Guru de la informática

“Catálogo de Empresas y Soluciones de Seguridad TIC” de INTECO.

2009-07-08T16:57:00.003+02:00

El Centro Demostrador de Tecnologías de Seguridad de INTECO publica el Catálogo de Empresas y Soluciones de Seguridad TIC en formato pdf.

El Catálogo de Empresas y Soluciones de Seguridad TIC recoge todas las empresas del ámbito de la Seguridad TIC, así como su oferta de Productos y Servicios. La actual edición incorpora un total de 553 empresas y 1.002 soluciones, de las cuales 396 son productos y 606 son servicios.

El catálogo representa un importante esfuerzo por reunir a todos los actores del mercado de la seguridad, realizando un especial hincapié en las empresas con el objetivo de dar a conocer dicho mercado y acercarlo tanto al sector público y privado, así como a los ciudadanos.

Este catálogo incluye una clasificación de los distintos productos y servicios de seguridad TIC, qué facilita la búsqueda de productos y servicios, además de recomendaciones y buenas prácticas destinadas a la aplicación de las tecnologías de seguridad y de la implantación de servicios de seguridad para las empresas y usuarios.

La versión más actualizada del catalogo es su versión como aplicación web, que cuenta, entre otros, con más de 100 empresas que ofrecen servicios de cumplimiento con la legislación LOPD,LSSI,…), y más de 35 soluciones para proteger la empresa de accesos no autorizados a la red corporativa, etc. fácilmente accesible desde la herramienta de búsqueda on-line que incorpora.

Puede descargarse el documento en formato pdf en el siguiente enlace:
http://www.inteco.es/file/1000233702

Versión del catalogo como aplicación web:
http://www.inteco.es/Seguridad/C_Demostrador/Catalogo/

Nuevas soluciones Anti-Malware.

2009-07-03T13:12:00.002+02:00

En un post anterior he escrito sobre nuevas amenazas malware, en este voy a tratar sobre nuevas tendencias en el mundo de los antivirus. Se trata de dos propuestas antivirus totalmente diferentes:

Quttera zero-day, se trata de una solución antivirus que utiliza solo técnicas heurísticas. La mayoría de antivirus compara el código de cada archivo con el código que está en su base de datos de los virus ya conocidos, comúnmente esta técnica se llama sistema de firmas de virus. Quttera utiliza solo método heurístico, esta técnica consiste en descompilar el código del malware para simular que haría en el sistema si se llegara a ejecutar. Casi todos los antivirus tienen un método heurístico, pero a diferencia de Quttera no lo utilizan es su protección en tiempo real solo lo utilizan para escáneres minuciosos.

Ventajas:
Protección ideal malware reciente y exploits de día 0.

Desventajas:
Falsos positivos frecuentes, que necesitan de conocimientos avanzados para discernir un malware de una aplicación inocua.

Más información y descarga de Quttera zero-day:
http://quttera.com/free/
Panda Cloud Antivirus, es un antivirus basado en la técnica de Cloud Computing. Esta técnica consiste en basar las aplicaciones en servicios alojados de forma externa. De esta forma el antivirus no funciona mediante firmas que se descargan, la lógica de detección y eliminación de malware está en los servidores de Panda. Este antivirus se apoya en Cloud Computing para recoger muestras de infecciones de los equipos y así descubrir nuevas infecciones.

Ventajas:
Un antivirus ligero que consume pocos recursos. Al delegar la detección y eliminación en los servidores Panda las actualizaciones son inmediatas.

Desventajas:
Todas las de las técnicas de Cloud Computing, la dependencia de los servicios en línea: conexión, carga del servidor, estado del servidor….

Más información y descarga de Panda Cloud Antivirus:
http://www.cloudantivirus.com/default.aspx?lang=spa

Nuevas amenazas de malware:
http://vtroger.blogspot.com/2009/05/nuevas-amenazas-de-malware.html

Antivirus gratuitos para Windows Vista:
http://vtroger.blogspot.com/2007/05/antivirus-gratitos-para-windows-vista.html

Como averiguar los servicios que se esconden bajo el proceso Svchost.exe.

2009-06-22T16:49:00.004+02:00

Svchost.exe es para muchos el proceso más misterioso de Windows. Svchost.exe es un nombre de proceso de host genérico para servicios que se ejecutan desde bibliotecas de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.

Durante el inicio, Svchost.exe examina la parte de servicios del Registro para elaborar una lista de los servicios que hay que cargar. Es posible que el sistema ejecute varias instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener una agrupación de servicios. Por tanto, se pueden ejecutar distintos servicios dependiendo de cómo y dónde se inicie Svchost.exe.

Los grupos de Svchost.exe se pueden identificar en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Algunos gusanos se aprovechan de este proceso para camuflarse en el sistema y no ser detectados con una simple exploración de procesos. Existe malware que utiliza esta técnica de camuflaje como los gusanos: Jeefo, Welchia, Assarm y más recientemente el Conficker.

Con la herramienta gratuita Svchost Process Analyzer podemos enumerar todos los procesos svchost del sistema y comprobar los servicios que contienen. Aunque existe una forma de comprobarlo, en la consola de comandos mediante las ordenes: “Tasklist /SVC” y “Tasklist /FI "PID eq IdDeProceso" (con las comillas)”. Se obtiene más información y más concisa con Svchost Process Analyzer.

Esta herramienta está disponible para: Windows Vista, XP, 2000 y 2003. Para un correcto uso de este analizador del proceso svchost, es preciso ejecutarlo con una cuenta de administrador del sistema.

Más información y descarga de Svchost Process Analyzer:
http://www.neuber.com/free/svchost-analyzer/index.html

Descripción de Svchost.exe en Windows:
http://support.microsoft.com/kb/314056/es

Herramientas para la detección y desinfección del virus Conficker:
http://vtroger.blogspot.com/2009/04/herramientas-para-la-deteccion-y.html

LiveCD con herramientas para test de penetración de aplicaciones Web.

2009-06-10T22:06:00.006+02:00

Samurai Web Testing Framework es una LiveCD basada en la distribución Ubuntu y contiene una suite de herramientas para test de penetración de aplicaciones Web. Algunas de las herramientas que componen esta suite, están explicadas en este blog.

Posee herramientas para los cuatros pasos claves en un test de penetración de aplicaciones Web:

Reconocimiento: Posee herramientas como: Fierce Domain Scanner y Maltego.
Exploración de sistema: herramientas como: WebScarab, ratprox, Paros Proxy y Nikto.
Descubrimiento vulnerabilidades: w3af, burp y Grendel-Scan.
Ataque: BeEF, AJAXShell y SQLBrute.

Más información y descarga de Samurai Web Testing Framework:
http://samurai.inguardians.com/

Lista de correo de Samurai Web Testing Framework:
http://sourceforge.net/mail/?group_id=235785

Nuevas amenazas de malware.

2009-05-28T19:55:00.004+02:00

Los creadores de malware, cada vez son más ingeniosos a la hora de buscar fuentes de infección para extender sus creaciones. Últimamente se están dando prácticas de infección muy ingeniosas, y en este post voy a destacar dos:

El caso de la distribución de copias troyanizadas de Windows 7, tanto en redes P2P como en páginas Web. Aprovechando el lanzamiento de Windows 7 y el interés de los usuarios Windows, por probar el nuevo sistema. Los creadores de malware cuelgan copias troyanizadas de Windows 7 en páginas Web y en redes P2P. Lo más recomendable siempre es no descargar software de fuentes desconocidas y en este caso los que quieran probar Windows 7 lo mejor es siempre descargarlo de su página oficial.

Cybercriminals Launch Tainted Windows 7 RC:
http://blog.trendmicro.com/cybercriminals-launch-tainted-windows-7-rc/

Página oficial de descarga de Windows 7 RC:
http://www.microsoft.com/windows/windows-7/download.aspx

O el caso de las maquinas virtuales con sistemas infectados, una nueva práctica que consiste en compartir en internet maquinas virtuales infectadas por troyanos. Estas maquinas infectadas pueden ser un grave problema de seguridad, porque muchas veces, estas maquinas virtuales se ejecutan con conexión a la red local, lo que permite a los troyanos obtener información de la red (puertos, servicios…) e enviar esa información al exterior, sniffar trafico e enviar esa información al exterior, realizar ataques de fuerza bruta o de denegación de servicios o incluir el sistema en una red zombi. Existe una prueba de concepto de este ataque desarrollada por Sergio Castro llamada ViMtruder muy interesante. Lo más recomendable en estos casos es:

No descargar maquinas virtuales de internet si no se confía plenamente de donde proceden.
En caso de redes locales grandes establecer políticas que impidan a los usuarios instalar o transferir maquinas virtuales, sin supervisión del administrador del sistema o departamento de seguridad (si existe).
Monitorizar la red y tener un registro activo de los sistemas que componen la misma. Para poder situar la amenaza a tiempo.
Utilizar un IDS para detectar los posibles ataques producidos por maquinas infectadas.

Prueba de concepto ViMtruder de Sergio Castro:
http://code.google.com/p/vimtruder/

Anteriores post relacionados con el tema:

Técnicas Malware: Falsos programas de seguridad informática:
http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html

Prácticas malware en emule II:
http://vtroger.blogspot.com/2007/11/prcticas-malware-en-emule-ii.html

Practicas malware en Emule:
http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Acceder a sistemas Linux y Windows sin contraseñas de usuarios.

2009-05-22T21:29:00.002+02:00

En seguridad informática hay un principio básico: “El acceso físico a la máquina es acceso total a esta". Y con Kon-Boot podemos demostrar este principio, ya que nos permite acceder a sistemas Linux y Windows sin contraseñas de usuarios.

Kon-Boot no es intrusiva ya que no realiza ninguna modificación en el sistema que pueda ser detectada. Su funcionamiento se basa en parchear el núcleo del sistema cuando se carga en memoria al arrancar el equipo, anular todos los procesos de autentificación y abrir un acceso al sistema en modo root/Administrador.

Kon-Boot esta testeado en los siguientes sistemas:

Windows:

Windows Server 2008 Standard SP2 (v.275).
Windows Vista Business SP0.
Windows Vista Ultimate SP1.
Windows Vista Ultimate SP0.
Windows Server 2003 Enterprise.
Windows XP.
Windows XP SP1.
Windows XP SP2.
Windows XP SP3.
Windows 7.

Linux:

Gentoo 2.6.24-gentoo-r5.
Ubuntu 2.6.24.3-debug.
Debian 2.6.18-6-686.
Fedora 2.6.25.9-76.fc9.i686.

Se puede arrancar desde CD o desde un disquete.

Más información y descarga de Kon-Boot:
http://www.piotrbania.com/all/kon-boot/

Herramienta de test de penetración y descubrimiento de vulnerabilidades.

2009-05-15T18:59:00.004+02:00

Inguma es una herramienta de test de penetración y descubrimiento de vulnerabilidades, de código abierto y escrita en Python. Aunque está orientada a atacar sistemas Oracle tiene muchas funciones que se pueden extrapolar a otros sistemas. Inguma incluye módulos para: descubrimiento de host, obtención información, detectar blancos para técnicas de fuzz, obtención nombres de usuario y contraseñas a través de fuerza bruta, exploits, y un disassembler.

Inguma está compuesta por cuatro componentes:

Nucleo y modulos. Un interfaz en modo texto y cuatro modulos:
- Descubrimiento, para descubrimiento de host de red.Informador, para obtener la información de los host y la red.
- Fuerza bruta, para realizar ataques de fuerza bruta.
- Fuzz, incluye Fuzzers para varios protocolos de red.Exploits, la mayoría para productos Oracle, incluye alguno para Windows.
Un interfaz grafico basado en PyQT.
Krash fuzzer, un fuzzer de paquetes de red.
OpenDis, herramienta a hacer más fácil la busca de vulnerabilidades en binarios.

Más información y descarga de Inguma:
http://inguma.wiki.sourceforge.net/

Wiki de Inguma:
http://inguma.wiki.sourceforge.net/

Crear puntos de restauración en sistemas Linux.

2009-05-07T19:51:00.003+02:00

Utilizando la herramienta TimeVault basado en la filosofía de Time Machine empleada en Mac OS. Esta herramienta realiza imágenes del disco duro cada cierto tiempo, para después poder recuperarlas de una forma fácil, en caso de pérdidas accidentales de datos.

TimeVault monitoriza en segundo plano la actividad de los directorios especificados, obviando ficheros o carpetas excluidos previamente por el usuario. Cada cierto tiempo la herramienta, realizará una imagen y mostrará los archivos que sufrieron cambios.

Además esta herramienta ordena las imágenes por línea de tiempo y nos permite recuperar la información del disco a una fecha anterior de una forma fácil.

Más información y descarga de TimeVault:
https://launchpad.net/timevault

Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing.

2009-05-01T18:53:00.002+02:00

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Para detectar vulnerabilidades en aplicaciones con técnicas de fuzzing podemos utilizar Fusil una biblioteca escrita en Python que sirve para crear programas de funzzing. Fusil se basa en una arquitectura de sistema multi-agente, tiene muchos tipos de pruebas para detectar fallos de programas: testear el código de salida de proceso, el stdout del reloj, el syslog de procesos, duración de sesión, uso de la CPU…

Fusil posee módulos para realizar técnicas de fuzzing de:

Aplicaciones:

fusil-clamav: ClamAV antivirus.
fusil-firefox: Firefox.
fusil-imagemagick: Image Magick.
fusil-mplayer: Mplayer.
fusil-ogg123: Ogg/Vorbis.
fusil-vlc: VLC.

Librerias:

fusil-gettext: Librería Gettext .
fusil-gstreamer: Librería Gstreamer .
fusil-libc-printf: Librería función printf().
fusil-poppler: Librería poppler.

Lenguajes programación:

fusil-php: Aplicaciones en PHP.
fusil-python: Aplicaciones en Python.

Otros:

fusil-wizzard: Comandos de Linux.
fusil-zzuf: Sockets de red.

Más información y descarga de Fusil:
http://fusil.hachoir.org/trac

Auditar la robustez de contraseñas de Oracle 11g.

2009-04-24T00:11:00.001+02:00

Utilizando la herramienta woraauthbf podemos auditar la robustez de las contraseñas utilizadas en Oracle. Esta herramienta además de poder emplear la técnica de fuerza bruta puede descifrar el hash de la contraseña aprovechando una vulnerabilidad en la autentificación de Oracle 11g.

Características principales:

Ataque del hash de la contraseña de Oracle 11g.
Ataque de la autentificación de Oracle 8i sin dlls.
Ataque de la autentificación de Oracle 9i y 10g con las dlls.
Ataque de diccionario.
Ataque incremental de fuerza bruta.
Incluye una lista de contraseñas por defecto en el archivo “default.txt”, para realizar ataques.

Woraauthbf está disponible para sistemas Linux y Windows. Es una herramienta muy útil para determinar la robustez de las contraseñas utilizadas por los usuarios ante ataques de fuerza bruta.

Más información y descarga de Woraauthbf:
http://soonerorlater.hu/index.khtml?article_id=513

Geolocalización de atacante de red Wi-Fi.

2009-04-17T22:23:00.001+02:00

Utilizando la herramienta MoocherHunter un software de seguimiento móvil para la geo-localización en tiempo real de atacantes de redes inalámbricas.

Para utilizar MoocherHunter es preciso emplear una antena direccional y un ordenador portátil para poder seguir la señal y aislarla hasta localizar la fuente exacta.

Esta herramienta se encuentra en el LiveCD OSWA-Assistant que contiene herramientas para la auditoria de redes inalámbricas. MoocherHunter solo soporta los chipset de tarjetas inalámbricas: Prism54G (HARDMAC), Atheros, RTL8187, RT2500, RT2570, IPW2200 y IPW2915.

Más información y video demostración de MoocherHunter:
http://securitystartshere.org/page-training-oswa-moocherhunter.htm

Más información y descarga de LiveCD OSWA-Assistant:
http://securitystartshere.org/page-training-oswa-assistant.htm

Herramienta para auditar la seguridad de Office Communication Server 2007.

2009-04-13T20:16:00.002+02:00

Utilizando la herramienta OAT se pueden realizar auditorías de seguridad de Office Communication Server 2007. OAT es una herramienta de seguridad diseñada para comprobar la robustez de las contraseñas de los usuarios del Office Communication Server 2007. Después de que se comprometa una contraseña, OAT demuestra el potencial de los ataques que se pueden realizar, utilizando usuarios legítimos, si los controles de seguridad apropiados no están configurados.

OAT tiene dos modos de trabajo para realizar auditorías:

Modo interno ideal para auditorias caja blanca.

El modo interno simula ataques de la red interna, donde el atacante tiene acceso sin restricción a los recursos compartidos y a los servidores. OAT explora la red interna preguntando al controlador de dominio por todos los usuarios permitidos de Office Communication Server entonces agrega estos usuarios a la lista del ataque. Los ataques siguientes se pueden realizar a una red interna

Ataque IM Flood a solo un usuario.
Ataque IM Flood a un dominio.
Ataque denegación servicios.

Modo externo ideal para auditorias caja negra.

El modo externo simula el panorama del ataque en el cual un atacante está fuera de la red corporativa. Una vez que el ataque de diccionario contra usuario blanco funciona, OAT actúa como un cliente legítimo de Office Communication Server, interactuando con el servidor. Y utiliza las credenciales del usuario para obtener la lista de los contactos del usuario y aplicaciones, esta información es útil para la fase próxima del ataque. Las pruebas siguientes se pueden realizar desde una red externa.

Conseguir lista de contactos.
Ataque IM Flood de la lista de contactos.
Ataque denegación servicios.

Más información y descarga de OAT:
http://voat.sourceforge.net/

Office Communications Server 2007:
http://office.microsoft.com/es-es/communicationsserver/default.aspx

Herramientas para la detección y desinfección del virus Conficker.

2009-04-03T21:56:00.005+02:00

El virus Conficker es el malware del que más se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagación rápida. Lo más preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lógico que no se produjese debido a su repercusión mediática, lo más lógico sería realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artículo de The Honeynet Project llamado “Know Your Enemy: Containing Conficker”.

Aquí van unas herramientas para su detección y desinfección:

Escáner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escáner:

http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las máquinas infectadas en una red. Inspirado por el " downatool" de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C.

http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe

Explorador de memoria (de la Universidad de Bonn): Es difícil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema.

http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe

Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta:

http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe

Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las máquinas infectadas basada en el código de error para mensajes RPC:

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Vacuna para el virus Conficker A, B, C y D (no siempre funciona):

http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra:

W32/Conficker
W32/Conficker.gen
W32/Conficker.sys
W32/Conficker.worm
W32/Conficker.worm!inf
W32/Conficker.worm!job
W32/Conficker.worm.dr
W32/Conficker.worm.gen.a
W32/Conficker.worm.gen.b
W32/Conficker.worm.gen.c
W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx

Asimismo una de las aplicaciones de escaneo de vulnerabilidades más popular Nessus, cuenta con un plugin (#36036) que está basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infección en una red.

The Honeynet Project “Know Your Enemy: Containing Conficker”:
http://www.honeynet.org/files/KYE-Conficker.pdf

Informe Universidad de Bonn:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Virus zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

Auditar si son sensibles a Spam cuentas de correo de un dominio.

2009-03-25T20:09:00.004+01:00

Para auditar si son sensibles a Spam cuentas de correo de un dominio, podemos utilizar la herramienta theHarvester. Se trata de una herramienta que busca cuentas de usuario y direcciones de correo electrónico, perteneciente a un dominio fijado como blanco, en internet.

theHarvester busca datos usando las siguientes fuentes:

Google.
MSN.
Servidores Pgp.
Linkedin.

Ejemplos de uso:

Buscar cuentas de correo pertenecientes al dominio "prueba.com" en los 500 primeros resultados de google:

./theharvester.py -d prueba.com -l 500 -b google

Buscar cuentas de correo pertenecientes al dominio "prueba.com" en servidores de clave PGP:

./theharvester.py -d prueba.com -b pgp

Buscar en Linkedin 200 nombres de trabajadores una empresa en este caso "prueba":

./theharvester.py -d prueba -l 200 -b linkedin

Herramientas como esta son usadas por los spammers para obtener cuentas de correos o para realizar ataques de ingeniería social. Pero también pueden servirnos para auditar cuantas cuentas de un dominio son sensibles a estas prácticas.

Más información y descarga theHarvester:
http://www.edge-security.com/theHarvester.php

Recomendaciones para evitar el Spam:
http://vtroger.blogspot.com/2006/04/recomendaciones-para-evitar-el-spam.html

Herramienta para auditoria de sistemas de telefonía.

2009-03-20T23:53:00.003+01:00

Se trata de WarVOX una suite de herramientas diseñadas para auditar la seguridad de sistemas telefónicos. WarVOX puede explorar y clasificar los sistemas: VoIP, faxes, módems, buzones de voz, IVR, PBXs y tonos dtmf.

WarVOX es tan potente que en VoIP es capaz de escanear 1000 números por hora. WarVOX también captura el audio de las llamadas y las clasifica por dispositivos.

Esta herramienta va mas allá del típico escáner de VoIP, es una suite completa para auditar sistemas de telefonía. Además permite realizar estadísticas y gráficos muy completos sobre el uso de dispositivos telefónicos en la red. Está disponible para plataformas Linux y especialmente diseñada para Ubuntu 8.10 y BackTrack 4.

Más información y descarga de WarVOX:
http://warvox.org/

Herramientas para detectar Sniffers.

2009-03-10T23:19:00.003+01:00

Los sniffers son grandes amenazas de seguridad en una red y detectarlos a tiempo puede salvarnos de intrusiones de seguridad como las capturas de paquetes con datos de autentificación, usando programas como “Cain & Abel”. Aunque la mejor forma de protegerse ante estas amenazas es utilizar un IDS o cifrar las conexiones, aunque algunas veces no es posible.

Para detectar estas amenazas de una forma rápida, en redes que no utilizan las contramedidas anteriormente citadas, podemos utilizar herramientas que detectan los adaptadores de red que están funcionando en modo promiscuo (modo necesario para el funcionamiento de los sniffers). Herramientas como:

En Linux.

Sniffdet es un sistema de pruebas para la detección remota de los sniffers de red. Usa las técnicas test ICMP, test ARP, test DNS y test de ping de latencia.

Más información y descarga de Sniffdet:
http://sniffdet.sourceforge.net/

El proyecto del Sentinel es una puesta en práctica de las técnicas de detección de modo promiscuo. Necesita las bibliotecas: libpcap y libnet. Utiliza los métodos de: test DNS, test ARP, prueba ICMP Etherping, y ping de latencia.

Más información y descarga de Sentinel:
http://www.packetfactory.net/Projects/sentinel/

En Windows

ProDETECT es un explorador de sniffers, que utiliza una técnica de análisis del paquete ARP.

Más información y descarga de ProDETECT:
http://sourceforge.net/projects/prodetect/

Promgry y PromgryUI son dos herramientas que detectan los adaptadores de red que están funcionando en modo promiscuo, la diferencia entre una y otra es que PromgryUI tiene interfaz grafica y Promgry se ejecuta en consola de comandos.

Más información, descarga y modo de empleo de Promgry y PromgryUI:
http://support.microsoft.com/kb/892853/es

PromiscDetect comprueba si su adaptador de red está funcionando en modo promiscuo, sirve para probar que un sniffers está funcionando en la maquina.

Más información y descarga de PromiscDetect:
http://www.ntsecurity.nu/toolbox/promiscdetect/

Interceptar conversaciones VoIP/UC.

2009-03-04T15:41:00.004+01:00

Interceptar conversaciones VoIP/UC (VoIP y vídeo) gracias a la herramienta UCSniff. Una herramienta diseña para auditar la seguridad de redes VoIP/UC. Escrita en C, y lanzada inicialmente para los sistemas Linux bajo de la licencia GPLv3.

Entre sus características destaca:

Permite descubrir los usuarios de VoIP basados en directorios y extensiones corporativos.
Permite automáticamente registrar conversaciones privadas de Vídeo a través de IP.
Reconstruye automáticamente conversaciones enteras a un solo archivo reproducible.
Soporta los codificadores y decodificador de la compresión de G.722 y G.711.
Soporta el codificador y decodificador de vídeo H.264.
Soporta descubrimiento VLAN.
Posee un Sniffer de UC (VoIP y vídeo) combinado con una herramienta de redireccionamiento usando MitM.

Es una herramienta muy útil para auditar la seguridad en redes VoIP/UC y realizar pruebas de concepto de posibles ataques.

Más información y descarga de UCSniff:
http://sourceforge.net/projects/ucsniff/

Post relacionados con el tema:

Interceptar conversaciones VoIP:
http://vtroger.blogspot.com/2008/06/interceptar-conversaciones-voip.html

Auditar seguridad en dispositivos VoIP basados en SIP:
http://vtroger.blogspot.com/2008/07/auditar-seguridad-en-dispositivos-voip.html

Seguridad en VoIP a través del protocolo ZRTP:
http://vtroger.blogspot.com/2007/10/seguridad-en-voip-travs-del-protocolo.html

Herramienta de test de penetración para VoIP:
http://vtroger.blogspot.com/2007/10/herramienta-de-test-de-penetracin-para.html

Análisis de vulnerabilidades Web a través de buscadores.

2009-02-25T18:45:00.003+01:00

Utilizando la herramienta SEAT (Search Engine Assessment Tool) que permite analizar vulnerabilidades Web a través de buscadores de internet. Su funcionamiento se basa en la búsqueda en buscadores de internet comparando la URL asignada como blanco, con múltiples bases de datos de vulnerabilidades.

Entre sus características destaca:

Soporta los motores de búsqueda: Google, Yahoo, MSN, AltaVista, AllTheWeb, AOL y DMOZ.
Utiliza las bases de datos de vulnerabilidades: GHDB, NIKTO, GSDB, WMAP, URLCHK y NESTEA.
Permite añadir nuevos buscadores y modificar los que posee.

Es una herramienta diseñada para sistemas Linux, ideal para auditorias de seguridad que mejora las técnicas de Google hacking utilizadas por otras herramientas.

Más información y descarga de SEAT:
http://midnightresearch.com/projects/search-engine-assessment-tool/

Documentación de SEAT:
http://midnightresearch.com/common/seat/documentation.pdf

Averiguar si un sitio web es sensible a técnicas de Google Hacking:
http://vtroger.blogspot.com/2008/12/averiguar-si-un-sitio-web-es-sensible.html

Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online.

2009-02-23T17:40:00.002+01:00

Publicado por Observatorio de la Seguridad de la Información de INTECO y a la Agencia Española de Protección de Datos (AEPD). Un interesantísimo y completo estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales.

Metodología del estudio:

Análisis Cualitativo:

35 entrevistas en profundidad responsables jurídicos y tecnológicos de las redes sociales, administraciones, asociaciones, etc.
3 grupos de discusión: juristas, usuarios adultos y menores.

Análisis Cuantitativo:

2.860 encuestas a usuarios habituales de Internet, mayores de 15 años.

Entre los datos del estudio destacaría:

En 2008, en España hay 7.850.000 usuarios de redes sociales, el 44,6% de todos los usuarios españoles de Internet.
Generan muchos contactos: el 17% usuarios tiene más de 100.
El 36,5% de los usuarios tienen entre 15 y 24 años.

Entre las conclusiones del estudio yo personalmente destacaría dos:

“Seguridad: necesidad de estándares de calidad y seguridad”. Para un mejor control de estas redes es necesario implementar estándares internacionales y organismos que los controlen.
“Protección de la intimidad del usuario: acciones de microsegmentación”, sobre todo proteger a los menores de edad ya que como demuestra el estudio puede ser el sector con más riesgo.

“Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online” de INTECO y AEPD:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/est_red_sociales_es

Auditar el impacto de ataques de denegación de servicios y fuerza bruta.

2009-02-19T23:59:00.003+01:00

Los ataques de denegación de servicios y fuerza bruta son los más típicos que puede sufrir un sistema, por eso se debe comprobar si el sistema está preparado para soportarlos y como se comporta ante dichos ataques. En este post tratare sobre dos herramientas: una para reproducir ataques de fuerza bruta y otra para reproducir ataques de denegación de servicios.

Ataque de fuerza bruta:

Para auditar el impacto de ataques de fuerza bruta utilizaremos la herramienta Medusa para reproducir dicho ataque y estudiar el comportamiento del sistema. Medusa es una potente herramienta que realiza múltiples ataques de fuerza bruta de forma paralela a varios servicios. Medusa soporta los siguientes servicios: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere, POP3, PostgreSQL, rexec,rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2, SVN, Telnet, VmAuthd y VNC.

Más información y descarga de Medusa:
http://www.foofus.net/jmk/medusa/medusa.html

Ataque de denegación de servicios:

Para auditar el impacto de ataques de denegación de servicios DoS y denegación de servicios distribuido (DDoS) utilizaremos la herramienta Hyenae para reproducir dicho ataque y estudiar el comportamiento del sistema. Hyenae es un generador de paquetes para realizar ataques DoS e incluye un demonio clusterable para ataques DDoS.

Entre sus características destaca:

Ataques DoS ICMP-Echo (IPv4).
Ataques DoS TCP (IPv4 e IPv6).
Ataques DoS UDP (IPv4 e IPv6).
Detección inteligente de la dirección y del protocolo de la dirección.

Más información y descarga de Hyenae:
http://hyenae.sourceforge.net/

Post relacionados con el tema:

Bloquear IP que realizan ataques de fuerza bruta:
http://vtroger.blogspot.com/2009/01/bloquear-ip-que-realizan-ataques-de.html

“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html

Herramientas para automatización de inyección SQL.

2009-02-11T20:10:00.004+01:00

Ya he escrito de la inyección SQL en otros post, en este post tratare de las cuatro herramientas de automatización de inyección SQL, que yo destacaría. Que son las siguientes:

SQL Power Injection Injector: Su principal baza es la capacidad de automatizar inyecciones SQL pesadas utilizando para ello múltiples procesos.

Principales características:

Disponible para las plataformas: Windows, Unix y Linux.
Soporta SSL.
Realiza la técnica de inyección ciega de SQL. Comparando las respuestas verdaderas y falsas de las páginas o de los resultados de las cookies y los retrardos de tiempo.
Soporta los motores de bases de datos: Microsoft SQL Server, Oracle, MySQL, Sybase/Adaptive y DB2.

Más información y descarga de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/
Tutorial de SQL Power Injection Injector:
http://www.sqlpowerinjector.com/docs/TutorialSPInjv1.1.pdf

SQLMap: Es una aplicación de automatización de inyección ciega de SQL, desarrollada en Python. Es capaz de generar una huella digital activa del sistema de administración de bases de datos.

Principales características:

Al estar escrita en Python es multiplataforma.
El apoyo total para MySQL, Oracle, PostgreSQL y el servidor de Microsoft SQL.
Puede identificar también Microsoft Access, DB2, Informix, Sybase e Interbase.

Más información y descargar SQLMap :
http://sqlmap.sourceforge.net/
Manuales de SQLMap :
http://sqlmap.sourceforge.net/#docs

SQLNinja: Es una herramienta para explotar vulnerabilidades de inyección SQL en aplicaciones web que utilizan Microsoft SQL Server como su motor de base de datos.

Principales características:

Realiza Fingerprint de servidores SQL.
Realiza ataques de fuerza a bruta a la cuenta del “sa”.
Utiliza técnicas de evasión de IDS/IPS/WAF.
Escanea puertos TCP/UDP del servidor SQL que ataca, para encontrar los puertos permitidos por el cortafuegos de la red y utilizarlos para emplear un reverse Shell.

Más información y descargar de SQLNinja:
http://sqlninja.sourceforge.net/
Manuales de SQLNinja:
http://sqlninja.sourceforge.net/sqlninja-howto.html

WITOOL: Una sencilla herramienta de inyección SQL que solo está disponible para plataformas Windows. Esta herramienta solo soporta Ms SQL y Oracle, pero es útil para una primera toma de contacto debido a su sencillez.

Más información y descarga de WITOOL:
http://witool.sourceforge.net

Evitar “SQL injection” con cortafuegos para base de datos.
http://vtroger.blogspot.com/2008/10/evitar-sql-injection-con-cortafuegos.html

Herramienta para firma digital de archivos.

2009-02-06T15:41:00.002+01:00

La firma digital en documentos se utiliza para:

Poder verificar la autoría del archivo (autenticación).
Verificar que el documento no ha sido modificado (integridad).
Adjudicar la autoría innegable del archivo (no repudio).

Para firma digital de archivos podemos utilizar eParapher una herramienta que soporta casi todo tipo de archivos. Esta herramienta firma y convierte el archivo a tres posible estándares: Pdf, PDF/A, CMS y XML

Entre sus características destaca:

Conversión y firma rápida de cualquier archivo de texto, imagen y archivos de Office u OpenOffice.
Permite crear, suprimir, importar y exportar certificados y llaves privadas.
Soporta los archivos de almacenamiento de llaves: PKCS#12, JKS, JCEKS y BKS.
Permite utilizar certificados de Windows y SmartCards.

eParapher está disponible para las plataformas: Windows, MacOSX y Linux.

Más información y descarga de eParapher:
http://maven.eparapher.com/index.html

Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos.

2009-01-30T18:08:00.001+01:00

Publicado por Observatorio de la Seguridad de la Información de INTECO. Se trata de una completa guía con información práctica y recomendaciones para la adaptación de las Entidades Locales a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y a su Reglamento de Desarrollo (RDLOPD).

Esta guía está destinada a:

Los Alcaldes, Concejales, Presidentes y Diputados.
Los Secretarios, Tesoreros e Interventores.
Los coordinadores de protección de datos de Ayuntamientos y mancomunidades, consultores tecnológicos, responsables de informática y asesores jurídicos de la Administración Local.

En esta guía se pueden encontrar los siguientes apartados:

Contexto y destinatarios de la guía.
Marco legal.
Principios básicos de la protección de datos de carácter personal.
Agentes y organismos implicados.
Ficheros incluidos en el ámbito de aplicación de la LOPD.
Fases de implantación de la LOPD.
Fase I: Adaptación a los ficheros.
Fase II: Legitimación de datos de carácter personal.
Fase III: Políticas de seguridad de los datos.
Anexo I Tratamiento de datos habituales por parte de las entidades locales.
Anexo II Glosario.

Descarga de la “Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos”:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Guia_LOPD_EELL

Bloquear IP que realizan ataques de fuerza bruta.

2009-01-28T18:56:00.004+01:00

Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.

En Linux.

Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.

El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:

ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
maxretry: Número máximo de intentos de login.
bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
destemail: Dirección de correo electrónico donde enviara las alertas.

Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.

Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.

Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page

FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish

HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish

En Windows.

Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.

Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/

Herramienta de test de penetración de aplicaciones Web.

2009-01-22T17:49:00.003+01:00

Se trata de w3af “Web Application Attack and Audit Framework”, esta herramienta es un conjunto de plugins agrupados por características. Los plugins se actualizan de forma periódica y están agrupados en la aplicación, en los siguientes apartados:

Auditoria: para auditar la seguridad de la aplicación. En este apartado destacan plugins como: detección SQL injection, detección XSS, detección SSI, detección Buffer Overflow, detección LDAP Injection…
Fuerza bruta: Son plugins para atacar mecanismos de autentificación por fuerza bruta.
Descubrimiento: Descubrir información sobre el sitio como nuevas URLs, usuarios, servidores… Utiliza plugins como: Hmap para http fingerprinting, fingerGoogle busca cuentas de usuario de la aplicación Web en google…
Evasión: Usados para evadir IDS.
Grep: analiza las respuestas del servidor a los plugins buscando: errores, cookies…

La interfaz tiene cuatro pestañas: configuración, log, resultados y exploit. Estas pestañas describen el proceso de test de penetración a una aplicación web. La pestaña de log muestra el proceso del escaneo. Cuando se acaba este proceso podemos ver su resultado en su correspondiente pestaña y si se encuentran vulnerabilidades, atacarlas con los exploit que trae la herramienta.

W3af es multiplataforma, ya que está escrita en python bajo licencia GNU.

Más información y descarga de w2af:
http://w3af.sourceforge.net/