Como verificar si tu antivirus realmente te protege…

En 1996, el EICAR, European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos), desarrolló lo que hoy es conocido como EICAR test file, o archivo de prueba EICAR.

Se trata de un test o prueba mediante la cual se pretende verificar la funcionalidad de tu antivirus y verificar que realmente está protegiendo tu equipo. Vale aclarar tambien que este test no implica ningún riesgo para la seguridad de tu computadora, simplemente se trata de una prueba.

El EICAR test file consiste en 68 caracteres ASCII (70 si lo generamos con un editor de texto, debido a los códigos de retorno y final de línea que suelen insertar los editores).

Los caracteres son:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Todas las letras están en mayúsculas, y sin espacios. El tercer carácter (X5O…) es la letra “O” no el número cero).

Para crear un archivo de prueba, copie y pegue la línea anterior al bloc de notas, y grabe su contenido con el nombre que quiera y la extensión .COM

eicar_test

eicar_test

Si el antivirus que tienes instalado trabaja correctamente, deberá lanzar un mensaje de error al momento de ejecutar este archivo.

eicar_test

eicar_test

Es necesario mencionar que actualmente existen virus reales que simulan ser el EICAR, por lo tanto tener mucho cuidado.

Fuentes:

http://www.vsantivirus.com/eicar-test.htm

Anuncios

Preservación de la evidencia digital, Análisis Forense

Cuando se realiza un Análisis Forense es necesario, luego del secuestro de la evidencía, la preserrvación de la misma. Es de suma importancia que ésta mantenga la integridad, con documentos y pruebas que respalden su confiabilidad.

Existen algunas maneras de asegurar la evidencia digital para poder probar que ésta no ha sido modificada o alterada. Una de las formas principales es a traves del uso del algoritmo hash que es un algoritmo de comprobación de integridad y que nos genera un valor/clave  para algún dato/archivo. De esta manera, si la evidencia ha sufrido alguna alteración en el transcurso de la investigación este valor ya no será el mismo.

Herramienta para la comprobación del valor hash

Existe gran cantidad de herramientas para esta labor, voy a mencionar una: HashCalc

HashCalc es una herramienta gráfica y sencilla  para entornos Windows mediante la cual podemos generar y/o comprobar el valor hash de algún archivo:

HashCalc

HashCalc

En la gráfica observarmos un simple ejemplo, donde modificamos un archivo (en este caso llamado test) y comprobamos el valor del hash MD5.

Cont….

RFI Remote File Inclusion en páginas php

RFI se trata de una vulnerabilidad de las páginas web programadas en php, debido al mal manejo de la funcion/etiqueta include, a traves de esta vulnerabilidad se puede enlazar archivos (páginas, formularios, etc)  alojadas en servidores remotos.

Para ser más explicativo, se propone un ejemplo. Tenemos nuestra página web llamada pagina y desde está nos permite enlazarnos a otra página a traves de la función include()

http://www.pagina.com/index.php?page=otrapagina.php

A través de la variable page, estamos incluyendo una nueva página, en este caso otrapagina.php

Como localizar página vulnerables RFI?

Una de las formas más fáciles para realizar esta tarea es mediante la utilización de dorks (utilización de operadores avanzados) en motores de búsqueda, tales como Google, Bing, Yahoo, etc.

En el caso sencillo que he utilizado es simplemente: “.php?page=http://”, y bueno, algunos resultados son:

Page vulnerable RFI
Page vulnerable RFI

otra:

Page vulnerable RFI

Page vulnerable RFI

y una mas:

Page vulnerable RFI

Page vulnerable RFI

Los riesgos

Si bien a simple vista parecería que esta vulnerabilidad no conlleva grandes riesgos, pues a través de RFI, se pueden enlazar formularios y enviarles la url completa a los usuarios de la página pidiendoles que actulicen sus datos, esto un ejemplo.

Otro es el que mediante esta vulnerabilidad es la inclusión de shells que abran terminales o lineas de comando para poder descargar y subir archivos y apoderarse del servidor.

SHODAN y contraseñas por defecto, dispositivos “abiertos”…

SHODAN es un motor de búsqueda, pero no como los clásicos Google, Bing o Yahoo. Se trata de un buscador diseñado para ayudar a los usuarios a encontrar nodos específicos (desktops, servers, routers, switchs, APs, o dispositivos, etc) con contenido especifico en sus banners. Muy recomendable en trabajos de auditorías de seguridad, en la fase de reconocimiento….

Es por ello que, para optimizar las búsquedas con SHODAN, es necesario un conocimiento básico de banners, ya sea de aplicaciones, routers, swithcs, etc.

Su creador es el desarrollador Jonh Materly, su página oficial es: http://www.shodanhq.com/

Lo más interesante de esta herramienta es que permite búsquedas personalizadas, por ejemplo, se puede buscar por paises: country:EC, puertos: port:80, nombre de aplicación: apache/IIS, etc.

Ahora, podemos observar algunos resultados interesantes de este buscador:

– Dispositivos/cámaras abiertas, o con contraseñas por defecto/débiles

Camera D-Link

Camera D-Link

SkyIPCam

SkyIPCam

– Dispositivos de comunicación con usuarios/passwords por defecto o débiles, en lo que se ha podido ingresar:

– Router ADSL D-Link

Router ADSL D-Link

Router ADSL D-Link

– BM632 WiMAX

BM632 WiMAX
BM632 WiMAX – Login

Accesando a los dispositivos:

BM632 WiMAX

BM632 WiMAX - usuario/contraseña por defecto

La configuración del Nivel de in-Seguridad del Firewall. 😀

BM632 WiMAX

BM632 WiMAX - Configuración

Utilizando filtros adecuados, se puede obtener muy valiosa información. Lo mostrado es sólo una muestra de lo que éste buscador puede realizar.

Quitar o resetear contraseña de Windows con chntpw en Backtrack

CHNTPW (Change NT Password), es una utilidad de Linux, diseñado para sobreescribir, resetear, cambiar o modificar passwords de las cuentas de usarios Windows, esta herramienta viene por defecto en Backtrack 4 r2, sino se la puede descargar e instalar en la distribución Linux de su preferencia.

Para quitar o cambiar la contraseña de algún usuario de una máquina Windows, procedemos de la siguiente manera:

– Arrancamos el equipo Windows a   traves del CD Live con la distribución BAcktrack (o la que tenga instalada chntpw)

– Una vez iniciado el sistema backtrack desde el CD Live, abrimos la consola y realizamos los siguientes pasos:

– Creamos una carpeta/directorio, con cualquier nombre, por ejemplo Windows7, con el siguiente comando:

# mkdir /media/Windows7

En mi caso, he creado un directorio con el nombre Windows7 en el directorio /media/

– Montar la partición Windows en el Backtrack:

# mount -t ntfs-3g /dev/sda2 /media/Windows7

Explicación breve:

mount -> comando para montar la partición

-t ntfs-3g -> El sistema de archivos de nuestra partición Windows, en este caso, NTFS

/dev/sda2 -> Dispositivo en el que está nuestra partición Windows

/media/Windows7 -> Directorio que creamos en el paso anterior, donde vamos a montar la partición Windows

– Nos ubicamos dentro de dicho directorio:

# cd /media/Windows7

– Ahora accedemos al directorio donde se encuentra el SAM SYSTEM de Windows que es donde se almacenan las contraseñas de los usuarios, ubicada en /Windows/System32/config:

# cd /media/Windows7/Windows/System32/config

– Estando en esta ubicación, procedemos a ejecutar el chntpw, utilizando el siguiente comando:

# /pentest/password/chntpw/chtnpw -l SAM SYSTEM

Aquí, nos mostrará el listado de usuarios del sistema.

– Ahora nos ubicamos en el usuario del sistema que querramos quitar la contraseña de la siguiente manera:

# /pentest/password/chntpw/chtnpw -u <Usuario> SAM SYSTEM

En el mensaje que nos muestra le damos la orden que no, ingresando la n

– En esta parte se muestran las opciones que tiene chntpw para actuar en el usuario seleccionado, usamos la opción 1 para quitar el password

– Guardar los cambios?? Ponemos [y]es

– Finalmente reiniciamos el sistema e ingresamos a Windows, se podrá observar que se puede ingresar sin poner contraseña del usuario que le borramos la contraseña

It’s all….

Instalando VMWare Workstation 7 en OpenSuse 11.4

Al fín, luego de varios intentos y un par de malas noches, he logrado instalar VMware Workstation 7 en OpenSuse 11.4

Para la correcta instalación y que te evites un poco de disgustos al instalar esto, te recomiendo sigas estos pasos con los que he podido instalar:

Instaladores y archivos necesarios:

Descargamos el instalador de VMware para Linux: VMware-Workstation-Full-7.1.3-324285.i386.bundle

Son necesarios también los siguientes archivos, descargarlos y ubicarlos dentro de un mismo directorio:

vmware-7.1.3-2.6.37-rc5.patch

patch-modules_v62-opensuse.sh

Instalación:

Sigue leyendo