EDICIONES ANTERIORES

Hids- Detector de Intrusos a nivel de Host

Cuanto más avanzamos en el "know how" de seguridad tecnológica más queremos conocer cuál es la actividad de un host (mas si es nuestra computadora) y de a poco vamos descartando esas aplicaciones que no nos cuentan como funcionan ni que cambios hacen en nuestro sistema nativo.

En principio descartamos los anti-spyware, luego los firewalls, luegos los anti "todo" porque no sabemos bien como funcionan.

Hoy la propuesta es una herramienta detectora de intrusos que justamente nos cuenta "todo" lo que va a ocurrir con nuestro sistema nativo cada vez que se intenten realizar cambios: Patriot NG de "Security Proyects", cuando detecte distintos tipos de comportamientos anómalos abrirá una ventana preguntando que hacer.

Este IDS de nivel de Host analiza cambios a nivel del explorado (Registry), cambios a nivel de System (Startup, usuarios, servicios, archivo host, tareas programadas, procesos de instalación aunque estén ocultos, nuevos drivers, archivos en carpetas del sistema), analiza comportamiento a nivel de red (recursos compartidos, defensa a nivel tcp/ip, comportamientos anómalos de red como por ejemplo arp poison).

Más Información: http://www.security-projects.com/?Patriot_NG

Secure Virtualization Framework

Stephen Fallas

Security Solution Architect – Latin America - HP

Disertante en Infosecutity Vip - Buenos Aires 2010

Extraído de "Como Proteger las Aplicaciones Web en Ambientes Virtualizados en Centros de Datos de Nueva Generación", presentación en Infosecurity Vip Buenos Aires 2010.

Secure Virtualization Framework

Incluye

• Plataforma Intrusion Prevention IPS with VLAN translation

• Virtual Controller (vController)

• Virtual IPS (vIPS)

• SMS / VMC
  

Beneficios:

• Activa el bloqueo ante la amenaza para centros de datos virtuales

• Coherencia en la política de seguridad y cumplimiento, entre el centro de datos virtual y físico

• Full seguridad VM de maquinas virtuales y Host

• Visibilidad y control  para la virtualización con integración a Reflex VMC

• Optimiza la protección y el rendimiento - con opción de inspección

• Cobertura ante la amenaza (DVLabs) – cobertura de riesgos

RESULTADO: OPERACIÓN SEGURA

Más Información: http://h10163.www1.hp.com/products_virtualization.html

Herramientas de esteganografía
Aunque la esteganografía es un arte antiguo, el mundo digital le ha dado un nuevo sentido, llevando la idea a nuevos formatos y desarrollando técnicas bastante avanzadas. Aún así, si pensamos en seguridad, la esteganografía por sí sola se queda pequeña, por lo que la mayoría de los programas actuales cifran los datos antes de incrustarlos. Actualmente deberíamos pensar en la esteganografía como una técnica complementaria a la criptografía.

La cantidad de formatos en los que se pueden esconder datos es inmensa, y las técnicas para hacerlo en cada uno de ellos también son variadas. Vamos a ver una pequeña recopilación de formatos que pueden ser contenedores de información oculta, y algunos programas que hacen ésto posible.

- Steghide: Libre, portable, rápido, soporta cifrado y compresión. Es uno de los más usados, y está disponible en los repositorios de software de un montón de distribuciones. Trabaja con JPEG, BMP, WAV y AU.

- JPHide y JPSeek: Trabajan con JPEG, y prometen ser programas muy silenciosos, ya que la modificación del contenedor es mínima.

- Gifshuffle: Como su nombre indica, utiliza archivos GIF (animados también). Una herramienta muy portable, libre, rápida, y que soporta cifrado / compresión.

- SNOW: Del mismo creador que Gifshuffle, utiliza espacios y tabulaciones al final de las líneas de un archivo de texto ASCII. También es altamente portable, libre, rápido y soporta cifrado / compresión.

- wbStego: Tiene varias versiones, y pretende tener una interfaz más amigable. Utiliza formatos BMP, texto ASCII o ANSI, HTML y PDF.

- MP3Stego: Utiliza archivos MP3 como contenedores, admite compresión y cifrado.

- Stelin y StegoSense: Herramientas de esteganografía sintáctica en textos. StegoSense se publicó hace unos días, y el autor escribió una colaboración para SbD.

Ésto es una pequeña muestra de todo lo que podemos encontrar en Internet, en la práctica a cada uno le gustarán más unas que otras y usará unos formatos sobre otros.

Fuente: SecurityByDefault

Herramienta Antirrobo

Prey ( http://preyproject.com/es ) es un software capaz de recuperar una notebook robada o perdida. Y tiene todo lo que el usuario necesita: es gratuito, está en español y es fácil de configurar. Se ejecuta en modo silencioso hasta que es activado en forma remota desde una PC o celular con GPS. Esta señal la emite el dueño para recuperar el equipo. El Prey busca una red Wi-Fi para conectarse y enviar un SMS con la ubicación del dispositivo. Además, enciende de manera remota la webcam de la notebook para tomarle una foto a quien se la haya apropiado. De yapa, bloquea toda la información personal.

Fuente: Clarín.com

Herramienta de búsqueda de archivos Pedófilos

Reveal

El concepto de este software es ayudar a salvar la brecha tecnológica entre el niño que utiliza Internet, pero carecen de las habilidades necesarias para saber lo que es y no es peligroso y padres de familia que pueden estar un poco atrás en comprender esta tecnología pero sí conoce en dónde su hijo puede estar navegando.


Este software, aunque no pretende ser una herramienta de la policía científica, podría ser de utilidad en la prestación de un medio rápido para la evaluación de grandes cantidades de datos de la computadora. En la sección avanzada del programa, tiene la posibilidad de crear un diccionario personalizado será útil en algún tipo de examen de los datos.

Más Información: http://www.protectyourfamily.net/

Web Historian es un programa que permite a un investigador reunir, mostrar y analizar datos de la navegación que se haya producido en un equipo. Más allá de esta simple definición, la herramienta ofrece una interfaz gráfica pero simplista de ver y navegar con grandes volúmenes de datos.

Tal vez la característica más potente es la capacidad de relacionar y ofrecer múltiples puntos de vista de los datos (incluyendo gráficos y línea de tiempo) a través del analizador y la herramienta web de perfiles, con la esperanza de que los investigadores podamos llegar a conclusiones acerca de los datos que nos proporciona.

Una vez que pulsamos el botón de 'start' comienza el escaneo del equipo en busca de la información de navegación, también es interesante resaltar que podemos copiar los archivos de histórico de otro equipo al que previamente hemos clonado y obtenido sus huellas, para posteriormente tratarlo en el equipo del investigador con el objeto de no alterar posibles pruebas.

Otra de las características importantes es la obtención de miniaturas ya algunos navegadores graban una instantánea de la imagen de las páginas web que se han accedido. Actualmente, Chrome y Safari son los únicos navegadores que recogen imágenes en miniaturas.

Fuente: Conexión Inversa - Computer Forensic

Más Información: http://www.mandiant.com/products/free_software/web_historian/

Trinity Rescue Kit

Trinity Rescue Kit 3.4 es la mas reciente versión de la distribución LiveCD cuyo enfoque es hacia recuperar y reparar operaciones en sistemas Windows. En este lanzamiento destaca la simplificación de las herramientas ofrecidas a través de un simple menú una vez que termina de cargar la distro. Cuenta con el kernel 2.6.35 para mayor soporte de hardware. Se ha incluido una nueva herramienta para limpiar los archivos innecesarios en Windows y ha mejorado el motor de búsqueda de virus.

Otra de las mejoras es hacia la herramienta winpass que ha sido reescrita totalmente. Esta herramienta permite borrar o asignar nuevas contraseñas a cuentas de usuarios en Windows, una característica por la cual Trinity Rescue Kit ha sido muy conocida.

La documentación se ha mejorado y ahora se puede obtener un archivo autoejecutable en Windows de esta versión que permite directamente quemar (grabar) la distro sin necesidad de un software de grabación.

Más Información: http://trinityhome.org

Ophcrack es una herramienta para crackear las contraseñas de Windows basada en las tablas Rainbow. Es una implementación muy eficiente de las tablas rainbow hecha por los inventores de este método. Viene con una Interfaz Gráfica de Usuario GTK+ y corre bajo Windows, Mac OS X (CPU Intel) y también en Linux.

El LiveCD de Ophcrack contiene un sistema Linux completo (SLAX), ophcrack para Linux y las tablas Rainbow para contraseñas alfanuméricas.

El liveCD crackea las contraseñas automáticamente, sin necesidad de una instalación y sin la necesidad de conocer la contraseña de administrador (solo es necesario arrancar desde el CD).

La versión 1.1.4 crackea el archivo SAM de Windows Vista

Más Información: http://ophcrack.sourceforge.net/

Alcohol: Herramienta que permite hacer copias (imágenes) desde el CD y DVD al disco duro, reproduciéndolos sin necesidad de tener el disco físicamente en la unidad. También puede usar la imagen para realizar copias de seguridad, y tiene soporte para crear hasta 31 unidades virtuales de CD o DVD, puede trabajar con diversos formatos de imagen, como ISO, Ccd, Bin, etc.

Tools AntiMalware

Secunia PSI: software que chequea nuestro sistema buscando el software instalado y las vulnerabilidades que encuentre. Si encuentra alguna vulnerabilidad en el software instalado, la presenta en un informe, proponiendo la descarga de la actualización que la soluciona. Tiene una versión más ligera On-line que no necesita instalación, aunque está en inglés. http://secunia.com/vulnerability_scanning/personal/

Hijackthis: Trend Micro nos ofrece una herramienta que realiza un diagnóstico que genera un informe con información referente a ciertos aspectos del sistema susceptibles de ser modificadas por código malicioso; entradas en el registro de windows, procesos en ejecución, configuración de navegadores, objetos ActiveX, parámetros de red, servicios. Incorpora un administrador de procesos, un generador de listas de inicio, un administrador del archivo hosts, un analizador de espías ADS (Alternate Data Stream), un desinstalador de programas y además permite eliminar archivos conflictivos al reiniciar. http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php

Itsth: es una herramienta cuya función es mostrar los procesos que actualmente se están ejecutando en nuestro sistema. La mejora que aporta este programa además de mostrar información acerca de proceso seleccionado y permitir detenerlo, permite desinstalarlo (obviamente no se puede hacer con todos) Otra opción interesante es que para algunos procesos muestra un enlace a las soluciones a problemas conocidos de ese proceso, además permite como novedad poder enviar el proceso a los analizadores de virustotal y kaspersky. http://www.itsth.com/en/produkte/Whats-my-computer-doing.php

Herramienta de Testeo Capa 2

Yersinia es una utilidad de red diseñada para aventajarse de algunas de las vulnerabilidades en diferentes protocolos Layer 2. Pretende ser un sólido framework para analizar y testear sistemas y redes.

Actualmente están implementados los siguientes protocolos de red: Spanning Tree Protocol (STP), Cisco Discovery Protocol (CDP), Dynamic Trunking Protocol (DTP), Dynamic Host Configuration Protocol (DHCP), Hot Standby Router Protocol (HSRP), IEEE 802.1q, Inter-Switch Link Protocol (ISL), VLAN Trunking Protocol (VTP).

Los dispositivos de red (switches, routers, ...) son un elemento que se encuentra en las redes internas de las organizaciones, por lo que muchas veces su configuración y protección no es tan elevada como los dispositivos externos conectados en otras redes (Internet, redes de proveedores, clientes, ...). Estos dispositivos son, además, un hueco olvidado por las herramientas de pen-testing, no existiendo ninguna herramienta que comprobara la seguridad de diferentes protocolos de red de nivel dos, como puede ser spanning-tree, trunking, ... Por esta razón se creó Yersinia: encontrar fallos de seguridad que permitirían acceder dentro de una empresa, desde a información de otros puestos de trabajo, a causar el malfuncionamiento de las redes internas. Esta herramienta es en la actualidad una de las herramientas empleadas en nuestros procesos de auditoría interna. Más información: http://www.yersinia.net/index.htm

Tool de Forenzia

Cuando realizamos un análisis forense de una PC (ya sea que fue comprometida o se sospecha que desde allí se produjo el ataque) un punto importante y que muchas veces no se tiene en cuenta es tratar de conocer qué estuvo haciendo en Internet esa terminal.

Seguramente recurriremos a los logs del proxy que existan dentro de la compañía. Pero podemos complementar este análisis con una herramienta que lee el contenido del archivo index.dat (el caché del Internet Explorer).

La ubicación de estos archivos es:
%userprofile%\local settings\temporary internet files\content.ie5\
%userprofile%\local settings\history\history.ie5\
%userprofile%\local settings\cookies\

El uso de esta herramienta es muy sencillo, tal como lo demuestra la siguiente línea de comando:
pasco index.dat > index.csv


Referencias:
http://www.foundstone.com/us/resources/proddesc/pasco.htm
http://www.foundstone.com/us/pdf/wp_index_dat.pdf

Descarga: http://www.foundstone.com/us/resources/termsofuse.asp?file=pasco.zip

Herramienta para hacer diccionarios propios

Christian Javier Vila - ISec Information Security Inc.

Esta vez vamos a entregar un simple script que nos puede ser útil a la hora de testear la robustez de las contraseñas. La mayoría de los manuales de Penetration Testing y los estándares de seguridad de la información nos piden que controlemos que los usuarios utilicen contraseñas que no sean fácilmente descifrables.

#!/bin/sh
#design cvila
#genera un archivo de diccionario a partir de un texto
#WORDS: archivo texto que contiene los resultados clear
echo "Cual es texto que convertir a diccionario?" read VARIABLE for VAL in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 #1 to 22 promedio de palabras por línea en un texto en castellano do
cut -d' ' -f $VAL $VARIABLE >> temporal
done sort temporal | uniq > WORDS #ordena y borra palabras repetidas
rm -f temporal
echo "el archivo generado es WORDS"
Finalmente ya tenemos un archivo de texto con las palabras comunes utilizadas en nuestra Compañía. Como último paso podríamos utilizar tools como Hydra, Jhon The Ripper o cualquier cracker de contraseñas para lanzar un ataque de diccionario sobre el servicio en el cual testearemos contraseñas utilizando el diccionario propio de la Compañía.