lunes, marzo 31, 2008

Seguridad en Windows Mobile.

La evolución de la telefonía móvil ha convertido al teléfono móvil en un ordenador, lo que ha ampliado sus servicios y su conectividad, este último punto es el que hace que un Smartphone sea un blanco perfecto para los ataques informáticos. Hoy en día el uso de Smartphones ha aumentado y el sistema operativo más usado es de Microsoft, y en este caso concreto Windows Mobile.

Windows Mobile como todo sistema operativo (y no me refiero solo a los desarrollados por Microsoft) pose vulnerabilidades. El número de vulnerabilidades descubiertas suele aumentar, cuantos más usuarios tenga dicho sistema, porque es más apetitoso para ataques informáticos. Algunos ejemplos:

  • El virus WinCE/InfoJack instala archivos no solicitados y roba información personal del usuario, además de dejar el terminal vulnerable para otras infecciones cambiando los ajustes de seguridad del teléfono para dejarlo en su nivel más bajo, así otros malware puedan instalarse sin que el usuario lo advierta. También impide que sea borrado y cambia la página de inicio del navegador.
  • La vulnerabilidad que permite atreves de un sniffer capturar el pin de acceso al dispositivo mediante Microsoft ActiveSync 4.x en Windows Mobile 5.0 aunque se conecte por USB.

Estés dos ejemplos se solucionan actualizando el sistema en la medida que el hardware lo permite y en el primer ejemplo además de actualizar, implementando un antivirus, como el antivirus gratuito BitDefender Mobile Antivirus.

Se pueden evitar infecciones limpiando: los archivos temporales, la cache del navegador y las cookies utilizando la aplicación pmClean. Y en el caso de sospechar que el sistema Windows Mobile este infectado, se puede monitorizar los procesos que se ejecutan en el dispositivo con la herramienta ProcessManager.

También es necesario implementar un sistema cifrado para la información almacenada en el dispositivo o en las tarjetas de memoria, con aplicaciones como FreeOTFE4PDA, para proteger los datos en caso de robo o perdida. Y borrar los datos de las tarjetas de memoria usando una aplicación de borrado seguro como FileShredPPC 2.3, para que no se puedan recuperar datos confidenciales una vez borrados.

Más información y descarga de BitDefender Mobile Antivirus:
http://www.bitdefender.com/site/Main/view/Beta-Mobile.html

Más información y descarga de pmClean:
http://www.pocketmax.net/redial.html

Más información y descarga de ProcessManager:
http://classic.pocketgear.com/software_detail.asp?id=26386

Más información y descarga de FreeOTFE4PDA:
http://www.freeotfe.org/

Más información y descarga de FileShredPPC 2.3:
http://pocketpcapps.net/fileshredppc.aspx

Microsoft ActiveSync 4.x Weak Password Obfuscation:
http://www.securityfocus.com/archive/1/482299

Publicado por Alvaro Paz en 9:35 PM http://www.wikio.es 2 comentarios
Etiquetas: ,

martes, marzo 25, 2008

Ver todos los dispositivos USB que fueron conectados en Windows.

Como ya he comentado en anteriores post, los dispositivos USB de almacenamiento, son muy prácticos, pero puede resultar un problema de seguridad, porque a través de ellos pueden infectar nuestro sistema o ser usados para llevar información crítica del sistema.

Con la herramienta USBDeview podemos ver que dispositivos USB fueron conectados al sistema y cuando. Esta herramienta puede mostrar la siguiente información sobre el dispositivo: nombre, descripción, tipo de dispositivo, letra de unidad, número de serie, fecha de instalación, fecha de última conexión y desconexión.

También permite bloquear los dispositivos que seleccionemos, desinstalarlos o bloquear todos los dispositivos USB que se conecten al sistema. Es una aplicación que apenas ocupa 84 Kb lo que la convierte en una herramienta para añadir a nuestra colección de software portable de seguridad.

Más información y descarga de USBDeview:
http://www.nirsoft.net/utils/usb_devices_view.html

Auditar uso de dispositivos USB, FireWire y PCMCIA:
http://vtroger.blogspot.com/2006/09/auditar-uso-de-dispositivos-usb.html

Publicado por Alvaro Paz en 2:44 PM http://www.wikio.es 2 comentarios
Etiquetas: , ,

martes, marzo 18, 2008

Utilizar PC como router con LiveCD.

Algunas veces en casos de emergencia necesitamos improvisar soluciones efectivas y rápidas para continuar con los servicios de nuestra red lo mas pronto posible. Por eso viene muy bien tener a mano una LiveCD como Linux Router, que permite convertir un PC en un router que puede operar: por cable, modem 56k, ADSL, RTC, ISDN y WIFI.

Las características principales de este rotor son:

  • Incluye el cortafuegos Shorewall y enmascaramiento IP.
  • Control De Tráfico mediante QoS WonderShaper.
  • Cliente y servidor de DHCP
  • Administración remota mediante SSH.
  • Permite implementar VPN mediante OpenVPN.
  • Puede balancear carga con 2 conexiones de Internet.
  • Compatible con ADSL de alta velocidad (5 mbps+).

Es muy fácil de configurar mediante una interfaz web muy intuitiva, gracias al famoso Webmin. También se puede utilizar para reciclar maquinas obsoletas y convertirlas en routers, sin necesidad de incorporar disco duro.

Más información y descarga de Linux LiveCD Router:
http://www.wifi.com.ar/english/cdrouter/

Convierte un ordenador en un router:
http://vtroger.blogspot.com/ordenador-en-un-router.html

Publicado por Alvaro Paz en 5:50 PM http://www.wikio.es 1 comentarios
Etiquetas: ,

miércoles, marzo 12, 2008

Recuperar correos electrónicos borrados en Outlook.

Los correos electrónicos que eliminamos de la bandeja de elementos eliminados se pueden recuperar, debido a que Microsoft Outlook no borra la información definitivamente en el fichero de almacenamiento de buzones (*.PST), solo hace una marca, para que no aparezcan. Para recuperar estés correos usamos una herramienta que viene oculta en Outlook, para repara archivos PST dañados, la Herramienta de Reparación de la Bandeja de Entrada, su ejecutable es SCANPST.EXE y se encuentra en la ruta:

Versiones posteriores a Office 2007:

C:\Archivos de programa\Archivos comunes\System\MSMAPI\3082

En Office 2007:

C:\Archivos de programa\Microsoft Office\Office12

Pero esta herramienta solo funciona con PST dañados, para poder usarla para recuperar correos debemos dañar nuestro PST sin tocar los correos, solo modificando la cabecera. Para dañar el archivo PST lo modificamos con un editor hexadecimal y cambiamos el primer byte introduciendo cualquier valor (para mayor seguridad podemos hacer una copia del PST). El archivo PST se encuentra en todas las versiones de Outlook en:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Microsoft\Outlook

Una vez dañado el PST podemos usar la Herramienta de Reparación de la Bandeja de Entrada, esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecerán todos los correos incluso los borrados definitivamente.

Esta técnica se puede usar también para Outlook Express. Outlook Express usa archivos DBX para almacenar correos en vez de PST y están almacenados en la ruta:

C:\Documents and Settings\”nombre de usuario”\Configuración local\Datos de programa\Identities\
{BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Microsoft\Outlook Express

Siguiendo el mismo proceso para corromper PST, corrompemos los DBX y después utilizamos la herramienta DBX Backup para recuperar los correos electrónicos.
No se pueden recuperar todos los archivos borrados solo los más recientes ya que Outlook cada cierto limpia sus PST, de todas formas estas técnica es muy eficaz.

Descarga de herramienta DBX Backup:
http://www.mailnavigator.com/recupexpress.html

Publicado por Alvaro Paz en 12:01 PM http://www.wikio.es 0 comentarios
Etiquetas: , , ,

lunes, marzo 10, 2008

Eliminar virus que se propagan por Messenger.

El MSN Messenger es uno de los programas de mensajería instantánea más usados, esta circunstancia lo convierte en un buen foco de infección para malware, además de que opera en el sistema operativo más usado y con más malware especifico para el, Windows.
Este malware generalmente se propaga enviando archivos a los contactos de la victima, los contactos que reciben el archivo como creen que proviene de una fuente fiable abren el archivo y se infectan. Las actividades a las que se dedica este malware una vez infectado un sistema pueden ser varias: envió masivo de spam, espiar el usuario, convertir el sistema en zombie…

Para eliminar este malware del sistema se puede emplear una herramienta específica para este tipo de amenazas para MSN Messenger, se trata de la herramienta MSNCleaner creada por InfoSpyware.

Esta herramienta es conveniente usarla en el modo a prueba de fallos. En este modo Windows carga los procesos mínimos de inicio, de forma que las técnicas de la mayoría de los virus para cargarse al inicio de Windows no funcionan. Des esta forma a MSNCleaner le será mas fácil borrar el malware. Es una herramienta gratuita, que necesita registro en la página de InfoSpyware para poder descargarla.

Más información y descarga de MSNCleaner:
http://www.forospyware.com/t92153.html

Regístrate en InfoSpyware:
http://www.forospyware.com/register.php?do=signup

Seguridad en conversaciones de Messenger:
http://vtroger.blogspot.com/cifrar-conversaciones-de-mensajera.html

Uso seguro de Messenger:
http://vtroger.blogspot.com/uso-seguro-de-mensajera-instantnea.html

Publicado por Alvaro Paz en 8:25 PM http://www.wikio.es 0 comentarios
Etiquetas: , ,

lunes, marzo 03, 2008

Manipular sesiones de Windows.

Para manipular sesiones de Windows existe un kit de herramientas muy eficaz, se trata de Pass-The-Hash Toolkit. Estas herramientas permiten enumerar las sesiones mediante sus credenciales correspondientes de NTLM (las credenciales NTLM consisten en el nombre de dominio, el nombre del usuario y la contraseña encriptado introducida una vez durante el registro inicial) tanto de usuarios de conexiones remotas, usuarios locales y usuarios del dominio que se han iniciado sesión en la maquina. También permite modificar dichas credenciales.

Este kit consta de tres herramientas:

IAM.EXE: Esta herramienta permite cambiar las credenciales de NTLM de un usuario por otras. El programa recibe un nombre de usuario, nombre de dominio, LM y el NT hashes de la contraseña; usando esto cambiará las credenciales de NTLM asociadas a la sesión actual. Después de que el programa realice esta operación, todas las conexiones a los servicios o aplicaciones que utilizan las credenciales de NTLM para la autentificación del usuario, utilizarán las credenciales que se modificaron con IAM.EXE.

WHOSTHERE.EXE: Esta herramienta que enumera sesiones con credenciales de NTLM (el nombre de usuario, nombre de dominio, LM y el NT hashes). Las sesiones son creadas por los servicios a los que acceden usuarios específicos, como por ejemplo conexiones de escritorio remoto... Esta herramienta sirve para robar credenciales, para después usarlas con IAM.EXE.

GENHASH.EXE: Es una pequeña utilidad que genera el LM y el NT hashes con algunas funciones de Windows API.

Su distribución es gratuita y necesita una vez descargado ser compilado para ejecutarlo. Se puede usar Microsoft Visual C++ 2005 Express Edition para compilarlo u otro compilador pero en ese caso necesita alguna modificación. Estas herramientas funcionan en Windows Server 2003 y Windows XP SP2.

Más información y descarga de Pass-The-Hash Toolkit:
http://oss.coresecurity.com/projects/pshtoolkit.htm

Documentación y modo de uso:
http://oss.coresecurity.com/pshtoolkit/doc/index.html

Microsoft Visual C++ 2005 Express Edition:
http://msdn.microsoft.com/vstudio/express/

Publicado por Alvaro Paz en 9:39 PM http://www.wikio.es 2 comentarios
Etiquetas: ,
Suscribirse a: Entradas (Atom)