viernes, abril 24, 2009

Auditar la robustez de contraseñas de Oracle 11g.

Utilizando la herramienta woraauthbf podemos auditar la robustez de las contraseñas utilizadas en Oracle. Esta herramienta además de poder emplear la técnica de fuerza bruta puede descifrar el hash de la contraseña aprovechando una vulnerabilidad en la autentificación de Oracle 11g.

Características principales:

  • Ataque del hash de la contraseña de Oracle 11g.
  • Ataque de la autentificación de Oracle 8i sin dlls.
  • Ataque de la autentificación de Oracle 9i y 10g con las dlls.
  • Ataque de diccionario.
  • Ataque incremental de fuerza bruta.
  • Incluye una lista de contraseñas por defecto en el archivo “default.txt”, para realizar ataques.

Woraauthbf está disponible para sistemas Linux y Windows. Es una herramienta muy útil para determinar la robustez de las contraseñas utilizadas por los usuarios ante ataques de fuerza bruta.

Más información y descarga de Woraauthbf:
http://soonerorlater.hu/index.khtml?article_id=513

Publicado por Alvaro Paz en 12:11 AM http://www.wikio.es 4 comentarios
Etiquetas: , , ,

viernes, abril 17, 2009

Geolocalización de atacante de red Wi-Fi.

Utilizando la herramienta MoocherHunter un software de seguimiento móvil para la geo-localización en tiempo real de atacantes de redes inalámbricas.

Para utilizar MoocherHunter es preciso emplear una antena direccional y un ordenador portátil para poder seguir la señal y aislarla hasta localizar la fuente exacta.

Esta herramienta se encuentra en el LiveCD OSWA-Assistant que contiene herramientas para la auditoria de redes inalámbricas. MoocherHunter solo soporta los chipset de tarjetas inalámbricas: Prism54G (HARDMAC), Atheros, RTL8187, RT2500, RT2570, IPW2200 y IPW2915.

Más información y video demostración de MoocherHunter:
http://securitystartshere.org/page-training-oswa-moocherhunter.htm

Más información y descarga de LiveCD OSWA-Assistant:
http://securitystartshere.org/page-training-oswa-assistant.htm

Publicado por Alvaro Paz en 10:23 PM http://www.wikio.es 0 comentarios
Etiquetas: , ,

lunes, abril 13, 2009

Herramienta para auditar la seguridad de Office Communication Server 2007.

Utilizando la herramienta OAT se pueden realizar auditorías de seguridad de Office Communication Server 2007. OAT es una herramienta de seguridad diseñada para comprobar la robustez de las contraseñas de los usuarios del Office Communication Server 2007. Después de que se comprometa una contraseña, OAT demuestra el potencial de los ataques que se pueden realizar, utilizando usuarios legítimos, si los controles de seguridad apropiados no están configurados.

OAT tiene dos modos de trabajo para realizar auditorías:

Modo interno ideal para auditorias caja blanca.

El modo interno simula ataques de la red interna, donde el atacante tiene acceso sin restricción a los recursos compartidos y a los servidores. OAT explora la red interna preguntando al controlador de dominio por todos los usuarios permitidos de Office Communication Server entonces agrega estos usuarios a la lista del ataque. Los ataques siguientes se pueden realizar a una red interna

  • Ataque IM Flood a solo un usuario.
  • Ataque IM Flood a un dominio.
  • Ataque denegación servicios.

Modo externo ideal para auditorias caja negra.

El modo externo simula el panorama del ataque en el cual un atacante está fuera de la red corporativa. Una vez que el ataque de diccionario contra usuario blanco funciona, OAT actúa como un cliente legítimo de Office Communication Server, interactuando con el servidor. Y utiliza las credenciales del usuario para obtener la lista de los contactos del usuario y aplicaciones, esta información es útil para la fase próxima del ataque. Las pruebas siguientes se pueden realizar desde una red externa.

  • Conseguir lista de contactos.
  • Ataque IM Flood de la lista de contactos.
  • Ataque denegación servicios.

Más información y descarga de OAT:
http://voat.sourceforge.net/

Office Communications Server 2007:
http://office.microsoft.com/es-es/communicationsserver/default.aspx

Publicado por Alvaro Paz en 8:16 PM http://www.wikio.es 1 comentarios
Etiquetas: , , ,

viernes, abril 03, 2009

Herramientas para la detección y desinfección del virus Conficker.

El virus Conficker es el malware del que más se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagación rápida. Lo más preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lógico que no se produjese debido a su repercusión mediática, lo más lógico sería realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artículo de The Honeynet Project llamado “Know Your Enemy: Containing Conficker”.

Aquí van unas herramientas para su detección y desinfección:

Escáner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escáner:

http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las máquinas infectadas en una red. Inspirado por el " downatool" de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C.

http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe

Explorador de memoria (de la Universidad de Bonn): Es difícil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema.

http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe

Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta:

http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe

Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las máquinas infectadas basada en el código de error para mensajes RPC:

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Vacuna para el virus Conficker A, B, C y D (no siempre funciona):

http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra:

  • W32/Conficker
  • W32/Conficker.gen
  • W32/Conficker.sys
  • W32/Conficker.worm
  • W32/Conficker.worm!inf
  • W32/Conficker.worm!job
  • W32/Conficker.worm.dr
  • W32/Conficker.worm.gen.a
  • W32/Conficker.worm.gen.b
  • W32/Conficker.worm.gen.c
  • W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx

Asimismo una de las aplicaciones de escaneo de vulnerabilidades más popular Nessus, cuenta con un plugin (#36036) que está basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infección en una red.

The Honeynet Project “Know Your Enemy: Containing Conficker”:
http://www.honeynet.org/files/KYE-Conficker.pdf

Informe Universidad de Bonn:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Virus zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

Publicado por Alvaro Paz en 9:56 PM http://www.wikio.es 2 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)