martes, julio 29, 2008

Analizar vulnerabilidades a través de la red.

Utilizando una herramienta llamada SARA (Security Auditor’s Research Assistant) basada en el escáner de vulnerabilidades SATAN. Es una herramienta muy eficaz ideal para auditorias de seguridad. Soporta las plataformas: Unix, Linux, MAC OS/X y Windows (usando coLinux).

Entre sus principales características destaca:

  • Integra vulnerabilidades obtenidas de NVD (National Vulnerability Database).
  • Posee varios test de SQL injection.
  • Incluye exhaustivos test XSS.
  • Puede adaptarse a entornos de red con diferentes firewalls.
  • Permite realizar escaneados remotos a través de fáciles API.
  • Soportas estándares CVE. Una lista de nombres estandarizada para las vulnerabilidades y otras exposiciones de seguridad de la información.
  • Puede ejecutarse usar en modo normal o modo demonio.
  • Permite realizar test de búsqueda inversa para DNS y envenenamiento de cache DNS.
  • Se actualiza todos los meses.

Más información y descarga de SARA (Security Auditor’s Research Assistant):
http://www-arc.com/sara

Documentación de SARA:
http://www-arc.com/sara/sara8.html

NVD (National Vulnerability Database):
http://nvd.nist.gov/

CVE (Common Vulnerabilities and Exposures):
http://www-arc.com/sara/cve/cve.html

Más información y descarga de coLinux:
http://www.colinux.org/

Publicado por Alvaro Paz en 11:56 PM http://www.wikio.es 3 comentarios
Etiquetas: , , , ,

miércoles, julio 23, 2008

Análisis forense router Cisco.

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

  • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
  • Comprometer otros routers a través de el.
  • Desviar firewalls de red, IDS o otros servicios.
  • Monitorizar y grabar el tráfico entrante o saliente de la red.
  • Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

  • Configuración activa.
  • Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

  • Configuración de arranque.
  • Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

  • No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
  • Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
  • Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
  • Grabar la sesión completa de análisis de la consola en un archivo de log.
  • Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
  • Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

  • show clock detail
  • show version
  • show running-config
  • show startup-config
  • show reload
  • show ip route
  • show ip arp
  • show users
  • show logging
  • show ip interface
  • show interfaces
  • show tcp brief all
  • show ip sockets
  • show ip nat translations verbose
  • show ip cache flow
  • show ip cef
  • show snmp user
  • show snmp group
  • show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:
http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

Publicado por Alvaro Paz en 6:08 PM http://www.wikio.es 9 comentarios
Etiquetas: , ,

jueves, julio 17, 2008

Herramienta de borrado seguro para Linux.

Se trata de srm una herramienta de borrado seguro para remplazar la actual rm. Con srm podemos evitar que se recuperen datos sensibles después de ser borrados.
Su sistema de borrado se basa en el método Gutmann que consiste en utilizar los algoritmos publicados por Peter Gutmann en su articulo “Secure Deletion of Data from Magnetic and Solid-State Memory”.
Esta herramienta no trabaja en reiserfs, pero se puede utilizar en: ext2, ext3, FAT, FAT32 y sistemas de archivos nativos Unix.

Más información y descarga de srm:
http://srm.sourceforge.net/

“Secure Deletion of Data from Magnetic and Solid-State Memory” de Peter Gutmann:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Publicado por Alvaro Paz en 1:36 PM http://www.wikio.es 1 comentarios
Etiquetas: , ,

lunes, julio 14, 2008

Análisis forense de elementos enviados a la papelera de reciclaje.

Una técnica de análisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:

  • Windows 95/98/ME en “C:\Recycled\”
  • Windows NT/2000/XP/ en “C:\Recycler\

Un ejemplo en de la estructura en un Windows XP con dos usuarios:

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-1004
C:\RECYCLER\ S-1-5-21-1417001333-343818398-1801674531-500

Dentro de estas carpetas de los dos usurarios de este sistema se encuentran los archivos borrados de cada uno. Además de estos archivos se encuentra también un archivo llamado INFO2 donde se almacena la información sobre cuando se borro y de donde se borro el archivo. Se puede extraer esta información con un editor hexadecimal, aunque es más fácil utilizar la herramienta rifiuti.

Ejemplo:

Entramos en la carpeta de usuario en la ruta “C:\RECYCLER”.

C:\RECYCLER\S-1-5-21-1417001333-343818398-1801674531-500>

Y ejecutamos rifiuti:

rifiuti INFO2>e:\analisis.txt

Y el resultado se genera en el archivo “analisis.txt” donde aparecerá: la fecha y hora de eliminación, la ruta de donde se eliminaron y el tamaño, de todos los archivos que se enviaron a la papelera de reciclaje.

Rifiuti también esta disponible para Linux.

Más información y descarga de rifiuti:
http://www.foundstone.com/us/resources/proddesc/rifiuti.htm

Publicado por Alvaro Paz en 11:41 PM http://www.wikio.es 4 comentarios
Etiquetas: , ,

jueves, julio 10, 2008

Herramientas para asegurar dispositivos Cisco.

En este post describiré unas herramientas muy útiles para asegurar dispositivos Cisco.


Router Audit Tool (RAT).

RAT esta diseñada en Perl. Su funcionamiento consiste en descargar los archivos de configuración del router y analizar los agujeros de seguridad y después aporta datos de como solucionar los fallos con unas guías que incluye.
Consta de 4 programas:

  • Snarf : Sirve para descargar los archivos de configuración del router.
  • Ncat: Para leer los archivos de configuración y reglas base para la evaluación, genera un archivo con los resultados.
  • Ncat_report: Crea el HTML de los archivos planos del resultado.
  • Ncat_config: Se utiliza para localizar de los archivos de reglas básicas.

Es una herramienta ideal para asegurar la configuración de routers Cisco y para realizar auditorias de caja blanca de los mismos.

Más información y descarga de RAT y guías de ayuda:
http://www.cisecurity.org/bench_cisco.html


Cisco Snmp Tool.

Es una herramienta para administrar las configuraciones de routers Cisco en redes LAN y WAN. Además tiene una interface visual con un mapa del diseño de la red.

Entre sus funciones destaca:

  • Puede descargar y cargar las configuraciones del router.
  • Puede escribir en la memoria NVRAM del router.
  • Herramientas de ping y tracert.
  • Monitoriza el estado de los dispositivos de red en tiempo real.
  • Realiza log del estado de los dispositivos y sus fallos.
  • Puede analizar trafico CPD.
  • Posee una herramienta para visualizar la configuración de los dispositivos.

Más información y descarga de Cisco Snmp Tool:
http://billythekids.demirdesign.com/


Cisco Torch.

Es un escáner fingerprinting para descubrir dispositivos Cisco. Este escáner identifica los dispositivos y rastrea sus servicios: telnet, SSH, los servicios Web, NTP y SNMP. Y también permite realizar ataques de fuerza bruta. Es ideal para auditorias de caja negra.

Descarga de Cisco Torch:
http://www.arhont.com/digitalAssets/210_cisco-torch-0.4b.tar.gz
Más información y modo de empleo Cisco Torch:
http://www.arhont.com/digitalAssets/200_README.txt


EIGRP Tools.

Es una sniffer para el protocolo EIGRP que también tiene la posibilidad de generar paquetes. Desarrollado para probar la seguridad y eficiencia de este protocolo.

Modo de empleo:

eigrp.pl [--sniff] [ --iface=interface ] [--timeout=i]

Modificadores:

--sniff Sniff eigrp packets
--iface Listen on an interface
--iflist List all available network interfaces
--source Source IP address
--dest Packet destination IP. Default multicast IP - 224.0.0.10
--timeout=n pcap init timeout (500 default)
--hello Send EIGRP HELLO
--update Update route
--query Send [Query] (Unreachable destination )
--external External route
--internal Internal route
--ipgoodbye=s IP to [Goodbye message] Authentication replay not implemented
--file2ip=s Send raw sniffed eigrp data from file to IP
--payback Sniff the UPDATE packet, change [Delay] and send it back (PoC)
--op=n EIGRP opcode no. to trigger, capture a pkt defined by the trigger onto a disk
--sn=n EIGRP sequence number to trigger
--auth Authentication data for the reply attack (copy past hex from sniff)
--opcode Custom opcode for hello packets fuzzing
--flags=n EIGRP flags (0,1 or 2)
--version=n EIGRP version [8 bit integer] Default = 2
--as=n Autonomous system number, Default = 1
--k1=n Metric K1 Default 1
--k2=n Mertic K2 Default 0
--k3=n Mertic K3 Default 1
--k4=n Mertic K4 Default 0
--k5=n Mertic K4 Default 0
--mtu=n MTU
--nms=n Add NMS (Next multicast message) to Hello packet
--eigrpv=s EIGRP release version
--ios=s IOS version
--hopcount=n Hop count
--reliability=n Reliability
--load=n Load
--delay=n Delay
--sequence=n Sequence (32bit sequence) Default = 0
--ack=n Acknowledge (32bit sequence) Default = 0
--nexthop=s Next Hop
--bandwidth=n Bandwidth
--routedest=s Route destination
--origrouter=s Originating router
--origas=n Originating Autonomous system number
--arbitatag=n Arbitrary tag
--metric=n protocol metric (external EIGRP metric for the external updates)
--extproto=n External protocol
ID IGRP(1)
EIGRP(2)
Static Route(3)
RIP(4)
HELLO(5)
OSPF(6)
IS_IS(7)
EGP(8)
BGP(9)
IDRP(10)
Connected link(11)
--hold=n Hold time in seconds
--hellotime=n Hello send retries timeout . Default = 5 sec
--hellodos=s IP subnet. Nasty DOS attack! Send HELLO EIGRP Argument from IP range.
--retries=n Packet send retries Default = 1;

Descarga de EIGRP Tools.
http://www.arhont.com/digitalAssets/264_eigrp-tools.tar.gz


Auditar seguridad en dispositivos Cisco:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

Publicado por Alvaro Paz en 5:12 PM http://www.wikio.es 0 comentarios
Etiquetas: , ,

lunes, julio 07, 2008

Auditar seguridad en dispositivos VoIP basados en SIP.

Con la herramienta SIPVicious un kit de utilidades diseñadas para auditar la seguridad en dispositivos VoIP basados en el protocolo SIP.

SIPVicious esta compuesto de las siguientes herramientas:

Svmap: es un escaner del protocolo SIP. Escanea rangos de IP y identifica cualquier servidor que trabaje en SIP. También tiene la opción para explorar rangos de puertos. Puede obtener todos los teléfonos en una red para hacerlos sonar al mismo tiempo (usando el método INVITE).

Modo de empleo:
http://code.google.com/p/sipvicious/wiki/SvmapUsage

Svwar: Muy parecido a un war dialer usado para llamar a números de teléfono en la red para identificarlos. Esto aplicado en el protocolo SIP, permite identificar a usuarios activos.

Modo de empleo:
http://code.google.com/p/sipvicious/wiki/Svwarusage

Svcrack: Sirve para atacar la autentificación de los dispositivos. Puede atacar contraseñas en los servidores VoIP y los servidores proxy. Para realizar estés ataques de diccionario necesita un archivo previamente asignado.

Svreport: Maneja las sesiones creadas por el resto de las herramientas y permite exportarlas a pdf, xml, csv y testo plano. Lo que facilita el trabajo para generar informes de la auditoria.

Estas herramientas que componen SIPVicious están escritas en python y necesitan para ser ejecutadas la versión 2.4 o superior. Su funcionamiento esta totalmente probado en: Linux, Mac OS X, Windows y en FreeBSD 6.2.

Más información y descarga de SIPVicious:
http://code.google.com/p/sipvicious/

Caso practico de uso de SIPVicious:
http://code.google.com/p/sipvicious/wiki/GettingStarted

Interceptar conversaciones VoIP:
http://vtroger.blogspot.com/2008/06/interceptar-conversaciones-voip.html

Escáner de vulnerabilidades de telefonía VoIP:
http://vtroger.blogspot.com/2008/01/escner-de-vulnerabilidades-de-telefona.html

Herramienta de test de penetración para VoIP:
http://vtroger.blogspot.com/2007/10/herramienta-de-test-de-penetracin-para.html

Publicado por Alvaro Paz en 5:30 PM http://www.wikio.es 0 comentarios
Etiquetas: , , ,

miércoles, julio 02, 2008

Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas.

Publicado por Observatorio de la Seguridad de la Información de INTECO. Un interesantísimo y completo estudio sobre el marco de la seguridad de los dispositivos móviles y redes inalámbricas en España. Realizado con la opinión consensuada de profesionales de más de 20 empresas del sector así como de un panel expertos en seguridad y con la realización y análisis de resultados de 3.233 encuestas a usuarios que se conectan a Internet con dispositivos y redes inalámbricas desde el hogar.

En este estudio destacaría aspectos como:

  • En los hogares españoles el 51% tiene portátil con Wi-Fi o bluetooth y el 50,3% Router Wi-Fi. Pero un 12,2% desconoce la configuración de seguridad de los dispositivos y un 7,9% no considera necesario tener sistemas de seguridad. Frente a un 26,1 % usa cifrado WEP y un 20% WPA.
  • Un 5.2% ha descubierto alguien usando su conexión y un 18.7% sospecha que alguien ha usado su conexión.
  • El 20% usa Bluetooth siempre encendido y listo para usar.
  • En lo que se refiere a amenazas mas importantes de seguridad móvil las organizaciones estiman que el 87,7 perdida o robo, 65% accesos no autorizados a la red.
  • Relata muy bien el marco legal de las redes inalámbricas en España.

Mi principal conclusión sobre este estudio porque creo que es algo que se debe mejorar mucho: Los usuarios domésticos necesitan más información sobre seguridad en redes inalámbricas y los proveedores de servicios de internet, debían de incluir guías de seguridad en sus productos de conexión a internet, para informarlos.

“Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas” del Observatorio de la Seguridad de la Información de INTECO:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_redes

Publicado por Alvaro Paz en 7:23 PM http://www.wikio.es 4 comentarios
Etiquetas: , ,

Betatester de Panda Internet Security 2009.

Panda Security ha iniciado un concurso de Betatester para su versión Internet Security 2009. Los primeros 150 usuarios que reporten una incidencia desconocida recibirán una Nintendo DS. Todos aquellos usuarios que hayan reportado alguna incidencia, gozarán de un 50% de descuento al adquirir el producto final.

Más información Betatester de Panda Internet Security 2009:
http://www.pandasecurity.com/spain/promotions/betatest/

Publicado por Alvaro Paz en 7:18 PM http://www.wikio.es 7 comentarios
Etiquetas:
Suscribirse a: Entradas (Atom)