbus que fluyen a través de ese puerto, como el código de función.

Con Modbusfw una extensión para Netfilter es posible dotar a este cortafuegos de capacidades para filtrar código de funciones en Modbus/TCP usando políticas (DROP, DENY, ALLOW, etc.). De esta forma es posible: establecer grupos de IP que solo pueden enviar determinados códigos de funciones ModBus, bloquear ciertos códigos de funciones Modbus que llegan a una IP… Esto mejora notablemente el control de acceso en el protocolo Modbus/TCP frente a la mayoría de los cortafuegos en los simplemente puedes controlar el acceso al puerto TCP 502 (puerto Modbus).

Modbusfw está disponible como extensión para el cortafuegos de Linux Netfilter y también se puede descargar incorporada en un LiveCD Trinux (minidistribución de GNU/Linux) lo que permite levantar de una forma rápida un cortafuegos Modbus/TCP.

Más información y descarga de Modbusfw:
http://modbusfw.sourceforge.net/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP.

2010-08-19T22:12:00.001+02:00

SCADA viene de las siglas de "Supervisory Control And Data Adquisition", es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.

El protocolo más utilizado en redes SCADA suele ser Modbus. Un protocolo de comunicaciones de nivel 7 OSI, basado en la arquitectura maestro/esclavo, diseñado en 1979 por Modicon para su gama de controladores lógicos programables (PLCs). Modbus es uno de los protocolos más utilizados porque: es público, su implementación es fácil y requiere poco desarrollo y además maneja bloques de datos sin suponer restricciones. Este protocolo puede ser empleado sobre RS-232, RS-422, RS-485 o TCP/IP (puerto estándar TCP 502).

Una de las vulnerabilidades de este protocolo, es la posibilidad de hacer fingerprinting a través de su puerto estándar TCP 502. Mediante la función 43 del protocolo puede averiguarse el registro de identificación de PLCs y conseguir información como: tipo de dispositivo, fabricante, versión y otras informaciones útiles para posteriores ataques.

Con la aplicación ModScan es posible aprovechar esta vulnerabilidad y escanear todos los dispositivos de la red SCADA y identificarlos. ModScan es un escáner para MODBUS/TCP que permite ver los dispositivos que usan el puerto para MODBUS/TCP en la red y averiguar su identificador.

Más información y descarga de ModScan:
http://code.google.com/p/modscan/

Especificaciones técnicas del protocolo Modbus:
http://www.modbus.org/specs.php

Servicio online para chequear la seguridad del navegador.

2010-07-28T21:09:00.000+02:00

Las vulnerabilidades en los navegadores suelen ser la principal puerta de entrada de malware, por eso, es conveniente tener siempre actualizado el navegador. Pero hoy en día esto no es suficiente debido a que el malware también ataca las vulnerabilidades de los plugins del navegador o utiliza plugins propios.

Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores:

IE 6.0 y versiones posteriores.
Firefox 3.0 y posteriores.
Chrome 4.0 y posteriores.

Es capaz de chequear vulnerabilidades en los siguientes plugins.

Adobe Flash Player.
Adobe Reader.
Adobe Shockwave Player.
Apple Quicktime.
BEA JRockit.
Microsoft Silverlight.
Microsoft Windows Media Player.
Real Player.
Sun Java.
Windows Presentation Foundation (WPF) plugin para Mozilla.

Qualys BrowserCheck avisa de los plugins que no están actualizados y pueden ser potencialmente peligrosos.

Web de Qualys BrowserCheck:
https://browsercheck.qualys.com/

Herramienta para supervisión de seguridad de dispositivo Cisco.

2010-07-14T22:47:00.001+02:00

Se trata de Splunk for Cisco Security una herramienta que proporciona una vista consolidada de los sucesos de seguridad de dispositivos Cisco. Esta herramienta proporciona aplicaciones de búsqueda y filtrado de logs, aplicaciones de visualización en tiempo real de eventos de seguridad, aplicaciones monitorización de la red… Estos instrumentos se pueden utilizar por separado o juntos para proporcionar a único panel de monitorización.

Splunk soporta:

Cisco CSA.
Cisco Email Security Appliance (antes Ironport).
Cisco Web Security Appliance (antes Ironport).
Cisco ASA (firewall y IPS).

Entre sus características destaca:

Proporciona monitorización de seguridad con tableros de instrumentos predefinidos, búsquedas, informes y alarmas; para todos los dispositivos Cisco soportados.
Permite realizar análisis forenses con las definiciones de campo, para hacer investigaciones ad hoc.
Permite al usuario ver amenazas de seguridad en tiempo real gracias a los registros del firewall y IPS.
Muestra las vulnerabilidades que se van descubriendo y que afectan a los dispositivos de la red.

Más información y descarga de Splunk for Cisco Security:
http://www.splunkbase.com/apps/All/4.x/App/app:Splunk+for+Cisco+Security

Herramienta para explorar y eliminar BHO malévolos de Internet Explorer.

2010-06-30T22:44:00.001+02:00

Se trata de SpyBHORemover una herramienta para explorar y eliminar BHO malévolos de Internet Explorer. Los BHO (Browser Helper Object) son plugins de Internet Explorer, archivos DLL que amplían las funcionalidades del navegador. Esta característica está siendo empleada por software espía, para supervisar los hábitos de navegación del usuario y para robar sus credenciales.

SpyBHORemover ayuda en la identificación y la eliminación rápida de malware que se aloja como BHO. Para esta labor utiliza análisis heurístico y análisis online utilizando servicios de internet designados a la detección de malware.

Entre sus características destaca:

Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera.
Verificación en línea de el BHO malévolo usando: VirusTotal, ThreatExpert y ProcessLibrary .
Exhibe la información detallada para cada BHO instalado: nombre de clase de BHO, información del análisis, compañía, nombre de producto, fecha de instalación, CLSID del BHO y trayectoria del archivo de BHO.

SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalación. Trabaja en la Windows plataformas a partir de Windows Xp al último sistema operativo, Windows 7.

Más información y descarga de SpyBHORemover:
http://www.securityxploded.com/bhoremover.php

Monitorización de integridad de ficheros en Linux en tiempo real.

2010-06-07T21:49:00.000+02:00

Con iWatch una herramienta de monitorización de integridad de ficheros en tiempo real, para sistemas Linux. iWatch se puede ejecutar en dos modos:

Modo del demonio, donde iWatch se ejecuta como demonio del sistema y supervisa los blancos marcados en el archivo configuración xml.
Modo comando, especificando todos los parámetros: blanco a monitorizar, dirección de correo a la que enviar informe, excepciones….

Características destacadas de iWatch:

Envía alertas de cambios al correo electrónico y permite configurar varios correos electrónicos por cada blanco a monitorizar.
Permite usar excepciones de forma que si no se quiere supervisar un archivo concreto dentro de un directorio blanco se puede excluir.
Permite configurar acciones a realizar cuando se detecta una modificación en el blanco que supervisa. Por ejemplo: configurar iWatch para que si se modifica un archivo restablecer una copia original del archivo.
Permite configurar que aspectos se quieren monitorizar: cambios en atributos, modificaciones, apertura de fichero, cierre, si fue movido…

Esta herramienta puede ser muy útil para monitorizar archivos sensibles o directorio, frente cualquier cambio. Como por ejemplo monitorizar de los archivos /etc/passwd o /etc/shadow, el directorio /bin o supervisar el directorio de raíz de un sitio web, contra cualquier cambio indeseado.

Más información y descarga de iWacth:
http://iwatch.sourceforge.net/index.html

Monitorizar seguridad de páginas Web.

2010-05-29T15:47:00.000+02:00

Con la herramienta NSIA es posible monitorizar la seguridad de páginas Web. Es posible detectar los riesgos de seguridad más corrientes que se pueden encontrar en páginas Web.

No precisa de la instalación de un componente en el servidor ya que su funcionamiento se basa en un motor de búsquedas que hace barridos de búsqueda en la página Web y al detectar cambios los analiza.

Con NSIA es posible detectar los siguientes fallos de seguridad:

Detecta los cambios producidos en caso de un Defacements.
Detecta si se cumplen las condiciones de privacidad de información de los usuarios. Como por ejemplo archivos de usuarios y contraseñas accesibles desde el exterior.
Detecta si la página tiene exploits que infectan a los visitantes. En caso de que un atacante colocara un exploit en la página con NSIA es posible detectarlo.
Analiza si la página Web reporta información delicada sobre la estructura del sistema en sus mensajes de error.
Permite configurar acciones cuando detecta un cambio en la pagina Web, por ejemplo el envío de un mensaje de texto (IM, email, SMS) o la ejecución de una acción de escritura en la página Web.

Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA

Herramienta de análisis de malware.

2010-05-19T21:33:00.000+02:00

Se trata de Zero Wine una herramienta bajo licencia GLP v2 para analizar dinámicamente el comportamiento del malware. Esta herramienta basa su funcionamiento en cargar el malware con Wine en una jaula virtual y recoge la información sobre los APIs llamados por el malware. La salida generada por Wine (usando la variable de entorno de eliminación de errores WINEDEBUG) pertenece a las llamadas de las API usadas por el malware. Con esta información, se analiza el comportamiento del malware.

Se distribuye el Zero Wine en una imagen de la máquina virtual QEMU con un sistema operativo Debian instalado. La imagen contiene software para cargar y para analizar el malware y para generar los informes basados en la información recopilada (este software se almacena en /home/malware/zerowine). Para correr Zero Wine se utiliza un script que carga la maquina virtual y lanza un servicio web en el puerto 8000 en dicha maquina. Para enviar archivos a analizar se utiliza la aplicación web que corre en el servidor web de la maquina virtual.

Existe una versión mejorada de este proyecto se llama Zero Wine Tryouts basado en el mismo motor pero con mejoras en el comportamiento y más opciones.
Es una excelente herramienta para analizar malware ya que nos permite ver todas las acciones que ejecuta el malware en el sistema.

Más información y descarga de Zero Wine:
http://zerowine.sourceforge.net/

Más información y descarga de Zero Wine Tryouts:
http://zerowine-tryout.sourceforge.net/

Auditar la seguridad en plataformas de virtualización.

2010-05-03T22:07:00.001+02:00

La virtualización de sistemas se utiliza cada vez más debido a sus grandes ventajas: reducción de los costes, administración centralizada, integración de arquitecturas… y finalmente nuevos recursos en materia de seguridad.

Pero también entraña nuevas amenazas de seguridad como son las vulnerabilidades de plataformas de virtualización. Con VASTO es posible auditar la seguridad de plataformas de virtualización.

Vasto es un conjunto de herramientas que permiten explotar vulnerabilidades de las principales infraestructuras de virtualización: VMware y Citrix XenCenter. VASTO está formado por componentes de Metasploit.

Más información y descarga de VASTO:
http://blog.nibblesec.org/search/label/tool

Herramienta para simular mensajes y escenarios de SIP.

2010-04-23T21:33:00.000+02:00

Se trata de SIP Inspector una herramienta escrita en JAVA que permite simular mensajes y escenarios de SIP. Con esta herramienta es posible crear y monitorizar mensajes de SIP y de esta forma crear escenarios personalizados de señalización SIP.

Entre sus características destaca:

Permite realizar llamadas simultáneas.
La generación de llamadas puede ser fijada en llamadas por segundo.
Permite lanzar flujos RPT de un archivo de captura pcap.
Puede soportar múltiples flujos de RTP al mismo tiempo.

Es una herramienta ideal para auditarla seguridad de VOIP y con grandes aplicaciones para los que quieran conocer más sobre el protocolo de señalización SIP, gracias a la incorporación de esquemas para los casos de UAC y de UAS.

Más información y descarga de SIP Inspector:
http://sites.google.com/site/sipinspectorsite/

Tutorial de SIP Inspector:
http://sites.google.com/site/sipinspectorsite/tutorial

Auditar seguridad en el código de aplicaciones.

2010-04-16T21:06:00.000+02:00

Con la herramienta RATS es posible auditar la seguridad del código de aplicaciones escritas en: C, C++, Perl, PHP y Python.

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.

Uso:

Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]

Opciones explicadas:

- d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.

- h exhibe un breve resumen sobre el uso de rats.

- i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.

- l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.

- r aplica referencias a las llamadas de función vulnerables que no se están utilizando.

- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.

- x no carga la bases de datos de vulnerabilidades que tiene por defecto.

Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.

Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp

Herramienta para firma digital de documentos con DNI electrónico o certificado digital.

2010-04-08T18:57:00.000+02:00

Con la herramienta XolidoSign se puede realizar firmas digitales en documentos con DNI electrónico o con un certificado digital. La firma digital en documentos se utiliza para:

Poder verificar la autoría del archivo (autenticación).
Verificar que el documento no ha sido modificado (integridad).
Adjudicar la autoría innegable del archivo (no repudio).

Entre las características de XolidoSign destaca:

Soporta muchos tipos de certificado digital.
Permite firmar cualquier documento o archivo sin límite de tamaño: PDF, Excel, Word, Powerpoint, archivos txt, html, php, bases de datos, imágenes, diseños vectoriales, archivos 3D, vídeos, planos, música...
Soporta firma PDF integrada o externa. Permite hacer visible o invisible el campo de firma en el propio documento PDF.
Permite la firma de múltiples documentos y archivos de una sola vez. Robusto y sencillo.
Comprueba la validez del certificado electrónico y el estado de revocación con la entidad emisora.
Puede firmar con sello de tiempo integrado o realizar sello temporal independiente de los documentos o archivos.
Añadiendo el sellado temporal al documento, archivo o firma, se puede garantizar su existencia en un momento determinado. XolidoSign permite utilizar cualquier servidor de sellado de tiempo.

Es una herramienta gratuita disponible solo bajo la plataforma Windows.

Más información o descarga:
http://www.xolido.com/lang/productosyservicios/firmaelectronicayselladodetiempo/xolidosign/?idboletin=1922&idseccion=10749