jueves, mayo 28, 2009

Nuevas amenazas de malware.

Los creadores de malware, cada vez son más ingeniosos a la hora de buscar fuentes de infección para extender sus creaciones. Últimamente se están dando prácticas de infección muy ingeniosas, y en este post voy a destacar dos:

El caso de la distribución de copias troyanizadas de Windows 7, tanto en redes P2P como en páginas Web. Aprovechando el lanzamiento de Windows 7 y el interés de los usuarios Windows, por probar el nuevo sistema. Los creadores de malware cuelgan copias troyanizadas de Windows 7 en páginas Web y en redes P2P. Lo más recomendable siempre es no descargar software de fuentes desconocidas y en este caso los que quieran probar Windows 7 lo mejor es siempre descargarlo de su página oficial.

Cybercriminals Launch Tainted Windows 7 RC:
http://blog.trendmicro.com/cybercriminals-launch-tainted-windows-7-rc/

Página oficial de descarga de Windows 7 RC:
http://www.microsoft.com/windows/windows-7/download.aspx

O el caso de las maquinas virtuales con sistemas infectados, una nueva práctica que consiste en compartir en internet maquinas virtuales infectadas por troyanos. Estas maquinas infectadas pueden ser un grave problema de seguridad, porque muchas veces, estas maquinas virtuales se ejecutan con conexión a la red local, lo que permite a los troyanos obtener información de la red (puertos, servicios…) e enviar esa información al exterior, sniffar trafico e enviar esa información al exterior, realizar ataques de fuerza bruta o de denegación de servicios o incluir el sistema en una red zombi. Existe una prueba de concepto de este ataque desarrollada por Sergio Castro llamada ViMtruder muy interesante. Lo más recomendable en estos casos es:

  • No descargar maquinas virtuales de internet si no se confía plenamente de donde proceden.
  • En caso de redes locales grandes establecer políticas que impidan a los usuarios instalar o transferir maquinas virtuales, sin supervisión del administrador del sistema o departamento de seguridad (si existe).
  • Monitorizar la red y tener un registro activo de los sistemas que componen la misma. Para poder situar la amenaza a tiempo.
  • Utilizar un IDS para detectar los posibles ataques producidos por maquinas infectadas.

Prueba de concepto ViMtruder de Sergio Castro:
http://code.google.com/p/vimtruder/


Anteriores post relacionados con el tema:


Técnicas Malware: Falsos programas de seguridad informática:
http://vtroger.blogspot.com/2007/06/tcnicas-malware-falsos-programas-de.html

Prácticas malware en emule II:
http://vtroger.blogspot.com/2007/11/prcticas-malware-en-emule-ii.html

Practicas malware en Emule:
http://vtroger.blogspot.com/2007/06/practicas-malware-en-emule.html

Publicado por Alvaro Paz en 7:55 PM http://www.wikio.es 8 comentarios
Etiquetas: ,

viernes, mayo 22, 2009

Acceder a sistemas Linux y Windows sin contraseñas de usuarios.

En seguridad informática hay un principio básico: “El acceso físico a la máquina es acceso total a esta". Y con Kon-Boot podemos demostrar este principio, ya que nos permite acceder a sistemas Linux y Windows sin contraseñas de usuarios.

Kon-Boot no es intrusiva ya que no realiza ninguna modificación en el sistema que pueda ser detectada. Su funcionamiento se basa en parchear el núcleo del sistema cuando se carga en memoria al arrancar el equipo, anular todos los procesos de autentificación y abrir un acceso al sistema en modo root/Administrador.

Kon-Boot esta testeado en los siguientes sistemas:

  • Windows:
    • Windows Server 2008 Standard SP2 (v.275).
    • Windows Vista Business SP0.
    • Windows Vista Ultimate SP1.
    • Windows Vista Ultimate SP0.
    • Windows Server 2003 Enterprise.
    • Windows XP.
    • Windows XP SP1.
    • Windows XP SP2.
    • Windows XP SP3.
    • Windows 7.
  • Linux:
    • Gentoo 2.6.24-gentoo-r5.
    • Ubuntu 2.6.24.3-debug.
    • Debian 2.6.18-6-686.
    • Fedora 2.6.25.9-76.fc9.i686.

Se puede arrancar desde CD o desde un disquete.


Más información y descarga de Kon-Boot:
http://www.piotrbania.com/all/kon-boot/

Publicado por Alvaro Paz en 9:29 PM http://www.wikio.es 2 comentarios
Etiquetas: , ,

viernes, mayo 15, 2009

Herramienta de test de penetración y descubrimiento de vulnerabilidades.

Inguma es una herramienta de test de penetración y descubrimiento de vulnerabilidades, de código abierto y escrita en Python. Aunque está orientada a atacar sistemas Oracle tiene muchas funciones que se pueden extrapolar a otros sistemas. Inguma incluye módulos para: descubrimiento de host, obtención información, detectar blancos para técnicas de fuzz, obtención nombres de usuario y contraseñas a través de fuerza bruta, exploits, y un disassembler.

Inguma está compuesta por cuatro componentes:

  • Nucleo y modulos. Un interfaz en modo texto y cuatro modulos:
    • Descubrimiento, para descubrimiento de host de red.Informador, para obtener la información de los host y la red.
    • Fuerza bruta, para realizar ataques de fuerza bruta.
    • Fuzz, incluye Fuzzers para varios protocolos de red.Exploits, la mayoría para productos Oracle, incluye alguno para Windows.
  • Un interfaz grafico basado en PyQT.
  • Krash fuzzer, un fuzzer de paquetes de red.
  • OpenDis, herramienta a hacer más fácil la busca de vulnerabilidades en binarios.


Más información y descarga de Inguma:
http://inguma.wiki.sourceforge.net/

Wiki de Inguma:
http://inguma.wiki.sourceforge.net/

Publicado por Alvaro Paz en 6:59 PM http://www.wikio.es 2 comentarios
Etiquetas: , , , ,

jueves, mayo 07, 2009

Crear puntos de restauración en sistemas Linux.

Utilizando la herramienta TimeVault basado en la filosofía de Time Machine empleada en Mac OS. Esta herramienta realiza imágenes del disco duro cada cierto tiempo, para después poder recuperarlas de una forma fácil, en caso de pérdidas accidentales de datos.

TimeVault monitoriza en segundo plano la actividad de los directorios especificados, obviando ficheros o carpetas excluidos previamente por el usuario. Cada cierto tiempo la herramienta, realizará una imagen y mostrará los archivos que sufrieron cambios.

Además esta herramienta ordena las imágenes por línea de tiempo y nos permite recuperar la información del disco a una fecha anterior de una forma fácil.

Más información y descarga de TimeVault:
https://launchpad.net/timevault

Publicado por Alvaro Paz en 7:51 PM http://www.wikio.es 4 comentarios
Etiquetas: ,

viernes, mayo 01, 2009

Detectar vulnerabilidades en aplicaciones con técnicas de fuzzing.

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Para detectar vulnerabilidades en aplicaciones con técnicas de fuzzing podemos utilizar Fusil una biblioteca escrita en Python que sirve para crear programas de funzzing. Fusil se basa en una arquitectura de sistema multi-agente, tiene muchos tipos de pruebas para detectar fallos de programas: testear el código de salida de proceso, el stdout del reloj, el syslog de procesos, duración de sesión, uso de la CPU…

Fusil posee módulos para realizar técnicas de fuzzing de:

Aplicaciones:

  • fusil-clamav: ClamAV antivirus.
  • fusil-firefox: Firefox.
  • fusil-imagemagick: Image Magick.
  • fusil-mplayer: Mplayer.
  • fusil-ogg123: Ogg/Vorbis.
  • fusil-vlc: VLC.

Librerias:

  • fusil-gettext: Librería Gettext .
  • fusil-gstreamer: Librería Gstreamer .
  • fusil-libc-printf: Librería función printf().
  • fusil-poppler: Librería poppler.

Lenguajes programación:

  • fusil-php: Aplicaciones en PHP.
  • fusil-python: Aplicaciones en Python.

Otros:

  • fusil-wizzard: Comandos de Linux.
  • fusil-zzuf: Sockets de red.

Más información y descarga de Fusil:
http://fusil.hachoir.org/trac

Publicado por Alvaro Paz en 6:53 PM http://www.wikio.es 4 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)