lunes, 30 de agosto de 2010

Auditar seguridad en distribuciones Linux











Es muy fácil con la herramienta Lynis diseñada para sistemas basados en UNIX. Con Lynis podemos detectar errores de configuración que pueden ser aprovechados para atacar nuestro sistema, también detecta vulnerabilidades en software, permisos…

Con esta herramienta podemos auditar las distribuciones:

CentOS 5.
Debian 4.0.
Fedora Core 4 y superiores.
FreeBSD 6.x, 7.0.
Mac OS X 10.x (Tiger, Leopard).
OpenBSD 4.2, 4.3.
OpenSolaris.
OpenSuSE.
Red Hat, RHEL 5.x.
Slackware 12.1.
Ubuntu 7.04, 7.10, 8.04.

Es una herramienta muy recomendable para administradores de sistema, para ayudar a corregir errores de configuración en implementaciones, que puede producir fallos de seguridad o disminuir el rendimiento del sistema. Es muy importante aclarar que Lynis no corrige las vulnerabilidades, informa de ellas y muestra información de cómo solucionarlas.

Más información y descarga de Lynis:

http://www.rootkit.nl/projects/lynis.html

Documentación de Lynis:

http://www.rootkit.nl/files/lynis-documentation.html

Saludos.

Herramienta para explorar y eliminar BHO malévolos de Internet Explorer



Se trata de SpyBHORemover una herramienta para explorar y eliminar BHO malévolos de Internet Explorer. Los BHO (Browser Helper Object) son plugins de Internet Explorer, archivos DLL que amplían las funcionalidades del navegador. Esta característica está siendo empleada por software espía, para supervisar los hábitos de navegación del usuario y para robar sus credenciales.

SpyBHORemover ayuda en la identificación y la eliminación rápida de malware que se aloja como BHO. Para esta labor utiliza análisis heurístico y análisis online utilizando servicios de internet designados a la detección de malware.

Entre sus características destaca:



Posee opciones de respaldo permite al usuario quitar y reinstalar BHO todas la veces que quiera.
Verificación en línea de el BHO malévolo usando: VirusTotal, ThreatExpert y ProcessLibrary .
Exhibe la información detallada para cada BHO instalado: nombre de clase de BHO, información del análisis, compañía, nombre de producto, fecha de instalación, CLSID del BHO y trayectoria del archivo de BHO.


SpyBHORemover es una herramienta portable independiente que no requiere ninguna instalación. Trabaja en la Windows plataformas a partir de Windows Xp al último sistema operativo, Windows 7.

Más información y descarga de SpyBHORemover:

http://www.securityxploded.com/bhoremover.php

Saludos.

Auditar seguridad de SSL


Existen dos herramientas muy completas para auditar la seguridad de SSL: SSLScan y SSL Audit.

SSLScan.

Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

Modo de empleo:

Comando:

sslscan [opciones] [host: puerto]

Opciones:

--targets=
Sirve para pasarle un archivo que contiene una lista de host para chequear. Los host se pueden suministrar con puertos puertos (es decir host: puerto).

--no-failed
No muestra los tipos de cifrado que no acepta el host.

--ssl2
Comprueba solamente el cifrado SSLv2.

--ssl3
Comprueba solamente el cifrado SSLv3.

--tls1
Comprueba solamente el cifrado TLSv1.

--pk=
Sirve para pasarle un archivo PKCS#12.

--pkpass=
La contraseña para PKCS#12.

--certs=
Pasarle un archivo que contiene PEM/ASN1.

--starttls
Introducir un STARTTLS para servicios smtp.

--HTTP
Prueba una conexión del HTTP.

-- bugs
Buscar bugs en SLL.

--xml=
Mostrar resultados de la salida en archivo de XML.


Más información y descarga de SSLScan:




Saludos.

Recuperar correos electrónicos borrados en Outlook.



Los correos electrónicos que eliminamos de la bandeja de elementos eliminados se pueden recuperar, debido a que Microsoft Outlook no borra la información definitivamente en el fichero de almacenamiento de buzones (*.PST), solo hace una marca, para que no aparezcan. Para recuperar estés correos usamos una herramienta que viene oculta en Outlook, para repara archivos PST dañados, la Herramienta de Reparación de la Bandeja de Entrada, su ejecutable es SCANPST.EXE y se encuentra en la ruta:

Versiones posteriores a Office 2007:

C:\Archivos de programa\Archivos comunes\System\MSMAPI\3082

En Office 2007:

C:\Archivos de programa\Microsoft Office\Office12

Pero esta herramienta solo funciona con PST dañados, para poder usarla para recuperar correos debemos dañar nuestro PST sin tocar los correos, solo modificando la cabecera. Para dañar el archivo PST lo modificamos con un editor hexadecimal y cambiamos el primer byte introduciendo cualquier valor (para mayor seguridad podemos hacer una copia del PST). El archivo PST se encuentra en todas las versiones de Outlook en:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Microsoft\Outlook

Una vez dañado el PST podemos usar la Herramienta de Reparación de la Bandeja de Entrada, esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecerán todos los correos incluso los borrados definitivamente.

Esta técnica se puede usar también para Outlook Express. Outlook Express usa archivos DBX para almacenar correos en vez de PST y están almacenados en la ruta:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Identities\
{BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Microsoft\Outlook Express

Siguiendo el mismo proceso para corromper PST, corrompemos los DBX y después utilizamos la herramienta DBX Backup para recuperar los correos electrónicos.
No se pueden recuperar todos los archivos borrados solo los más recientes ya que Outlook cada cierto limpia sus PST, de todas formas estas técnica es muy eficaz.

Descarga de herramienta DBX Backup:




Saludos.

Servicio online para ver la seguridad del navegador



Las vulnerabilidades en los navegadores suelen ser la principal puerta de entrada de malware, por eso, es conveniente tener siempre actualizado el navegador. Pero hoy en día esto no es suficiente debido a que el malware también ataca las vulnerabilidades de los plugins del navegador o utiliza plugins propios.

Existe un servicio llamado Qualys BrowserCheck que permite chequear la seguridad del navegador, este servicio soporta los navegadores:


IE 6.0 y versiones posteriores.
Firefox 3.0 y posteriores.
Chrome 4.0 y posteriores.

Es capaz de chequear vulnerabilidades en los siguientes plugins.

Adobe Flash Player.
Adobe Reader.
Adobe Shockwave Player.
Apple Quicktime.
BEA JRockit.
Microsoft Silverlight.
Microsoft Windows Media Player.
Real Player.
Sun Java.
Windows Presentation Foundation (WPF) plugin para Mozilla.

Qualys BrowserCheck avisa de los plugins que no están actualizados y pueden ser potencialmente peligrosos.

Web de Qualys BrowserCheck:

https://browsercheck.qualys.com/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP.

SCADA viene de las siglas de "Supervisory Control And Data Adquisition", es decir: adquisición de datos y control de supervisión. Se trata de una aplicación software diseñada para funcionar sobre computadoras en el control de producción, proporcionando comunicación con los dispositivos de campo (controladores autónomos, autómatas programables, etc.) y controlando el proceso de forma automática desde la computadora.

El protocolo más utilizado en redes SCADA suele ser Modbus. Un protocolo de comunicaciones de nivel 7 OSI, basado en la arquitectura maestro/esclavo, diseñado en 1979 por Modicon para su gama de controladores lógicos programables (PLCs). Modbus es uno de los protocolos más utilizados porque: es público, su implementación es fácil y requiere poco desarrollo y además maneja bloques de datos sin suponer restricciones. Este protocolo puede ser empleado sobre RS-232, RS-422, RS-485 o TCP/IP (puerto estándar TCP 502).

Una de las vulnerabilidades de este protocolo, es la posibilidad de hacer fingerprinting a través de su puerto estándar TCP 502. Mediante la función 43 del protocolo puede averiguarse el registro de identificación de PLCs y conseguir información como: tipo de dispositivo, fabricante, versión y otras informaciones útiles para posteriores ataques.

Con la aplicación ModScan es posible aprovechar esta vulnerabilidad y escanear todos los dispositivos de la red SCADA y identificarlos. ModScan es un escáner para MODBUS/TCP que permite ver los dispositivos que usan el puerto para MODBUS/TCP en la red y averiguar su identificador.

Más información y descarga de ModScan:

http://code.google.com/p/modscan/

Especificaciones técnicas del protocolo Modbus:

http://www.modbus.org/specs.php

Seguridad SCADA: Firewall para MODBUS/TCP.


Seguridad SCADA: Firewall para MODBUS/TCP.
Los cortafuegos efectúan un perímetro lógico de seguridad para las redes SCADA y son claramente un elemento indispensable para garantizar la seguridad de este entorno. Pero los cortafuegos no cumplen las necesidades de las redes SCADA al no poder manejar los protocolos de comunicación, como es el caso de Modbus. Los cortafuegos y las ACLs actuales pueden filtrar direcciones IP y puertos, tal como TCP 502 para Modbus, pero no pueden filtrar contenidos en el protocolo Modbus que fluyen a través de ese puerto, como el código de función.

Con Modbusfw una extensión para Netfilter es posible dotar a este cortafuegos de capacidades para filtrar código de funciones en Modbus/TCP usando políticas (DROP, DENY, ALLOW, etc.). De esta forma es posible: establecer grupos de IP que solo pueden enviar determinados códigos de funciones ModBus, bloquear ciertos códigos de funciones Modbus que llegan a una IP… Esto mejora notablemente el control de acceso en el protocolo Modbus/TCP frente a la mayoría de los cortafuegos en los simplemente puedes controlar el acceso al puerto TCP 502 (puerto Modbus).

Modbusfw está disponible como extensión para el cortafuegos de Linux Netfilter y también se puede descargar incorporada en un LiveCD Trinux (minidistribución de GNU/Linux) lo que permite levantar de una forma rápida un cortafuegos Modbus/TCP.


Más información y descarga de Modbusfw (esta en ingles):

http://modbusfw.sourceforge.net/

Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:

http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

jueves, 5 de agosto de 2010

INSTALACION DE UN SISTEMA OPERATIVO EN VIRTUALBOX

Es posible trabajar desde un S.O "X" a otro S.O sin tener que tener 2 PC's.








Para efectuar esto necesitaremos el instalador del programa : VirtualBox

He tenido que borrar los comentarios debido a un error.
Ya todo funciona 100 % :D .