viernes, enero 30, 2009

Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos.

Publicado por Observatorio de la Seguridad de la Información de INTECO. Se trata de una completa guía con información práctica y recomendaciones para la adaptación de las Entidades Locales a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y a su Reglamento de Desarrollo (RDLOPD).

Esta guía está destinada a:

  • Los Alcaldes, Concejales, Presidentes y Diputados.
  • Los Secretarios, Tesoreros e Interventores.
  • Los coordinadores de protección de datos de Ayuntamientos y mancomunidades, consultores tecnológicos, responsables de informática y asesores jurídicos de la Administración Local.

En esta guía se pueden encontrar los siguientes apartados:

  • Contexto y destinatarios de la guía.
  • Marco legal.
  • Principios básicos de la protección de datos de carácter personal.
  • Agentes y organismos implicados.
  • Ficheros incluidos en el ámbito de aplicación de la LOPD.
  • Fases de implantación de la LOPD.
  • Fase I: Adaptación a los ficheros.
  • Fase II: Legitimación de datos de carácter personal.
  • Fase III: Políticas de seguridad de los datos.
  • Anexo I Tratamiento de datos habituales por parte de las entidades locales.
  • Anexo II Glosario.

Descarga de la “Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos”:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Guia_LOPD_EELL

Publicado por Alvaro Paz en 6:08 PM http://www.wikio.es 0 comentarios
Etiquetas:

miércoles, enero 28, 2009

Bloquear IP que realizan ataques de fuerza bruta.

Los ataques de fuerza bruta suelen ser los más utilizados para atacar un servicio, ya que son los ataques más populares y fáciles de ejecutar con herramientas automatizadas. En este post voy a hablar de dos herramientas para Linux y Windows para evitar este tipo de ataques en determinados servicios, bloqueando la IP del atacante. Por ejemplo, si un usuario falla más de 5 veces el login en SSH, bloquear dicha IP y el usuario.

En Linux.

Utilizamos la herramienta Fail2ban, su funcionamiento se basa en buscar en los registros (ficheros log) de los demonios y programas indicios de ataques. Una vez encontrado un ataque aplica las acciones que tiene configuradas. La acción más corriente es bloquear el usuario o la Ip en iptables.

El fichero de configuración es el /etc/fail2ban/jail.conf. En este fichero se pueden definir las acciones en caso de ataque, existen parámetros como:

  • ignoreip: IPs de nuestra área local que aunque se equivoquen en el login no serán bloqueadas y por tanto quedan excluidas de las acciones de Fail2ban.
  • maxretry: Número máximo de intentos de login.
  • bantime: Tiempo en segundos que el usuario que falló el login se quedara sin poder acceder al servicio especificado. Si se asigna el valor -1 será permanente.
  • filter: Se utiliza para aplicar los filtro que incluye la herramienta en el subdirectorio /etc/fail2ban/filter.d.
  • destemail: Dirección de correo electrónico donde enviara las alertas.

Todo las acciones realizadas por Fail2ban y las se registran en el archivo de log /var/log/fail2ban.log.

Esta herramienta está disponible para las distribuciones: Slackware, ArchLinux, SUSE, Mandriva, Ipcop, Gral Linux, RedHat/Fedora, Ubuntu, Debian y Gentoo.

Más información y descarga de Fail2ban:
http://www.fail2ban.org/wiki/index.php/Main_Page

FAQ de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/FAQ_spanish

HOWTO de Fail2ban (en español):
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2ban_spanish

En Windows.

Se trata de WinFail2ban, su funcionamiento está basado en Fail2ban de Linux pero es menos versátil. WinFail2ban se ejecuta como servicio y analiza los log de: SQL Server, FTP (IIS) y firewall XP en caso de ser un Windows XP. Buscando ataques de fuerza bruta y bloqueando las IP en el firewall o usando un falso enrutamiento. WinFail2ban también incluye la opción de enviar las alertas por correo electrónico.

Más información y descarga de WinFail2ban:
http://winfail2ban.sourceforge.net/

Publicado por Alvaro Paz en 6:56 PM http://www.wikio.es 4 comentarios
Etiquetas: , , ,

jueves, enero 22, 2009

Herramienta de test de penetración de aplicaciones Web.

Se trata de w3af “Web Application Attack and Audit Framework”, esta herramienta es un conjunto de plugins agrupados por características. Los plugins se actualizan de forma periódica y están agrupados en la aplicación, en los siguientes apartados:

  • Auditoria: para auditar la seguridad de la aplicación. En este apartado destacan plugins como: detección SQL injection, detección XSS, detección SSI, detección Buffer Overflow, detección LDAP Injection…
  • Fuerza bruta: Son plugins para atacar mecanismos de autentificación por fuerza bruta.
  • Descubrimiento: Descubrir información sobre el sitio como nuevas URLs, usuarios, servidores… Utiliza plugins como: Hmap para http fingerprinting, fingerGoogle busca cuentas de usuario de la aplicación Web en google…
  • Evasión: Usados para evadir IDS.
  • Grep: analiza las respuestas del servidor a los plugins buscando: errores, cookies…

La interfaz tiene cuatro pestañas: configuración, log, resultados y exploit. Estas pestañas describen el proceso de test de penetración a una aplicación web. La pestaña de log muestra el proceso del escaneo. Cuando se acaba este proceso podemos ver su resultado en su correspondiente pestaña y si se encuentran vulnerabilidades, atacarlas con los exploit que trae la herramienta.

W3af es multiplataforma, ya que está escrita en python bajo licencia GNU.

Más información y descarga de w2af:
http://w3af.sourceforge.net/

Publicado por Alvaro Paz en 5:49 PM http://www.wikio.es 6 comentarios
Etiquetas: , , , ,

martes, enero 13, 2009

Eliminar y evitar infecciones de virus que afectan al autorun.

Existe una gran cantidad de malware que utilizan el archivo AUTORUN.INF para ejecutarse e infectar el sistema, la mayoría de este malware se propaga vía memorias USB.

Muchos antivirus no manejan eficientemente estos tipos de malware, aunque si suelen detectarlo cuando se ejecuta, no suelen controlar el dispositivo cuando se conecta. En algunos casos cuando lo detectan ya es demasiado tarde. Existen bloqueadores de autorun, pero no son efectivos si se ejecuta el autorun por descuido, entrando en la unidad.

Existen aplicaciones que van mas allá del típico bloqueador de autorun, que además examinan la unidad en busca virus, los eliminan de la unidad y del sistema si estuviera infectado. Yo destacaría dos alternativas dentro de este tipo de programas: Ninja Pendisk y Autorun Eater.

Son herramientas muy recomendadas como complemento de un antivirus en sistemas en los que utilizan constantemente memorias USB.

Más información y descarga de Ninja Pendisk:
http://nunobrito.eu/ninja/

Más información y descarga de Autorun Eater:
http://oldmcdonald.wordpress.com/2008/11/27/autorun-eater-v23/

Técnicas de ataque mediante dispositivos USB.
http://vtroger.blogspot.com/2008/04/tcnicas-de-ataque-mediante-dispositivos.html

Publicado por Alvaro Paz en 7:59 PM http://www.wikio.es 2 comentarios
Etiquetas: , ,

miércoles, enero 07, 2009

Detectar Rootkits en sistemas Linux/UNIX.

Ya he definido un rootkit en anteriores post, en este post voy a escribir sobre una herramienta para detectar rootkits en sistemas Linux/UNIX. Se trata de Rootkit Hunter una herramienta que detecta rootkits y exploits locales en el sistema, escaneando ficheros y directorios en busca de ficheros usados por rootkits y realizando comparaciones con testeo MD5.

Entre sus características destaca:



  • Detecta los rootkits: IntoXonia, NG rootkit , rootkit Phalanx2…

  • Soporte para archivos TCB shadow.

  • Chequea las características de los inodos de los archivos.

  • Testea configuración de SSH.

Rootkit Hunter ha sido testeado en los siguientes sistemas: AIX 4.1.5 / 4.3.3, ALT Linux, Aurora Linux, CentOS 3.1 / 4.0, Conectiva Linux 6.0, Debian 3.x, FreeBSD 4.3 / 4.4 / 4.7 / 4.8 / 4.9 / 4.10, FreeBSD 5.0 / 5.1 / 5.2 / 5.2.1 / 5.3, Fedora Core 1 / Core 2 / Core 3, Gentoo 1.4/2004.0/2004.1, Macintosh OS 10.3.4-10.3.8, Mandrake 8.1 / 8.2 / 9.0-9.2 / 10.0 / 10.1, OpenBSD 3.4 / 3.5, Red Hat Linux 7.0-7.3 / 8 / 9, Red Hat Enterprise Linux 2.1 / 3.0, Slackware 9.0 / 9.1 / 10.0 / 10.1, SME 6.0, Solaris (SunOS), SuSE 7.3 / 8.0-8.2 / 9.0-9.2, Ubuntu y Yellow Dog Linux 3.0 / 3.01.

Más información y descarga de Rootkit Hunter:
http://sourceforge.net/projects/rkhunter/


Como detectar rootkit:
http://vtroger.blogspot.com/2008/01/como-detectar-rootkit.html

Rootkit y herramientas desinfección:
http://vtroger.blogspot.com/2006/09/rootkit-y-herramientas-desinfeccin.html

Los rootkit la futura amenaza:
http://vtroger.blogspot.com/2006/03/los-rootkit-la-futura-amenaza.html

Rootkits:
http://vtroger.blogspot.com/2005/11/rootkits.html

Publicado por Alvaro Paz en 9:49 PM http://www.wikio.es 9 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)