jueves, mayo 29, 2008

Clonar disco duro, con borrado seguro de disco origen.

Con la herramienta CopyWipe, que permite clonar discos y hacer un borrado seguro del disco origen, para garantizar que nadie pueda recuperar esa información.

Se puede usar en modo consola de comandos o con un interfaz, existe una versión para hacer un diskette arrancable y complementos para crear un CD/DVD arrancable.

Tiene nueve métodos ha elegir de borrado seguro:

Quick – 1 Pass: Sobrescribe con un paso por 0 y después borra.

Random – 1 Pass: Sobrescribe con un paso de datos al azar, seguido por un paso por 0 y después borra.

Random – 4 Pass: Sobrescribe con cuatro pasos de datos al azar, seguido por un paso por 0 y después borra.

Random – 8 Pass: Sobrescribe con ocho pasos de datos al azar, seguido por un paso por 0 y después borra.

Pattern – PG MFM 28 Pass: Sobrescribe un total de 29 veces antes de borrar, incluyendo los patrones específicos para la codificación de MFM:

  • 4 pasos de alternancia de datos al azar.
  • 20 pasos usando datos diseñados específicamente para la codificación de MFM.
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern – PG RLL(1,7) 26 Pass: Sobrescribe un total de 27 veces antes de borrar, incluyendo los patrones específicos para la codificación de RLL (1.7):
  • 4 pasos de alternancia de datos al azar.
  • 18 pasos usando datos diseñados específicamente para la codificación de RLL (1.7).
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern – PG RLL(2,7) 23 Pass: Sobrescribe un total de 24 veces antes de borrar, incluyendo los patrones específicos para la codificación de RLL (2.7):
  • 4 pasos de alternancia de datos al azar.
  • 15 pasos usando datos diseñados específicamente para codificación de RLL (2.7).
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern – PG 35 Pass: Sobrescribe un total de 36 veces antes de borrar, incluyendo los patrones específicos para la codificación de MFM, de RLL (1.7) y de RLL (2.7):
  • 4 pasos de alternancia de datos al azar.
  • 27 pasos usando una variedad de patrones diseñados específicamente para RLL (1.7), RLL (2.7) y MFM.
  • 4 pasos de alternancia de datos al azar.
  • 1 paso de ceros.

Pattern – Hardware: Sobrescribe usando la característica de borrado seguro que incorporan algunos discos duros. Esta opción no la poseen todos los discos duros, CopyWipe avisa si el disco tiene esta opción.

Es una excelente herramienta para el clonado de información de ordenadores obsoletos de los que nos vamos a deshacer.
El borrado seguro es un fallo de seguridad muy frecuente en empresas, ya que suelen tener información valiosa y renuevan sus equipos informáticos con más frecuencia. Los equipos normalmente solo son formateados y donados o vendidos en subastas, y en muchos casos con software adecuado, se pueden conseguir de ellos información muy importante de la empresa.

Más información y descarga de CopyWipe:
http://www.terabyteunlimited.com/copywipe.php

Manual de usuario de CopyWipe:
http://www.terabyteunlimited.com/downloads/copywipe.pdf

Publicado por Alvaro Paz en 5:07 PM http://www.wikio.es 7 comentarios
Etiquetas: , , ,

lunes, mayo 26, 2008

Análisis de red con sniffer pasivo.

Utilizando la herramienta NetworkMiner es un sniffer pasivo para Windows, con un interfaz fácil de utilizar. Puede detectar: los sistemas operativos, las sesiones, los nombres de equipo, los puertos abiertos…

NetworkMiner hace uso de bases de datos de la huellas del sistema operativo para identificarlos y también utiliza la listas de Mac fabricantes para identificar dispositivos de red.

Esta herramienta puede extraer los archivos que fluyen a través de una red, excepto los archivos multimedia (tales como archivos audios o video) almacenándolos en carpetas clasificadas por IP de las que provienen. Otra característica muy útil es que el usuario puede buscar los datos interceptados o almacenados por palabras claves.

También utiliza métodos estadísticos para la identificación de una sesión de TCP o UDP, identificando el protocolo correcto basado en el contenido del paquete de TCP/UDP. De esta manera NetworkMiner puede identificar protocolos incluso si el servicio funciona en un puerto no estándar.
Con esta herramienta se puede hacer un sencillo análisis forense de las capturas de trafico guardadas en archivos PCAP.

Más información y descarga de NetworkMiner:
http://sourceforge.net/projects/networkminer/

Publicado por Alvaro Paz en 7:27 PM http://www.wikio.es 3 comentarios
Etiquetas: , , ,

jueves, mayo 22, 2008

Análisis forense de accesos no autorizados en NTFS.

Podemos averiguar accesos no autorizados en NTFS usando las herramientas en línea de comandos gratuitas de Forensic ToolKit. Este Kit de herramientas incluye:

AFind: Herramienta que lista los archivos por el tiempo de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinando esto con DACLchk , se puede determinar la actividad del usuario incluso si el acceso al archivo no se ha permitido.

Sintaxis:
AFind v2.0 - Copyright(c) 2000, Foundstone, Inc.
NTFS Last Access Time Finder
Command Line Switches
[dirname] Directory to search
-f [filename] List last access time of file
-s [seconds] Files accessed less than x seconds ago
-m [minutes] Files accessed less than x minutes ago
-h [hours] Files accessed less than x hours ago
-d [days] Files accessed less than x days ago
-a [d/m/y-h:m:s] Files accessed after this date/time
-ns Exclude sub-directories
- or / Either switch statement can be used
-? Help
Additional time frame usage:
afind /s 2-4 Files accessed between 2 and 4 seconds ago
 afind /m 2-4 Files between 2 and 4 minutes ago
afind /s 2-4 Files between 2 and 4 seconds ago
afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates

HFind: Explora el disco buscando archivos ocultos. Encontrará cualquiera archivo oculto incluso los ocultados por el sistema, usando el atributo archivos del sistema. Éste es el método que utiliza Internet Explorer para ocultar datos. HFind también enumera los tiempos de acceso pasados.

Sintaxis:
HFind v3.0 - Copyright(c) 2000, Foundstone, Inc.
Hidden file finder with last access times
Usage - hfind [path] /ns
[dirpath] Directory to search - none equals current
-ns Skip sub-directories
- or / Either switch statement can be used
-? Help

SFind: Explora el disco buscando secuencias de datos ocultas y enumera los tiempos de acceso pasados.

Sintaxis:
SFind v2.0 - Copyright(c) 1998, Foundstone, Inc.
Alternate Data Stream Finder
Usage - sfind [path] /ns
[dirpath] Directory to search - none equals current
-ns Skip sub-directories
- or / Either switch statement can be used
-? Help

FileStat: Muestra todas los permisos de los archivo. Trabaja solamente con un archivo a la vez. También enumera tiempos de acceso pasados clasificado por usuarios.

Sintaxis:
FileStat v2.0 Copyright(c) 1998, Foundstone, Inc.
Dumps NTFS security, file, and stream attributes Command Line Switches
[Filename] Name of file to list
-? Help

DACLchk: Muestra las ACL con la información de accesos pasados, de todos los archivos de un directorio, en orden inverso.

Sintaxis:
DACLchk v2.0 - Copyright(c) 1999, Foundstone, Inc.
NTFS DACL ACE Order Detector
Dumps any ACL that has Denied and Allowed ACE's in reverse order
Usage - sfind [path] /ns
[dirpath] Directory to search - none equals current
-d Dump all DACL's - Don't detect reversed ACE's
-ns Skip sub-directories
- or / Either switch statement can be used
-? Help

Audited: Esta herramienta combina la información de acceso a ficheros con la información de auditoria de Windows. Solo funciona si se tiene habilitado las políticas de auditoria.

Sintaxis:
Audited v2.0 - Copyright(c) 1998, Foundstone, Inc.
NTFS SACL Reporter - Finds audited files
Usage - audited [path] /ns
[dirpath] Directory to search - none equals current
-d Dump file audit attributes
-r [hivekey] Dump registry audit attributes
-s [subkey] Optional sub-key to search
-v Verbose mode
-ns Skip sub-directories/sub keys
- or / Either switch statement can be used
Reg key constants are - HKLM, HKCR, HKCU, HKU, HKCC
Dumps entire reg if no keyname is specified
-? Help

Hunt: Es una herramienta para mostrar si un sistema revela demasiada información vía NULL sessions.

Sintaxis:
Hunt v2.0 - Copyright(c) 1998, Foundstone, Inc.
SMB share enumerator and admin finder
Usage - hunt \\servername
/? = Help

Estas herramientas solo funcionan si se usan con privilegios de administrador.

Más información y descarga de Forensic ToolKit:
http://www.foundstone.com/us/resources/proddesc/forensictoolkit.htm

Publicado por Alvaro Paz en 5:42 PM http://www.wikio.es 2 comentarios
Etiquetas: , ,

lunes, mayo 19, 2008

Convertir maquina física Windows en maquina virtual.

Gracias a la herramienta gratuita VMWare Converter es muy fácil. Es una técnica que nos puede ser muy útil en varios casos como:

  • Problemas de hardware en una maquina que en la que tenemos software instalado con datos que necesitamos.
  • Migraciones de sistemas para conservar temporalmente un servicio.
  • Clonar maquinas para determinar el impacto de software nuevo que queramos implementar.

VMWare Converter permite convertir cualquier sistemas de la plataforma Windows (Windows NT4, 2000, XP y Server 2003) en maquina virtual. Puede convertir una maquina en caliente y también puede convertir maquinas remotas. Esta maquinas se pueden cargar con todas las versiones de VMWare. De estas versiones existen en plataforma Windows dos gratuitas VMware Server y VMware Player, también se puede utilizar Quemu que puede cargar maquinas VMware que hace una interesante combinación, gracias a la posibilidad de tener maquinas virtuales portables con la versión de Quemu portable.

Más información y descarga de VMWare Converter:
http://www.vmware.com/products/converter/

Más información y descarga de VMware Server:
http://www.vmware.com/products/server/

Más información y descarga de Quemu:
http://fabrice.bellard.free.fr/qemu/

Descarga de Quemu portable:
http://www.davereyn.co.uk/qem/qemumanager40.zip

Publicado por Alvaro Paz en 8:48 PM http://www.wikio.es 2 comentarios
Etiquetas: ,

jueves, mayo 15, 2008

Borrado seguro de historial de navegación.

Como he comentado en anteriores post existen muchas aplicaciones y muy eficientes para recuperar información borrada. Con estas aplicaciones se pueden recuperar cualquier tipo de dato borrado como el historial de navegación o las Cookies que pueden servir para ver los hábitos de navegación del usuario.

Existe una herramienta ideal para el borrado seguro del historial se llama Clean Disk Security, es gratuita y muy sencilla que además puede borrar:

  • Archivos recientes del menú documentos recientes.
  • Archivos de papelera de reciclaje.
  • Archivos temporales de Windows.
  • Carche del navegador.
  • Residuos de procesos y portapapeles de la memoria virtual.

Entre sus características destaca la posibilidad de emplear diferentes métodos de borrado seguro, entre los que se encuentra el famoso método Gutmann.

Más información y descarga de Clean Disk Security:
http://www.theabsolute.net/sware/clndisk.html

Publicado por Alvaro Paz en 6:02 PM http://www.wikio.es 0 comentarios
Etiquetas: , ,

martes, mayo 13, 2008

Suite para test de seguridad en Bluetooth.

Se trata de BlueMaho un conjunto de utilidades para chequear la seguridad de dispositivos Bluetooth. Con esta suite para Linux, se pueden detectar las vulnerabilidades descubiertas en dispositivos Bluetooth y probarlas, ya que contiene exploits.

Sus principales características son:

  • Exploración de dispositivos mostrando información avanzada como: registros SDP, fabricante del dispositivo…
  • Exploración continúa, se puede programar para explorar todos los dispositivos disponibles sin parar.
  • Se pueden programar alarmas con el sonido si encuentra un nuevo dispositivo.
  • Cuando encuentra un dispositivo se pueden especificar que se carga un comando para chequear dispositivo.
  • Permite utilizar dos dispositivos Bluetooth uno para escanear y otro para lanzar las aplicaciones y exploits. Es la forma de trabajo ideal.
  • Seguimiento utilizando una base de datos puede seguir un dispositivo y decir cuantas veces lo ha detectado, guardando datos como: posición, duración de conexión…

BlueMaho esta compuesto por las siguientes herramientas:

  • atshell.c para escanear canales RFCOMM.
  • bccmd utilidad para interface CSR BCCMD.
  • bdaddr.c utilidad para cambiar direcciones del dispositivo.
  • bluetracker.py script para seguir el RSSI de los dispositivo.
  • psm_scan para escanear L2CAP PSMs.
  • rfcomm_scan escanear canales RFCOMM.
  • BSS (Bluetooth Stack Smasher) v0.8 denegación de servicio de L2CAP.
  • greenplaque v1.5, herramienta para escanear usando varios dispositivos.
  • L2CAP packetgenerator generar paquetes L2CAP.
  • redfang v2.50 encontrar dispositivos ocultos.

Y algunos exploits:

  • Bluebugger v0.1.
  • bluePIMp.
  • BlueZ hcidump v1.29 DoS PoC.
  • helomoto.
  • hidattack v0.1.
  • Nokia N70 l2cap packet DoS PoC.
  • Sony-Ericsson reset display PoC.

Más información y descarga de BlueMaho:
http://wiki.thc.org/BlueMaho

Ejemplos y usos de algunas de las herramientas de la suite:
http://bluetooth-pentest.narod.ru/

Seguridad en tecnología Bluetooth.
http://vtroger.blogspot.com/2006/05/seguridad-en-tecnologa-bluetooth.html

Publicado por Alvaro Paz en 3:13 PM http://www.wikio.es 1 comentarios
Etiquetas: , , ,

lunes, mayo 12, 2008

Meme obligatorio.

Que recojo de la mano de Carlos Jumbo G.(un poco tarde).

Instrucciones (copy and paste desde aquí).

Pon un enlace de este post en tu blog.
1. ¿Cuál consideras ha sido tu peor post?
2. ¿Y cuál, tu mejor post?
3. ¿Te han meneado alguna vez?

Mis respuestas son:


Le paso este meme a Spamloco y Blog informático.

Publicado por Alvaro Paz en 10:10 PM http://www.wikio.es 0 comentarios

jueves, mayo 08, 2008

Gestión remota de múltiples cortafuegos.

Con la herramienta Firewall Builder, una aplicación multiplataforma, disponible para: Windows 2000/XP/Vista, Mac OS X y Linux. Firewall Builder permite la gestión y configuración remota con interfaz grafica, de varios sistemas cortafuegos. Actualmente soporta: iptables (netfilter), ipfilter, pf, ipfw, Cisco PIX (FWSM, ASA) y listas de acceso extendidas de routers Cisco.

Esta herramienta es ideal para la administración de varias maquinas, presta soporte a los usuarios gracias a una base de datos de objetos que permiten la corrección y gestión de las políticas de los cortafuegos con operaciones simples.

Más información y descarga Firewall Builder:
http://www.fwbuilder.org/

Auditar seguridad en dispositivos Cisco:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

Publicado por Alvaro Paz en 7:57 PM http://www.wikio.es 3 comentarios
Etiquetas: , ,

miércoles, mayo 07, 2008

Premios Dardo 2008.

Los Premios Dardo son premios de bloggers para otros bloggers. Estos premios se realizan a modo de meme, de forma que el premiado, premia otros blogs que el reconoce como merecedores del premio.

En este caso LA CARTA TRECE ha pensado en este blog para entregarle el premio, gesto que le agradezco. Y como premiado mi deber es premiar otros blogs.

Aquí va mi lista:

Blog cavaju: Tecnología y Seguridad: Un blog sobre seguridad informática de Carlos Jumbo que sigo muy a menudo, al que tengo especial simpatía porque nuestros comienzos en la blogoesfera fueron parejos.

Spamloco: Un blog con una temática muy variada sus temas principales son consejos y trucos para mantener el PC seguro y en condiciones. Escrito por Alejandro Eguia.


Apuntes de seguridad de la información: Otro blog sobre seguridad de la información donde encontrar grandes post sobre legislación y normativa en materia de seguridad informática. Por Javier Cao Avellaneda.


DigiZen: Un blogfesor aprendiendo: Un interesantísimo blog sobre temática educativa, del que se puede aprender mucho de la Web 2.0. Escrito por Mario Núñez.

Blog informático: Un blog con todo tipo de contenidos relacionados con la informática. Escrito por Kervin Vergara.

SEGU-INFO: Otro excelente blog de seguridad informática escrito por Cristian Borghello.

Publicado por Alvaro Paz en 6:37 PM http://www.wikio.es 10 comentarios

martes, mayo 06, 2008

Testear seguridad de aplicaciones Web.

Con una herramienta gratis y bastante eficaz se trata de Sandcat. Entre otras funciones, busca fallos de seguridad sacados de: el Top 20 de SANS, el Top 10 de OWASP y el Top 5 de vulnerabilidades PHP de OWASP.


Sus funciones mas destacadas son:

  • Detección de vulnerabilidades a ataques cross-site scriptin.
  • Detección de vulnerabilidades SQL Injection.
  • Permite definir un rango de direcciones IP para explorar.
  • Permite definir múltiples URLs para explorar.
  • Permite realizar exploraciones intrusivas y no intrusivas.
  • Analiza el archivo robots.txt y Javascript.
  • Soporta OSVDB, NVD, CVE y CWE.

Incluye dos módulos que se pueden descargar por separado:

  • Syhunt Apache/PHP Hardener para testear la seguridad del servidor Apache.
  • Syhunt Log Analysis Tool para analizar los log generados por el servidor web ante ataques.



Top 20 de SANS:
http://www.sans.org/top20/

Top 10 de OWASP:
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Top 5 de vulnerabilidades PHP de OWASP:
http://www.owasp.org/index.php/PHP_Top_5

Mas información y descarga de Sandcat:
http://www.syhunt.com/?section=sandcat

Syhunt Apache/PHP Hardener:
http://www.syhunt.com/?section=hardener

Syhunt Log Analysis Tool:
http://www.syhunt.com/?section=log_analyzer

Publicado por Alvaro Paz en 7:36 PM http://www.wikio.es 1 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)