lunes, 30 de agosto de 2010

Auditar seguridad en distribuciones Linux











Es muy fácil con la herramienta Lynis diseñada para sistemas basados en UNIX. Con Lynis podemos detectar errores de configuración que pueden ser aprovechados para atacar nuestro sistema, también detecta vulnerabilidades en software, permisos…

Con esta herramienta podemos auditar las distribuciones:

CentOS 5.
Debian 4.0.
Fedora Core 4 y superiores.
FreeBSD 6.x, 7.0.
Mac OS X 10.x (Tiger, Leopard).
OpenBSD 4.2, 4.3.
OpenSolaris.
OpenSuSE.
Red Hat, RHEL 5.x.
Slackware 12.1.
Ubuntu 7.04, 7.10, 8.04.

Es una herramienta muy recomendable para administradores de sistema, para ayudar a corregir errores de configuración en implementaciones, que puede producir fallos de seguridad o disminuir el rendimiento del sistema. Es muy importante aclarar que Lynis no corrige las vulnerabilidades, informa de ellas y muestra información de cómo solucionarlas.

Más información y descarga de Lynis:

http://www.rootkit.nl/projects/lynis.html

Documentación de Lynis:

http://www.rootkit.nl/files/lynis-documentation.html

Saludos.

0 comentarios

Herramienta para explorar y eliminar BHO malévolos de Internet Explorer



Se trata de SpyBHORemover una herramienta para explorar y eliminar BHO malévolos de Internet Explorer. Los BHO (Browser Helper Object) son plugins de Internet Explorer, archivos DLL que amplían las funcionalidades del navegador. Esta característica está siendo empleada por software espía, para supervisar los hábitos de navegación del usuario y para robar sus credenciales.

SpyBHORemover ayuda en la identificación y la eliminación rápida de malware que se aloja como BHO. Para esta labor utiliza análisis heurístico y análisis online utilizando servicios de internet designados a la detección de malware.

Entre sus características destaca:



Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera.
Verificación en línea de el BHO malévolo usando: VirusTotal, ThreatExpert y ProcessLibrary .
Exhibe la información detallada para cada BHO instalado: nombre de clase de BHO, información del análisis, compañía, nombre de producto, fecha de instalación, CLSID del BHO y trayectoria del archivo de BHO.


SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalación. Trabaja en la Windows plataformas a partir de Windows Xp al último sistema operativo, Windows 7.

Más información y descarga de SpyBHORemover:

http://www.securityxploded.com/bhoremover.php

Saludos.
0 comentarios

Auditar seguridad de SSL


Existen dos herramientas muy completas para auditar la seguridad de SSL: SSLScan y SSL Audit.

SSLScan.

Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

Modo de empleo:

Comando:

sslscan [opciones] [host: puerto]

Opciones:

--targets=
Sirve para pasarle un archivo que contiene una lista de host para chequear. Los host se pueden suministrar con puertos puertos (es decir host: puerto).

--no-failed
No muestra los tipos de cifrado que no acepta el host.

--ssl2
Comprueba solamente el cifrado SSLv2.

--ssl3
Comprueba solamente el cifrado SSLv3.

--tls1
Comprueba solamente el cifrado TLSv1.

--pk=
Sirve para pasarle un archivo PKCS#12.

--pkpass=
La contraseña para PKCS#12.

--certs=
Pasarle un archivo que contiene PEM/ASN1.

--starttls
Introducir un STARTTLS para servicios smtp.

--HTTP
Prueba una conexión del HTTP.

-- bugs
Buscar bugs en SLL.

--xml=
Mostrar resultados de la salida en archivo de XML.


Más información y descarga de SSLScan:




Saludos.
0 comentarios

Recuperar correos electrónicos borrados en Outlook.



Los correos electrónicos que eliminamos de la bandeja de elementos eliminados se pueden recuperar, debido a que Microsoft Outlook no borra la información definitivamente en el fichero de almacenamiento de buzones (*.PST), solo hace una marca, para que no aparezcan. Para recuperar estés correos usamos una herramienta que viene oculta en Outlook, para repara archivos PST dañados, la Herramienta de Reparación de la Bandeja de Entrada, su ejecutable es SCANPST.EXE y se encuentra en la ruta:

Versiones posteriores a Office 2007:

C:\Archivos de programa\Archivos comunes\System\MSMAPI\3082

En Office 2007:

C:\Archivos de programa\Microsoft Office\Office12

Pero esta herramienta solo funciona con PST dañados, para poder usarla para recuperar correos debemos dañar nuestro PST sin tocar los correos, solo modificando la cabecera. Para dañar el archivo PST lo modificamos con un editor hexadecimal y cambiamos el primer byte introduciendo cualquier valor (para mayor seguridad podemos hacer una copia del PST). El archivo PST se encuentra en todas las versiones de Outlook en:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Microsoft\Outlook

Una vez dañado el PST podemos usar la Herramienta de Reparación de la Bandeja de Entrada, esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecerán todos los correos incluso los borrados definitivamente.

Esta técnica se puede usar también para Outlook Express. Outlook Express usa archivos DBX para almacenar correos en vez de PST y están almacenados en la ruta:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Identities\
{BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Microsoft\Outlook Express

Siguiendo el mismo proceso para corromper PST, corrompemos los DBX y después utilizamos la herramienta DBX Backup para recuperar los correos electrónicos.
No se pueden recuperar todos los archivos borrados solo los más recientes ya que Outlook cada cierto limpia sus PST, de todas formas estas técnica es muy eficaz.

Descarga de herramienta DBX Backup:




Saludos.
0 comentarios

Servicio online para ver la seguridad del navegador



Las vulnerabilidades en los navegadores suelen ser la principal puerta de entrada de malware, por eso, es conveniente tener siempre actualizado el navegador. Pero hoy en día esto no es suficiente debido a que el malware también ataca las vulnerabilidades de los plugins del navegador o utiliza plugins propios.

Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores:


IE 6.0 y versiones posteriores.
Firefox 3.0 y posteriores.
Chrome 4.0 y posteriores.

Es capaz de chequear vulnerabilidades en los siguientes plugins.

Adobe Flash Player.
Adobe Reader.
Adobe Shockwave Player.
Apple Quicktime.
BEA JRockit.
Microsoft Silverlight.
Microsoft Windows Media Player.
Real Player.
Sun Java.
Windows Presentation Foundation (WPF) plugin para Mozilla.

Qualys BrowserCheck avisa de los plugins que no están actualizados y pueden ser potencialmente peligrosos.

Web de Qualys BrowserCheck:

https://browsercheck.qualys.com/
0 comentarios

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP.

SCADA viene de las siglas de "Supervisory Control And Data Adquisition", es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.

El protocolo más utilizado en redes SCADA suele ser Modbus. Un protocolo de comunicaciones de nivel 7 OSI, basado en la arquitectura maestro/esclavo, diseñado en 1979 por Modicon para su gama de controladores lógicos programables (PLCs). Modbus es uno de los protocolos más utilizados porque: es público, su implementación es fácil y requiere poco desarrollo y además maneja bloques de datos sin suponer restricciones. Este protocolo puede ser empleado sobre RS-232, RS-422, RS-485 o TCP/IP (puerto estándar TCP 502).

Una de las vulnerabilidades de este protocolo, es la posibilidad de hacer fingerprinting a través de su puerto estándar TCP 502. Mediante la función 43 del protocolo puede averiguarse el registro de identificación de PLCs y conseguir información como: tipo de dispositivo, fabricante, versión y otras informaciones útiles para posteriores ataques.

Con la aplicación ModScan es posible aprovechar esta vulnerabilidad y escanear todos los dispositivos de la red SCADA y identificarlos. ModScan es un escáner para MODBUS/TCP que permite ver los dispositivos que usan el puerto para MODBUS/TCP en la red y averiguar su identificador.

Más información y descarga de ModScan:

http://code.google.com/p/modscan/

Especificaciones técnicas del protocolo Modbus:

http://www.modbus.org/specs.php
0 comentarios

Seguridad SCADA: Firewall para MODBUS/TCP.


Seguridad SCADA: Firewall para MODBUS/TCP.
Los cortafuegos efectúan un perímetro lógico de seguridad para las redes SCADA y son claramente un elemento indispensable para garantizar la seguridad de este entorno. Pero los cortafuegos no cumplen las necesidades de las redes SCADA al no poder manejar los protocolos de comunicación, como es el caso de Modbus. Los cortafuegos y las ACLs actuales pueden filtrar direcciones IP y puertos, tal como TCP 502 para Modbus, pero no pueden filtrar contenidos en el protocolo Modbus que fluyen a través de ese puerto, como el código de función.

Con Modbusfw una extensión para Netfilter es posible dotar a este cortafuegos de capacidades para filtrar código de funciones en Modbus/TCP usando políticas (DROP, DENY, ALLOW, etc.). De esta forma es posible: establecer grupos de IP que solo pueden enviar determinados códigos de funciones ModBus, bloquear ciertos códigos de funciones Modbus que llegan a una IP… Esto mejora notablemente el control de acceso en el protocolo Modbus/TCP frente a la mayoría de los cortafuegos en los simplemente puedes controlar el acceso al puerto TCP 502 (puerto Modbus).

Modbusfw está disponible como extensión para el cortafuegos de Linux Netfilter y también se puede descargar incorporada en un LiveCD Trinux (minidistribución de GNU/Linux) lo que permite levantar de una forma rápida un cortafuegos Modbus/TCP.


Más información y descarga de Modbusfw (esta en ingles):

http://modbusfw.sourceforge.net/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:

http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html
0 comentarios

jueves, 5 de agosto de 2010

INSTALACION DE UN SISTEMA OPERATIVO EN VIRTUALBOX

Es posible trabajar desde un S.O "X" a otro S.O sin tener que tener 2 PC's.








Para efectuar esto necesitaremos el instalador del programa : VirtualBox
0 comentarios

viernes, 9 de julio de 2010

Auditar la seguridad de la configuración del balanceo de carga de servidores Web

Para poder hacer frente al tráfico Web muchas veces los administradores de servidores Web tienen que implementar balanceadores de carga. Los balanceadores de carga ocultan muchos servidores web verdaderos detrás de una IP virtual. Reciben peticiones HTTP y las dirigen a los servidores web para compartir el tráfico entre ellos.

Con la herramienta Halberd permite descubrir los servidores que se encuentras detrás del balanceador de carga y auditar la seguridad de la configuración.

El modo de funcionamiento de Halberd se divide en tres etapas:

Inicialmente, envía peticiones múltiples al servidor Web a auditar y registra sus respuestas. Esto se denomina fase de muestreo.

Después, el programa procesa las contestaciones y busca muestras del equilibrio de carga. Esto se llama la fase de análisis.
Finalmente, la Halberd escribe un informe de sus resultados.

Halberd utiliza las siguientes técnicas:

Comparación de la fecha. Las respuestas HTTP revelan el reloj interno del servidor Web que las produce. Si aparecen varios resultados con tiempos de reloj diferente, Halberd identifica número de servidores verdaderos. Este método funciona si los servidores Web no están sincronizados con un NTP.

Diferencia de nombres de campo de las cabeceras del MIME. Las diferencias en los campos que aparecen en respuestas del servidor pueden permitir que la Halberd identifique los servidores.

Generación de altas cantidades de tráfico. Bajo ciertas configuraciones, los balanceadores de la carga comienzan a distribuir tráfico, solamente después de que se alcance cierto umbral. Esta herramienta intenta generar un volumen de tráfico importante para accionar esta condición y alcanzar tantos servidores verdaderos como sea posible.

Usando diversas URL. Un balanceador de carga se puede configurar para redirigir el tráfico a distintos servidores según la URL a la que se acceda. Esta herramienta utiliza una araña para navegar por las diferentes URL para diferenciar los distintos servidores que contestan.

Detección de cache del servidor. Detecta si los servidores web utilizan cache para acelerar las peticiones con programas tipo Squid.

Obtención de IP públicas. A veces las cookies o los campos especiales del MIME en respuestas del servidor pueden revelar direcciones IP públicas de los servidores web. En estos casos se puede puentear el balanceador de carga y acceder directamente al servidor web.

Más información y descarga de Halberd:
http://halberd.superadditive.com/
Manual de Halberd:
http://halberd.superadditive.com/doc/manual/

“Stress test” a servicios de red:
http://vtroger.blogspot.com/2008/04/stress-test-servicios-de-red.html
1 comentarios

SISTEMA OPERATIVO WINDOWS 7

Muchos todabia preguntan sobre si es recomendable S.O Windows 7 . Espero responder
todas las preguntas o la mayoria acerca de este ultimo S.O:

Caracteristicas:

- Consume un 20% menos de recursos que vista.
- Espacio libre de memoria para instalacion 15 GB.
- No pide tantos permisos.
- Es una mezcla de XP y Vista, sacando lo mejor de cada uno (de Vista muy poco).
- La interfaz es mas amigable.
- Recibe actualizaciones, etc.


-si hacemos click con el botón derecho nos encontraremos con una “Jump List” que nos permitirá realizar tareas sencillas, asociadas a la aplicación en cuestión.

Por ejemplo, cambiar de lista de reproducción en Windows Media Player, o acceder a los archivos recientemente abiertos en Microsoft Word. Por su parte, disponemos de un control más granular sobre los iconos del área de notificación, y sobre los “globos de aviso” que tienen derecho a aparecer. Al hacer clic en estos iconos encontraremos cuadros que nos permiten realizar acciones sencillas (conectarnos a una red, cambiar el plan de energía) sin abrir una ventana.


Errores:

-No hay suficientes drivers y controladores y eso causa problemas para muchos programas (esto si es un problema enorme que afecta al rendimiento de los programas)


- Problemas como la desactivación de opciones y herramientas del sistema, deshabilitación del gestor de procesos del sistema o del intérprete comandos.

Para esto tambien crearon un programa llamado 7 Quick Fix , corrije mucho de los problemas que presenta windows 7 sin embargo no todos .




Crearon tambien una pagina donde pueden poner sus quejas Windows 7 Taskforce . Esta pagina esta en ingles y pueden ver que son muchas las personas que presentan sus quejas y eso dice mucho ya que microsoft hablo maravillas sobre este producto. Esto se lo dejo a su criterio.

yo sigo usando XP y sigo probando windows7.



ESPERO QUE LES SIRVA ESTA PEQUEÑA DESCRIPCION DE LO QUE ES WINDOWS 7 .

SI QUIEREN UNA OPINION PERSONAL LES SUGIERO QUE SIGAN CON EL SISTEMA OPERATIVO XP HASTA QUE PRESENTEN UNA VERSION MUY PERO MUY SUPERIOR AL WINDOWS 7.
3 comentarios

miércoles, 30 de junio de 2010

Quitar el password del bios




Al prender tu computadora te pide password?

Para PC'S de casa:

Pasos :

1) Apagamos la pc
2) Abrimos el case del CPU
3) Buscamos la pila de la mainboard y la sakamos solo unos 10 seg
4) Volvemos a colocar la pila
5) Ponemos el "case" al CPU y prendemos la pc


NOTA: Al hacer estos pasos tendremos q configurar la fecha y la hora

Primero : Prendemos la pc
Segundo : Entramos al SETUP (F2 o SUPR dependiendo de tu placa)
Tercero : Configuramos , guardamos cambios y reiniciamos.



PARA LAPTOP'S


Aquí les dejo un programa muy bueno para quitar el password del bios de los laptop. Es muy fácil y funciona con casi todos los laptop del mercado. El programa no dice cual es el password. Solo lo quita. Funciona muy bien con compaq/hp pero con otras marcas también. El archivo Zip contiene los ejecutables para DOS y para Windows. También trae las instrucciones en ingles pero sumamente fácil. Espero les sirva. Conozco mucha gente que anda como loco buscando solución a este problema.

descargar este adjunto:


cmospwd-4.8




Solucionado
3 comentarios

viernes, 25 de junio de 2010

LIBERAR LA MEMORIA RAM

Tras haber ejecutado una o múltiples aplicaciones o juegos que hagan uso intensivo de los recursos del sistema, habremos detectado que Windows queda algo "tocado", mucho mas lento.
Esto es debido a que los restos de las aplicaciones bloquean parte de la RAM que han utilizado, ocasionando lo que se llama "fragmentación de memoria". Mediante un pequeño script podemos liberar esa memoria , forzando al ordenador a descargar el contenido de la memoria al archivo de intercambio de forma que recargue de nuevo toda la información activa en la memoria y deseche la información no útil, esto lo haremos de la siguiente forma:

Abrimos el block de notas de Windows y dependiendo de la memoria de nuestro ordenador escribiremos los siguientes valores:


Si tienes menos de 128 Mb de memoria RAM, escribes Mystring=(16000000)

o

Si tienes 128 Mb de memoria RAM o más escribes Mystring=(80000000)


Ahora guarda este archivo en el lugar que quieras, con el nombre "liberar.vbe" (no te olvides poner la extensión .vbe ya que el nombre no importa puedes poner el que quieras).

Ahora hacemos doble clic sobre el archivo que acabamos de crear y windows refrescará la memoria RAM.


NOTA : SI ESTO NO AYUDA PUEDEN DESCARGAR EL PROGRAMA TUNEUP 2010.
100 % CONFIABLE
0 comentarios

jueves, 10 de junio de 2010

Proxy

Debes de tomar en cuenta que la PC que vas a tomar como servidor debe de tener al menos 2 tarjetas de red, una que estara conectada a internet y la otra que alimentara a las otras PCs del servicio de internet (por comodidad llamaremos a las tarjetas de red T1 y T2 respectivamente). En las computadoras clientes solo necesitas un tarjeta de red:

Como configurar el proxy?

Es facil y se los explicare con imagenes:


Primero:Ingresamos al explorador (Internet Explorer)


PARA AGRANDAR LA IMAGEN PASAR EL MOUSE POR LA IMAGEN PEQUEÑA:



Pie de foto



Segundo paso :





Pie de foto



Tercero:





Pie de foto





1) Desactivar la opcion "Detectar..........."



2) Activar la opcion "Usar un servidor proxy...." , y se desbloqueara la opcion Direccion y Puerto



3) Direccion : Aqui ponemos la IP de donde nos conectaremos . Ejm: 192.168.1.33



Puerto : Aqui ponemos el puerto del servidor donde nos conectaremos . Ejm: 3125






NOTA: SI TIENEN EL EXPLORADOR MOZILA FIREFOX ENTRAMOS DE ESTA MANERA :



1) Herramientas


2) Opciones


3) Entramos a "AVANZADO" , Configuracion y configuramos el proxy

0 comentarios

He tenido que borrar los comentarios debido a un error.
Ya todo funciona 100 % :D .