Embed Size (px)
DESCRIPTION
Post blog Guru de la informáticahttp://vtroger.blogspot.com/
Citation preview
August 26th, 2010 Published by: vtroger
1
Post blog Guru de lainformáticaSeguridad SCADA: Firewallpara MODBUS/TCP.By Alvaro Paz on August 26th, 2010
Los cortafuegos efectúan un perímetro lógico de seguridadpara las redes SCADA y son claramente un elementoindispensable para garantizar la seguridad de este entorno.Pero los cortafuegos no cumplen las necesidades de las redesSCADA al no poder manejar los protocolos de comunicación,como es el caso de Modbus . Los cortafuegos y las ACLsactuales pueden filtrar direcciones IP y puertos, tal como TCP502 para Modbus , pero no pueden filtrar contenidos en elprotocolo Modbus que fluyen a través de ese puerto, como elcódigo de función.
Con Modbusfw una extensión para Netfilter es posible dotara este cortafuegos de capacidades para filtrar código defunciones en Modbus/TCP usando políticas (DROP, DENY,ALLOW, etc.). De esta forma es posible: establecer grupos deIP que solo pueden enviar determinados códigos de funcionesModBus , bloquear ciertos códigos de funciones Modbus quellegan a una IP… Esto mejora notablemente el control deacceso en el protocolo Modbus/TCP frente a la mayoría de loscortafuegos en los simplemente puedes controlar el acceso alpuerto TCP 502 (puerto Modbus).
Modbusfw está disponible como extensión para el cortafuegosde Linux Netfilter y también se puede descargar incorporadaen un LiveCD Trinux (minidistribución de GNU/Linux) loque permite levantar de una forma rápida un cortafuegosModbus/TCP .
Más información y descarga de Modbusfw:http://modbusfw.sourceforge.net/
Seguridad SCADA: Fingerprinting de dispositivos quetrabajan sobre MODBUS/TCP:http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html
Seguridad SCADA:Fingerprinting de dispositivosque trabajan sobre MODBUS/TCP.By Alvaro Paz on August 26th, 2010
SCADA viene de las siglas de "Supervisory Control AndData Adquisition", es decir: adquisición de datos y control desupervisión. Se trata de una aplicación software diseñada parafuncionar sobre computadoras en el control de producción,proporcionando comunicación con los dispositivos de campo(controladores autónomos, autómatas programables, etc.)y controlando el proceso de forma automática desde lacomputadora.
El protocolo más utilizado en redes SCADA suele ser Modbus. Un protocolo de comunicaciones de nivel 7 OSI , basado en laarquitectura maestro/esclavo, diseñado en 1979 por Modiconpara su gama de controladores lógicos programables ( PLCs). Modbus es uno de los protocolos más utilizados porque: espúblico, su implementación es fácil y requiere poco desarrolloy además maneja bloques de datos sin suponer restricciones.Este protocolo puede ser empleado sobre RS-232, RS-422,RS-485 o TCP/IP (puerto estándar TCP 502).
Una de las vulnerabilidades de este protocolo, es la posibilidadde hacer fingerprinting a través de su puerto estándarTCP 502. Mediante la función 43 del protocolo puedeaveriguarse el registro de identificación de PLCs y conseguirinformación como: tipo de dispositivo, fabricante, versión yotras informaciones útiles para posteriores ataques.
Con la aplicación ModScan es posible aprovechar estavulnerabilidad y escanear todos los dispositivos de la redSCADA y identificarlos. ModScan es un escáner paraMODBUS/TCP que permite ver los dispositivos que usanel puerto para MODBUS/TCP en la red y averiguar suidentificador.
Más información y descarga de ModScan:
August 26th, 2010 Published by: vtroger
2
http://code.google.com/p/modscan/
Especificaciones técnicas del protocolo Modbus :http://www.modbus.org/specs.php
Servicio online para chequearla seguridad del navegador.By Alvaro Paz on August 26th, 2010
Las vulnerabilidades en los navegadores suelen ser la principalpuerta de entrada de malware, por eso, es conveniente tenersiempre actualizado el navegador. Pero hoy en día esto noes suficiente debido a que el malware también ataca lasvulnerabilidades de los plugins del navegador o utiliza pluginspropios.
Existe un servicio llamado Qualys BrowserCheck que permitechequear la seguridad del navegador, este servicio soporta losnavegadores:
• IE 6.0 y versiones posteriores.
• Firefox 3.0 y posteriores.
• Chrome 4.0 y posteriores.
Es capaz de chequear vulnerabilidades en los siguientesplugins.
• Adobe Flash Player.
• Adobe Reader.
• Adobe Shockwave Player.
• Apple Quicktime.
• BEA JRockit.
• Microsoft Silverlight.
• Microsoft Windows Media Player.
• Real Player.
• Sun Java.
• Windows Presentation Foundation (WPF) plugin paraMozilla.
Qualys BrowserCheck avisa de los plugins que no estánactualizados y pueden ser potencialmente peligrosos.
Web de Qualys BrowserCheck:https://browsercheck.qualys.com/
Herramienta para supervisiónde seguridad de dispositivoCisco.By Alvaro Paz on August 26th, 2010
Se trata de Splunk for Cisco Security una herramientaque proporciona una vista consolidada de los sucesos deseguridad de dispositivos Cisco. Esta herramienta proporcionaaplicaciones de búsqueda y filtrado de logs, aplicacionesde visualización en tiempo real de eventos de seguridad,aplicaciones monitorización de la red… Estos instrumentosse pueden utilizar por separado o juntos para proporcionar aúnico panel de monitorización.
Splunk soporta:
• Cisco CSA.
• Cisco Email Security Appliance (antes Ironport).
• Cisco Web Security Appliance (antes Ironport).
• Cisco ASA (firewall y IPS).
Entre sus características destaca:
• Proporciona monitorización de seguridad con tablerosde instrumentos predefinidos, búsquedas, informes yalarmas; para todos los dispositivos Cisco soportados.
• Permite realizar análisis forenses con las definiciones decampo, para hacer investigaciones ad hoc.
• Permite al usuario ver amenazas de seguridad en tiemporeal gracias a los registros del firewall y IPS.
• Muestra las vulnerabilidades que se van descubriendo yque afectan a los dispositivos de la red.
Más información y descarga de Splunk for Cisco Security:http://www.splunkbase.com/apps/All/4.x/App/app:Splunk+for+Cisco+Security
Herramienta para explorar yeliminar BHO malévolos deInternet Explorer.By Alvaro Paz on August 26th, 2010
Se trata de SpyBHORemover una herramienta para explorary eliminar BHO malévolos de Internet Explorer. Los BHO(Browser Helper Object) son plugins de Internet Explorer,archivos DLL que amplían las funcionalidades del navegador.Esta característica está siendo empleada por software espía,para supervisar los hábitos de navegación del usuario y pararobar sus credenciales.
August 26th, 2010 Published by: vtroger
3
SpyBHORemover ayuda en la identificación y la eliminaciónrápida de malware que se aloja como BHO. Para esta laborutiliza análisis heurístico y análisis online utilizando serviciosde internet designados a la detección de malware.
Entre sus características destaca:
• Posee opciones de respaldo permite al usuario quitar yreinstalar BHO todas la veces que quiera.
• Verificación en línea de el BHO malévolo usando:VirusTotal, ThreatExpert y ProcessLibrary .
• Exhibe la información detallada para cada BHOinstalado: nombre de clase de BHO, información delanálisis, compañía, nombre de producto, fecha deinstalación, CLSID del BHO y trayectoria del archivo deBHO.
SpyBHORemover es una herramienta portable independienteque no requiere ninguna instalación. Trabaja en la Windowsplataformas a partir de Windows Xp al último sistemaoperativo, Windows 7.
Más información y descarga de SpyBHORemover:http://www.securityxploded.com/bhoremover.php
Monitorizar seguridad depáginas Web.By Alvaro Paz on August 26th, 2010
Con la herramienta NSIA es posible monitorizar la seguridadde páginas Web. Es posible detectar los riesgos de seguridadmás corrientes que se pueden encontrar en páginas Web.
No precisa de la instalación de un componente en el servidorya que su funcionamiento se basa en un motor de búsquedasque hace barridos de búsqueda en la página Web y al detectarcambios los analiza.
Con NSIA es posible detectar los siguientes fallos de seguridad:
• Detecta los cambios producidos en caso de unDefacements.
• Detecta si se cumplen las condiciones de privacidad deinformación de los usuarios. Como por ejemplo archivosde usuarios y contraseñas accesibles desde el exterior.
• Detecta si la página tiene exploits que infectan a losvisitantes. En caso de que un atacante colocara un exploiten la página con NSIA es posible detectarlo.
• Analiza si la página Web reporta información delicadasobre la estructura del sistema en sus mensajes de error.
• Permite configurar acciones cuando detecta un cambioen la pagina Web, por ejemplo el envío de un mensaje detexto (IM, email, SMS) o la ejecución de una acción deescritura en la página Web.
Más información y descarga de NSIA:http://threatfactor.com/Products/NSIA
Monitorización de integridadde ficheros en Linux en tiemporeal.By Alvaro Paz on August 26th, 2010
Con iWatch una herramienta de monitorización de integridadde ficheros en tiempo real, para sistemas Linux. iWatch sepuede ejecutar en dos modos:
• Modo del demonio, donde iWatch se ejecuta comodemonio del sistema y supervisa los blancos marcados enel archivo configuración xml.
• Modo comando, especificando todos los parámetros:blanco a monitorizar, dirección de correo a la que enviarinforme, excepciones….
Características destacadas de iWatch:
• Envía alertas de cambios al correo electrónico y permiteconfigurar varios correos electrónicos por cada blanco amonitorizar.
• Permite usar excepciones de forma que si no se quieresupervisar un archivo concreto dentro de un directorioblanco se puede excluir.
• Permite configurar acciones a realizar cuando se detectauna modificación en el blanco que supervisa. Porejemplo: configurar iWatch para que si se modifica unarchivo restablecer una copia original del archivo.
• Permite configurar que aspectos se quieren monitorizar:cambios en atributos, modificaciones, apertura defichero, cierre, si fue movido…
Esta herramienta puede ser muy útil para monitorizararchivos sensibles o directorio, frente cualquier cambio. Comopor ejemplo monitorizar de los archivos /etc/passwd o /etc/shadow, el directorio /bin o supervisar el directorio de raíz deun sitio web, contra cualquier cambio indeseado.
Más información y descarga de iWacth:http://iwatch.sourceforge.net/index.html
August 26th, 2010 Published by: vtroger
4
Auditar seguridad en el códigode aplicaciones.By Alvaro Paz on August 26th, 2010
Con la herramienta RATS es posible auditar la seguridad delcódigo de aplicaciones escritas en: C, C++, Perl, PHP y Python.
RATS analiza el código y al finalizar muestra una lista conlos potenciales problemas de seguridad, una descripción delproblema y una posible solución para fortificar la aplicación.También proporciona un gravamen relativo de la severidadpotencial de cada problema, para ayudar al auditor deseguridad a priorizar los fallos de seguridad.
Uso:
Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]
Opciones explicadas:
- d especifica una base de datos de vulnerabilidades externapara cargar. Rats contiene una base de datos interna pero coneste parámetro se pueden pasar otras bases de datos.
- h exhibe un breve resumen sobre el uso de rats.
- i muestra una lista de llamadas de función a las que se lepasaron archivos externos. Esta lista aparece al final de la listade vulnerabilidades.
- l fuerza el lenguaje que se utilizará sin importar la extensiónde nombre de fichero. Los nombres válidos del lenguaje sonactualmente “c”, “Perl”, “PHP” y “pitón”.
- r aplica referencias a las llamadas de función vulnerables queno se están utilizando.
- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.
- x no carga la bases de datos de vulnerabilidades que tienepor defecto.
Rats está disponible tanto para la plataforma Windows comoLinux bajo licencia GNU. Es una herramienta muy útil paralimpiar errores de código y fallos de seguridad, aunque debeusarse como complemento de una buena inspección manual.
Más información y descarga de Rats:http://www.fortify.com/security-resources/rats.jsp
Herramienta de análisis demalware.By Alvaro Paz on August 26th, 2010
Se trata de Zero Wine una herramienta bajo licencia GLP v2para analizar dinámicamente el comportamiento del malware.Esta herramienta basa su funcionamiento en cargar elmalware con Wine en una jaula virtual y recoge la informaciónsobre los APIs llamados por el malware. La salida generadapor Wine (usando la variable de entorno de eliminación deerrores WINEDEBUG) pertenece a las llamadas de las APIusadas por el malware. Con esta información, se analiza elcomportamiento del malware.
Se distribuye el Zero Wine en una imagen de la máquina virtualQEMU con un sistema operativo Debian instalado. La imagencontiene software para cargar y para analizar el malware y paragenerar los informes basados en la información recopilada(este software se almacena en /home/malware/zerowine).Para correr Zero Wine se utiliza un script que carga lamaquina virtual y lanza un servicio web en el puerto 8000en dicha maquina. Para enviar archivos a analizar se utilizala aplicación web que corre en el servidor web de la maquinavirtual.
Existe una versión mejorada de este proyecto se llama ZeroWine Tryouts basado en el mismo motor pero con mejoras enel comportamiento y más opciones.Es una excelente herramienta para analizar malware ya quenos permite ver todas las acciones que ejecuta el malware enel sistema.
Más información y descarga de Zero Wine:http://zerowine.sourceforge.net/
Más información y descarga de Zero Wine Tryouts:http://zerowine-tryout.sourceforge.net/
Herramienta para simularmensajes y escenarios de SIP.By Alvaro Paz on August 26th, 2010
Se trata de SIP Inspector una herramienta escrita en JAVAque permite simular mensajes y escenarios de SIP. Con estaherramienta es posible crear y monitorizar mensajes de SIP yde esta forma crear escenarios personalizados de señalizaciónSIP.
Entre sus características destaca:
August 26th, 2010 Published by: vtroger
5
• Permite realizar llamadas simultáneas.
• La generación de llamadas puede ser fijada en llamadaspor segundo.
• Permite lanzar flujos RPT de un archivo de captura pcap.
• Puede soportar múltiples flujos de RTP al mismo tiempo.
Es una herramienta ideal para auditarla seguridad de VOIPy con grandes aplicaciones para los que quieran conocermás sobre el protocolo de señalización SIP, gracias a laincorporación de esquemas para los casos de UAC y de UAS.
Más información y descarga de SIP Inspector:http://sites.google.com/site/sipinspectorsite/
Tutorial de SIP Inspector:http://sites.google.com/site/sipinspectorsite/tutorial
Herramienta para chequearlas reglas de cortafuegos.By Alvaro Paz on August 26th, 2010
Con la herramienta Flint es posible chequear reglas decortafuegos. Esta herramienta nos permite optimizar laseguridad de una red local que posee varios cortafuegos.
Flint permite subsanar los errores de seguridad que secometen a la hora de configurarlos, que suelen ser:
• Permitir servicios inseguros que pueden comprometer laseguridad de la red.
• No controlar bien los equipos que forman parte de laDMZ.
• Exponer los puertos de gerencia de los cortafuegos aredes inseguras.
• Utilizar reglas redundantes en los cortafuegos, estocomplica la configuración y ralentiza el dispositivo.
Entre las características de Flint destaca:
• Permite limpiar las configuraciones en caso de reglasredundantes o erróneas.
• Avisa de las reglas que son demasiado permisivas.
• Permite evaluar futuras reglas que se quieranimplementar para que no causen conflicto.
Flint soporta los cortafuegos:
• Cisco Pix/ASA.
• IPTables.
• Pf.
Flint es una herramienta que solo está disponible para laplataforma Linux. Es ideal para chequear la configuración decortafuegos en una red, también sirve para comprender lasconfiguraciones de los cortafuegos.
Más información y descarga de Flint:http://runplaybook.com/p/11#
Herramienta para firmadigital de documentos conDNI electrónico o certificadodigital.By Alvaro Paz on August 26th, 2010
Con la herramienta XolidoSign se puede realizar firmasdigitales en documentos con DNI electrónico o con uncertificado digital. La firma digital en documentos se utilizapara:
• Poder verificar la autoría del archivo (autenticación).
• Verificar que el documento no ha sido modificado(integridad).
• Adjudicar la autoría innegable del archivo (no repudio).
Entre las características de XolidoSign destaca:
• Soporta muchos tipos de certificado digital.
• Permite firmar cualquier documento o archivo sin límitede tamaño: PDF, Excel, Word, Powerpoint, archivos txt,html, php, bases de datos, imágenes, diseños vectoriales,archivos 3D, vídeos, planos, música...
• Soporta firma PDF integrada o externa. Permite hacervisible o invisible el campo de firma en el propiodocumento PDF.
• Permite la firma de múltiples documentos y archivos deuna sola vez. Robusto y sencillo.
• Comprueba la validez del certificado electrónico y elestado de revocación con la entidad emisora.
August 26th, 2010 Published by: vtroger
6
• Puede firmar con sello de tiempo integrado o realizarsello temporal independiente de los documentos oarchivos.
• Añadiendo el sellado temporal al documento, archivo ofirma, se puede garantizar su existencia en un momentodeterminado. XolidoSign permite utilizar cualquierservidor de sellado de tiempo.
Es una herramienta gratuita disponible solo bajo la plataformaWindows.
Más información o descarga:http://www.xolido.com/lang/productosyservicios/firmaelectronicayselladodetiempo/xolidosign/?idboletin=1922&idseccion=10749
Herramienta para testeoautomático de IDS.By Alvaro Paz on August 26th, 2010
WinAUTOPWN es una herramienta automatizada para eldescubrimiento de vulnerabilidades, ideal para realizar untesteo rápido de un IDS. Esta herramienta no se desarrollocon el propósito de competir contra otras aplicacionessimilares como: Core Impact, Inmunity Canvas o MetasploitFramework. Lo que se pretende en WinAUTOPWN estener una herramienta sencilla pero muy eficaz para laautomatización de descubrimiento de vulnerabilidades yaprovechamiento mediante exploits.
Entre sus principales característica destaca:
• Contiene exploits compilados (binarios y ejecutables) delas vulnerabilidades más conocidas.
• Escanea puertos 1 al 65535 TCP después de reconocer laIP, ejecuta los exlpoits de acuerdo a la lista de puertosabiertos “Openports.TXT”.
• Realiza escaneo de puertos multihilo.
• No requiere ninguna base de datos en el back-end.
• La ejecución de exploits no se basa en técnicas deFingerprinting, se realiza de forma independiente.
• No se necesita compilar el código fuente.
Es una herramienta para Windows ideal para realizar un testeorápido de un IDS, debido a su eficacia y facilidad de uso.
Esta herramienta al poseer exploits puede ser detectada poralgunos antivirus como infectada, es normal ya que posee elcódigo de muchos exploits conocidos.
Más información de WinAUTOPWN:http://winautopwn.co.nr/
Descarga de WinAUTOPWN:http://089dc64a.seriousfiles.com/
Herramienta para identificarversiones de servicios de red.By Alvaro Paz on August 26th, 2010
Se trata de Vmap una herramienta disponible solo para Linux,que permite identificar versiones de servicios de red. Vmapidentifica las versiones de los siguientes servicios: ftp, smtp,pop3, imap y http.
Su método de funcionamiento se basa en analizar lasrespuestas de los diferentes servicios y compararlas con subase de datos para identificar la versión del servicio.
Es una herramienta, muy útil para auditorias ya queidentificando las versiones de los servicios se puede buscar lasvulnerabilidades de los mismos.
Descarga de Vmap:http://freeworld.thc.org/root/tools/vmap.tar.gz
Auditar la seguridad enplataformas de virtualización.By Alvaro Paz on August 26th, 2010
La virtualización de sistemas se utiliza cada vez más debido asus grandes ventajas: reducción de los costes, administracióncentralizada, integración de arquitecturas… y finalmentenuevos recursos en materia de seguridad.
Pero también entraña nuevas amenazas de seguridad comoson las vulnerabilidades de plataformas de virtualización. ConVASTO es posible auditar la seguridad de plataformas devirtualización.
Vasto es un conjunto de herramientas que permitenexplotar vulnerabilidades de las principales infraestructurasde virtualización: VMware y Citrix XenCenter. VASTO estáformado por componentes de Metasploit.
Más información y descarga de VASTO:http://blog.nibblesec.org/search/label/tool
August 26th, 2010 Published by: vtroger
7
Auditar seguridad de SSL.By Alvaro Paz on August 26th, 2010
Existen dos herramientas muy completas para auditar laseguridad de SSL: SSLScan y SSL Audit.
SSLScan.
Sirve para comprobar el tipo de cifrado SSL que utilizaun servicio. Es una herramienta para Linux que necesita elcompilador GNU para C y la libreria OpenSSL.
Modo de empleo:
Comando:
sslscan [opciones] [host: puerto]
Opciones:
--targets=Sirve para pasarle un archivo que contiene una lista de hostpara chequear. Los host se pueden suministrar con puertospuertos (es decir host: puerto).
--no-failedNo muestra los tipos de cifrado que no acepta el host.
--ssl2Comprueba solamente el cifrado SSLv2.
--ssl3Comprueba solamente el cifrado SSLv3.
--tls1Comprueba solamente el cifrado TLSv1.
--pk=Sirve para pasarle un archivo PKCS#12.
--pkpass=La contraseña para PKCS#12.
--certs=Pasarle un archivo que contiene PEM/ASN1.
--starttlsIntroducir un STARTTLS para servicios smtp.
--HTTPPrueba una conexión del HTTP.
-- bugsBuscar bugs en SLL.
--xml=Mostrar resultados de la salida en archivo de XML.
Más información y descarga de SSLScan:https://www.titania.co.uk/index.php?option=com_content&view=article&id=56&Itemid=68
SSL Audit.
Es otra herramienta para comprobar el tipo de cifrado SSL.Que incorpora posibilidades de Fingerprint para identificar elmotor SLL del servidor, esta última opción es experimental ysegún el autor reporta falsos positivos.
Identifica:
• IIS7.5 (Schannel).• IIS7.0 (Schannel).• IIS 6.0 (Schannel).• Apache (Openssl).• Apache (NSS).• Certicom.• RSA BSAFE.
Documentación de SSL Audit:http://www.g-sec.lu/sslaudit/documentation.pdfDescarga de SSL Audit:http://www.g-sec.lu/sslaudit/sslaudit.zip
Sistema centralizadopara la detección,protección y seguimientode vulnerabilidades enaplicaciones Web.By Alvaro Paz on August 26th, 2010
Vulnerability Manager de Denim Group es un sistemacentralizado para la detección, protección y seguimiento devulnerabilidades en aplicaciones Web. Pero con unas calidadesque lo convierten en una potente protección a ataques basadosen aprovechamiento de vulnerabilidades, gracias a sus modulode protección real y su interacción con los cortafuegos y IDS.
Características de VM:
August 26th, 2010 Published by: vtroger
8
• Permite administrar varias aplicaciones Web de unaforma organizada.
• Puede utilizar una gran variedad de herramientaspara detectar vulnerabilidades. Soporta las comerciales:IBM AppScan, Fortify SCA/360, Checkmarx, MicrosoftCAT.NET, IBM Rational AppScan, WhiteHat Sentinel yMavituna Netsparker. Y las gratuitas: OWASP Orizon yFindBugs.
• Protección en tiempo real que se apoya en IDSy cortafuegos para evitar el aprovechamiento devulnerabilidades. Los IDS basan su protección contraataques en firmas, es normal que no existen firmaspara vulnerabilidades de aplicaciones Web hechas amedida, para mejorar la protección VM detecta lasvulnerabilidades e interactúa con el IDS y cortafuegospara proteger la aplicación Web. VM soporta: Snort,OWASP ESAPI WAF y mod_security.
• Recoge toda la información de IDS y cortafuegos, enel caso de un ataque a una vulnerabilidad para poderrealizar un seguimiento completo.
• Puede realizar seguimiento y detección de errores enaplicaciones Web gracias a su integración con: Bugzilla,Microsoft Team Foundation Server (TFS) y JIRA.
• Evalua la madurez de las técnicas empleadas enla seguridad de las aplicaciones web, usando comomodelos: BSI-MM, OWASP (OpenSAMM) y SAMM.
Más información y descarga:http://vulnerabilitymanager.denimgroup.com/
Herramienta de identificaciónde aplicaciones Web.By Alvaro Paz on August 26th, 2010
Es posible identificar aplicaciones Web como: WordPress,serendipity, phpmyadmin… con la herramienta WAFP ( WebApplication Finger Printer ).
WAFP utiliza para identificar una aplicación Web, una basede datos con las sumas de comprobación MD5 de los archivosde las aplicaciones y las compara con el sitio Web a investigar.
WAFP funciona en la plataforma Linux y necesitas de lossiguientes paquetes para ejecutarse:
• Ruby 1.8.
• Sqlite3 3.
• Sqlite3-ruby 1.2.4.
La base de base de datos se actualiza online y además permiteañadir sumas de comprobación MD5 de aplicaciones a la basede datos de una forma sencilla.
Es una herramienta muy práctica para obtener información deun sitio web en una auditoria o en un test de penetración.
Más información y descarga de WAFP:http://mytty.org/wafp/
Herramienta para analizarpáginas Web con códigomalicioso.By Alvaro Paz on August 26th, 2010
FileInsight es una herramienta gratuita de McAfee ideal paraanalizar páginas con código malicioso.
Entres sus características destaca:
• Permite analizar e importar estructuras en C y C++.
• Decodifica códigos en IA-32.
• Decodifica scripts en JavaScript.
• Contiene plugins de análisis automatizado y un pluginpara enviar el fichero a Virustotal para un análisiscompleto.
Es una herramienta ideal para investigar páginas con códigomalicioso, tanto para un análisis forense como para unaauditoria. FileInsight solo está disponible para la plataformaWindows.
Descarga de FileInsight:http://www.webwasher.de/download/fileinsight/
Tutorial de uso de FileInsight:http://www.webwasher.de/download/fileinsight/tutorial.html
August 26th, 2010 Published by: vtroger
9
Herramienta de Bing Hacking.By Alvaro Paz on August 26th, 2010
En anteriores post he escrito sobre herramientas de GoogleHacking , en este post voy a hablar de Binging una herramientapara técnicas de Bing Hacking. Bing (anteriormente LiveSearch, Windows Live Search y MSN Search) es un buscadorweb de Microsoft, que podemos utilizar igual que Google paradescubrimiento de vulnerabilidades y buscar información enuna auditoria.
Entre los usos de Binging destaca:
• Enumeración de host de un dominio.
• Busca directorios y archivos sensibles en el sitio web.
• Búsqueda inversa DNS.
• Monitorización de un sitio Web, a través de resultadosdel buscador.
• Posibilidades de filtrar resultados y almacenarlos.
Binging solo funciona en plataformas Windows y para sufuncionamiento es necesario regístrate en Windows Live ID.Después editar el fichero “Binging.exe.config” y modificar lalínea:
add name="AppId" connectionString=""
Poniendo el ID entre comillas.
Descarga de Binging:http://www.blueinfy.com/Binging.zip
Documentación de Binging:http://www.slideshare.net/blueinfy/binging-footprinting-discovery-1913746?src=embed
Análisis de vulnerabilidades Web a través de buscadores:http://vtroger.blogspot.com/2009/02/analisis-de-vulnerabilidades-web-traves.html
Averiguar si un sitio web es sensible a técnicas de GoogleHacking:http://vtroger.blogspot.com/2008/12/averiguar-si-un-sitio-web-es-sensible.html
Proteger servidor Linux contraataques de fuerza bruta ydenegación de servicios.By Alvaro Paz on August 26th, 2010
Con tres herramientas: BFD, APF y DDoS Deflate es posiblemitigar ataques de fuerza bruta y denegación de servicios enservidores Linux.
APF.
Es un cortafuegos basado en iptables (netfilter) fácil de instalary configurar, pero lo que lo hace indispensable es que escompatible con BFD y DDoS Deflate.
Configuración básica:
Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que leindica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on definedinterface will be# subject to all firewall rules. This should be your internetexposed# interfaces. Only one interface is accepted for each value.# NOTE: The interfacing structure is being worked towardssupport of MASQ/NATIFACE_IN="eth0"IFACE_OUT="eth0"
Después es posible configurar los interfaces de red para quelos ignore.
# Trusted Network interface(s); all traffic on definedinterface(s) will by-pass# ALL firewall rules, format is white space or commaseperated list.IFACE_TRUSTED="eth1"
Luego puertos TCP de entrada permitidos.
# Common ingress (inbound) TCP portsIG_TCP_CPORTS="80, 110,443"
Puertos UDP de entrada permitidos.
# Common ingress (inbound) UDP portsIG_UDP_CPORTS=" 110"
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP portsEG_TCP_CPORTS="80, 110,443"
August 26th, 2010 Published by: vtroger
10
Puertos UDP de salida permitidos.
# Common egress (outbound) UDP portsEG_UDP_CPORTS=" 110"
Entradas ICMP permitidas:
# Common ICMP (inbound) types# 'internals/icmp.types' for type definition; 'all' is wildcardfor anyIG_ICMP_TYPES="3,5,11"
Existen dos ficheros importantes para denegar el acceso“/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos,hosts…
Más información y descarga de APF:http://www.rfxn.com/projects/advanced-policy-firewall/
BFD.
Es un script diseñado para monitorizar los logs de serviciosque corren en el servidor: ssh, apache, ftp… en busca de falloscontinuos de autentificación o excesos de conexión por partede una IP. Una vez detectado una anomalía BFD activa APFpara bloquear la IP atacante.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en“/usr/local/bfd/conf.bfd”. Lo primero que se configura es elTRIGGER, que es el número de intentos de conexión fallidosque permite BFD antes de actuar.
TRIG=10
Después configurar el envió de notificaciones por email paracada evento de BFD. Poniendo el valor 1 para activar y 0 paradesactivar.
Si queremos que BFD ignore alguna IP a la hora de bloquerintentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.
Más información y descarga de BFD:http://www.rfxn.com/projects/brute-force-detection/
DDoS Deflate.
Se trata de un script que monitoriza las conexiones al servidora través de Netstat y bloquea con APF aquellas que realizan unataque de negación de servicios.
Configuración básica:
Una vez instalado su fichero de configuración se encuentra en“/usr/local/ddos/ddos.conf”. La primera configuración es lafrecuencia de ejecución en minutos.
FREQ=1
Después número de conexiones máximas permitidas antes deproceder a bloquear IP:
NO_OF_CONNECTIONS=160
Luego configuración para uso de APF para bloquear IP. Si sepone 0 usaría iptables.
APF_BAN=1
Tiempo en minutos, en el que la IP atacante será bloqueada:
BAN_PERIOD=500
Dirección de email a la que notificar cuando actúa DDoSDeflate.
EMAIL_TO=” [email protected]”
Más información y descarga de DDoS Deflate:http://deflate.medialayer.com/
Auditar el impacto de ataques de denegación de servicios yfuerza bruta:http://vtroger.blogspot.com/2009/02/auditar-el-impacto-de-ataques-de.html
Auditar de una forma rápida laseguridad de la configuraciónde distribuciones Linux.By Alvaro Paz on August 26th, 2010
Con la herramienta Yasat podemos auditar de una formarápida la seguridad de la configuración de distribucionesLinux. Es una herramienta muy potente y tremendamenteeficaz.
Puede auditar configuraciones de las distribuciones:
• Gentoo.
• Debian.
• Ubuntu.
• FreeBSD.
• OpenBSD.
Yasat chequea la configuración en busca de fallos de seguridaden:
• Configuración del Kernel.
• Configuración de red.
August 26th, 2010 Published by: vtroger
11
• Actualización de paquetes.
• Cuentas de usuario.
• Apache.
• Bind DNS.
• PHP.
• Mysql.
• Openvpn.
• Snmpd.
• Tomcat.
• Vsftpd.
• Xinetd.
Yasat es una herramienta ideal para los que dan sus primerospasos en Linux y quieren implementar sistemas seguros. Perotambién es útil para usuarios avanzados, porque siempre sepuede escapar algún detalle y con un método de chequeo tanrápido vale la pena utilizarlo.
Más información de Yasat y descarga:http://yasat.sourceforge.net/
Auditar la seguridad de laconfiguración del balanceo decarga de servidores Web.By Alvaro Paz on August 26th, 2010
Para poder hacer frente al tráfico Web muchas veces losadministradores de servidores Web tienen que implementarbalanceadores de carga. Los balanceadores de carga ocultanmuchos servidores web verdaderos detrás de una IP virtual.Reciben peticiones HTTP y las dirigen a los servidores webpara compartir el tráfico entre ellos.
Con la herramienta Halberd permite descubrir los servidoresque se encuentras detrás del balanceador de carga y auditar laseguridad de la configuración.
El modo de funcionamiento de Halberd se divide en tresetapas:
• Inicialmente, envía peticiones múltiples al servidor Weba auditar y registra sus respuestas. Esto se denomina fasede muestreo.
• Después, el programa procesa las contestaciones y buscamuestras del equilibrio de carga. Esto se llama la fase deanálisis.
• Finalmente, la Halberd escribe un informe de susresultados.
Halberd utiliza las siguientes técnicas:
Comparación de la fecha . Las respuestas HTTP revelan el relojinterno del servidor Web que las produce. Si aparecen variosresultados con tiempos de reloj diferente, Halberd identificanúmero de servidores verdaderos. Este método funciona si losservidores Web no están sincronizados con un NTP.
Diferencia de nombres de campo de las cabeceras del MIME.Las diferencias en los campos que aparecen en respuestasdel servidor pueden permitir que la Halberd identifique losservidores.
Generación de altas cantidades de tráfico. Bajo ciertasconfiguraciones, los balanceadores de la carga comienzan adistribuir tráfico, solamente después de que se alcance ciertoumbral. Esta herramienta intenta generar un volumen detráfico importante para accionar esta condición y alcanzartantos servidores verdaderos como sea posible.
Usando diversas URL. Un balanceador de carga se puedeconfigurar para redirigir el tráfico a distintos servidores segúnla URL a la que se acceda. Esta herramienta utiliza unaaraña para navegar por las diferentes URL para diferenciar losdistintos servidores que contestan.
Detección de cache del servidor . Detecta si los servidores webutilizan cache para acelerar las peticiones con programas tipoSquid.
Obtención de IP públicas . A veces las cookies o los camposespeciales del MIME en respuestas del servidor pueden revelardirecciones IP públicas de los servidores web. En estoscasos se puede puentear el balanceador de carga y accederdirectamente al servidor web.
Más información y descarga de Halberd:http://halberd.superadditive.com/
Manual de Halberd:http://halberd.superadditive.com/doc/manual/
“Stress test” a servicios de red:http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html
