31 diciembre 2008

Analizando bichos online

Hoy queremos tratar a los bichos, y no precisamente al protagonista que acompaña esta entrada, si no a los virus, troyanos y malware en general.

Parece que cuando hablamos del análisis de este tipo de software online solo existe VirusTotal, gran parte de la "culpa" la tienen nuestros amigos de Hispasec, que han hecho de este portal una marca internacional. Es una de esas veces que uno se siente orgulloso de ser "Hispa" también. Pese a que es posiblemente uno de los mejores sitios, más importantes y con mejores prestaciones en esta tarea, no es único y por ello, vamos a mencionar cuatro más. que tal vez puedan sacarnos de un apuro en alguna ocasión.
  1. http://virusscan.jotti.org
  2. http://www.virustotal.com
  3. http://scanner.novirusthanks.org/index.php
  4. http://www.virscan.org
  5. http://scanner.virus.org/
Todas estas herramientas online tienen una funcionalidad similar: se manda un archivo que consideramos sospechoso o que queremos comprobar si es detectado por antivirus, se procesa y muestra una tabla con los motores soportados y su detección o no.

La siguiente imagen muestra los motores que soportan cada uno de ellos. A destacar la gran diferencia de virscan.org y virustotal.com con el resto, así como los motores exclusivos en algunos de ellos, marcados en rojo en la última columna.



Novirusthanks.org y virus.org permiten marcar una opción para que nuestra muestra no sea enviada a los laboratorios de las casas antivirus. El resto de aplicaciones, en cambio, lo enviarán de forma automática.

VirusTotal es la única aplicación que permite el envío mediante SSL y por correo electrónico, con lo que podríamos saltarnos determinadas pasarelas antivirus en un proxy http.

Otra opción curiosa la ofrece virscan.org, mediante el envío del malware por http en un archivo comprimido con una contraseña preestablecida.

Recomiendo que las probéis todas y veáis vosotros mismos cada una de ellas, no os llevará más que unos minutos. Os dejo por aquí unas capturas de mis pruebas, para que os hagáis una idea.


virusscan.jotti.org


virustotal.com

novirusthanks.org


virscan.org


virus.org



Existen también herramientas para el análisis en caja negra, no basado en firmas, y con una orientación más profesional que pueden facilitarnos el trabajo en caso de tener que analizar uno de estos bichos.
  1. http://www.cwsandbox.org
  2. http://www.threatexpert.com/submit.aspx
  3. http://www.norman.com/microsites/nsic/Submit/es
  4. http://research.sunbelt-software.com/Submit.aspx
  5. http://anubis.iseclab.org/

En este caso, el funcionamiento es distinto: se ejecuta el código en un entorno controlado (sandbox) y se monitoriza todo aquello que hace, como por ejemplo, claves de registro, accesos a red, nombres de procesos, ficheros en disco duro... Nunca será una solución final, pero para determinados casos pueden ser realmente prácticas.

Me ha impresionado bastante la aplicación de Sunbelt e IsecLab. Nuevamente os animo a que hagáis alguna prueba con ellas y observéis vosotros mismos los resultados.

Dejo otras capturas para abrir apetito.

cwsandbox.org

threatexpert.com


sunbelt-software.com


iseclab.org



Por último, SbD os desea a todos una buena I/O de año y feliz 0x7D9
Leer más...

30 diciembre 2008

MD5: Tocado, hundido y encima, muere matando

Noticia bomba que acaba de ser anunciada, el algoritmo MD5 del que ya existían sospechas muy muy fundadas sobre su vulnerabilidad frente a ataques de colisiones, y del que ya se habían publicado pruebas de concepto un tanto experimentales, ha sido definitivamente demolido.

Un grupo de investigadores han conseguido crear certificados X.509 falsos simulando ser una CA intermedia.

Una vez lanzada la bomba, las explicaciones: Por lo visto a día de hoy y pese a todas las señales de alarma algunas (¿muchas?) entidades de certificación siguen empleando el algoritmo MD5 en sus certificados digitales.
¿Para que se usa MD5 en un certificado digital? Muy sencillo, un certificado digital tiene asociados una serie de datos: Nombre, propósitos, en algunos tipos de certificado la dirección de correo, la clave publica y unos cuantos campos mas. Sobre esos datos se calcula el Hash de todos ellos y este hash es lo que firma la CA de turno para darle validez. (Mas información aquí)

Lo que han conseguido este grupo de investigadores es, a partir de un certificado 'normal' emitido por parte de una CA, adulterarlo para que el certificado se convierta en el de una CA intermedia (pero manteniendo la validez de la firma haciendo que el hash md5 de los campos coincida) y por consiguiente, convertirse en emisores de certificados que, a los ojos de cualquier navegador, serán completamente validos.

Mas esquemático:
  • Los atacantes solicitan un certificado SSL a la CA (en esta parte hay 'cierto truco' ya que en la CSR (petición del certificado), 'les cuelan un pequeño gol')
  • La CA les emite un certificado SSL valido EXCLUSIVAMENTE para autenticar un servidor web
  • Los atacantes crean un certificado, pero en vez de tener los campos propios de un certificado SSL, lo modifican para que sea un certificado de CA (con capacidad para emitir otros certificados)
  • Los atacantes crean una colisión en los datos del segundo certificado para que el MD5 coincida con los campos del certificado SSL que es autentico.
  • Los atacantes ya tienen un certificado de CA que permite emitir certificados con el mismo grado de validez que la CA autentica
¿Que supone esto, a efectos prácticos? Sencillo, Phising a tutiplén que será amablemente certificado como 'sitio confiable' por parte de cualquier navegador.

¿Esta acabado el mundo PKI? NO, cualquier implementación PKI que haya tenido la precaución de usar SHA como algoritmo de hash, esta a salvo del ataque.

Según he comprobado, tanto los certificados del Dni Electronico y los de la FNMT emplean SHA como algoritmo de hash, así que se puede afirmar que están a salvo del ataque.
Leer más...
¿Quieres vulnerar la política de seguridad de tu organización para robar información crítica y vendérsela a la competencia para poder pagar la hipoteca de una forma más cómoda?

Si además de poder pasar las fronteras árabes con PDFs más pesados de lo normal decides que según se haga un cambio en un directorio concreto, quieres ser el primero en enterarte de qué es lo que se ha modificado, sigue este post y sacia tu curiosidad.

Decir que la idea inicial era sincronizar un directorio "en tiempo real" con un espacio que físicamente se encuentra en otra localización. Sentadas las bases, lo deseable es lograr que cada vez que se realice un cambio en un directorio, queden reflejados en un lugar remoto (la finalidad puede ser como un backup online o electronic vaulting para evitar catástrofes como las del edificio Windsor, replicar logs de forma remoto para que sirvan de evidencia para propósitos forenses, robo selecto de información, etc,...)

Importante es que la información quede almacenada de forma cifrada en el destino remoto, con controles de acceso sólidos, así como que el canal de comunicación y sincronización también sea cifrado y autenticado.

Manos a la obra y planifiquemos (como nos decían los compradores de Auna) cómo hacerlo. Necesitamos un repositorio remoto accesible 24 horas (en este caso un servidor linux con el servicio SSH funcionando), un canal de comunicación cifrado y autenticado (SSH cumple perfectamente los requisitos), para guardar los datos de forma segura en la localización remota utilizaremos un contenedor cifrado con TrueCrypt (hablamos en su día de la confidencialidad que aporta el contenedor cifrado aquí), para sincronizar directorios utilizaremos QdSync (podríamos haber utilizado rsync y sería más POSIX).

Sé positivamente que a golpe de scp podríamos haber copiado y movido ficheros, sin embargo, pienso que es mucho más cómodo utilizar un módulo fuse llamado fuse-sshfs, que permite montar un sistema de ficheros remoto mediante SSH y utilizar ese espacio para almacenar información. Ni que decir tiene que el servicio SSH no tiene por qué estar en el puerto TCP 22 sino que puede ser cualquier otro (se especifica en el momento del montaje)

Por partes:

1.-) Instalamos el módulo fuse. En mi caso en una CentOS 4.7 instalamos el paquete fuse-sshfs-2.0-1.el4.rf.i386.

2.-) Descargamos y descomprimimos QdSync (en mi caso en /opt/qdsync)

3.-) Decidimos qué directorio vamos a sincronizar puesto que hay que establecer una "marca" inicial para comparar el estado del directorio con el actual (Esto se entenderá mejor más adelante). En nuestro caso he elegido el directorio /var/motion. Para hacer la primera "marca" ejecutamos un "du -ah /var/motion > /var/index_motion"

4.-) Creamos el contenedor cifrado en local con truecrypt (importante elegir el tamaño y el sistema de ficheros que mejor se adecúen a nosotros) y lo copiamos a la ubicación remota de forma manual.

5.-) Añadimos al fichero .ssh/authorized_keys2 del directorio remoto para añadir nuestra clave pública SSH. La idea es poder comunicarnos entre ambas localizaciones con SSH with Keys de manera que sea siempre de forma no interactiva

6.-) Creamos un script como el siguiente, que realice de forma automatizada todo el proceso teniendo en cuenta posibles problemas (que la localización remota esté ya montada, que no sea accesible por SSH, etc...). En mi caso el directorio a sincronizar es /var/motion. Hemos elegido /mnt/remote para hacer el primer montaje con el sistema de ficheros SSH y /mnt/cifrado como punto de montaje para el contenedor cifrado con truecrypt desde el propio sistema de ficheros remoto.

#!/usr/bin/perl
#Script que sincroniza /var/motion con contenedor cifrado en ubicación remota
#1.- Compruebo que no está montado ya /mnt/remote

if ( `mount | grep -i remote` || `mount | grep -i cifrado`)
{
system "logger \"Algo habia montado, no hago nada mas\n\"";
}
else
{
#2.- Validamos si algo ha cambiado con lo anterior
my $temp="/tmp/syncing";
$temp.=rand(100);
system "du -ah /var/motion > $temp";
if (`diff $temp /var/index_motion` != '') #Si ha cambiado algo nos interesa sincronizar
{
my $tries=0;
while ( (`mount | grep -i remote` eq '') && ($tries < style="font-style: italic;"> `sshfs root\@200.XX.YY.ZZZ:/root/Lawrence /mnt/remote`;
#montamos el sistema de ficheros remoto
$tries++;
}

if (`mount | grep -i remote` eq ''|| $tries==10) {die "no he podido montar /mnt/remote";}
# Generamos de nuevo fichero index_motion
system "du -ah /var/motion > /var/index_motion";
#montamos el contenedor como sistema de ficheros también
system "truecrypt --non-interactive -p securitybydefault /mnt/remote/Lawrence.tc /mnt/cifrado";

#Sincronizamos
system "/opt/qdsync/src/qdsync /var/motion/ /mnt/cifrado/";

#TO DO: valida tamaño que queda en contenedor sea menor que lo que hay que sincronizar
system ("truecrypt -d /mnt/cifrado");# Desmontamos el contenedor
sleep "5";
system ("fusermount -u /mnt/remote");# Desmontamos el sistema de ficheros remoto
}
unlink ($temp);


7.-) Añadimos una línea en el cron que cada minuto ejecute el script anterior. También se puede ejecutar dicho script como demonio y controlar el tiempo cada X segundos de forma manual


De esta manera, cada minuto se ejecutará el script anterior y, si ha habido algún cambio en el directorio seleccionado (o alguno de sus subdirectorios) se montará y sincronizará de forma segura.

Leer más...

29 diciembre 2008

Hackeos memorables: el código fuente de PGP

A estas alturas de la película todo el mundo conoce PGP, el software de cifrado por excelencia con un amplio reconocimiento en ámbitos de correo electrónico y que tras pasarse al 'lado oscuro' comercial, tomó su testigo OpenPGP.

Lo que no es ampliamente conocido es como PGP llegó al gran publico y se convirtió en una herramienta de libre disposición.

Empecemos por el origen: El bueno de Phil Zimmermann creó en 1991 el software motivado por el hecho de que la criptografía no fuera algo restringido al mundo militar, porque creía firmemente que esa tecnología debía ser patrimonio global y que cualquiera tiene derecho a preservar su privacidad de la forma que estime conveniente.

Por aquella época la ley ITAR estimaba que la criptografía era un arma estratégica al nivel de un Tanque o un ingenio nuclear, por lo que restringía su exportación severamente. Tal vez los mas provectos del lugar recuerden aquellas versiones de Netscape y Explorer que venían de serie 'capados' criptográficamente a los que había que añadir packs para fortalecer sus mecanismos criptográficos.

Con esa ley en la mano, Zimmermann fue acusado en 1993 por haber liberado de forma incontrolada el código fuente de PGP.

¿Que hizo Zimmermann al respecto? Pues imagino que inspirado en su pasado 'Hacker' se inventó una triquiñuela legal para 'Hackear' el sistema judicial de los EEUU. Por lo visto la famosa ley ITAR contemplaba el hecho de liberar software criptográfico, pero no decía nada del soporte en formato papel (que estaba protegido por la primera enmienda de la constitución Americana), así que, protegido por el MIT y su servicio de publicaciones, liberó el código fuente de PGP en un libro que cualquiera, en cualquier parte del mundo, podía comprar, posteriormente pasar a código fuente y de ahí compilarlo y crear un ejecutable.

¿Resultado? Zimmermann fue absuelto de todo cargo y pudo seguir su actividad de forma normal
Leer más...

28 diciembre 2008

OPA sobre Kriptópolis.org

Por todos es sabido que nuestro querido Kriptópolis anda en un momento en el que se está replanteando su modelo de negocio debido a la forma en la que está monopolizada y gestionada la publicidad.

Recientemente Securitybydefault ha llegado a importantes acuerdos de negocio con empresas de la talla de Panda Software, Microsoft y Checkpoint por lo que hemos obtenido una jugosa inversión para incentivar el uso de su software desde este blog.

Al hilo de eso y como plan de expansión, hemos decidido plantear una Oferta Publica de Adquisición sobre Kriptopolis.org valorada en 300.000 euros pagados en tres cuotas semestrales de 100.000 euros.

Adicionalmente ofrecemos a José Manuel (editor de Kriptopolis) la dirección editorial del blog y le planteamos el compromiso de, al menos semanalmente, editar una columna analizando el panorama de la seguridad.

Los detalles técnicos pasan por implementar una redirección en Kriptopolis.org hacia securitybydefault.com como forma de capitalizar la compra.

Evidentemente los contenidos de Kriptopolis son sumamente valiosos, así que planteamos un subdominio (old.kriptopolis.org) para que todo el mundo pueda seguir consultando el contenido

¿Aceptará José Manuel nuestra oferta?
Leer más...

27 diciembre 2008

Audita tu PC con Secunia PSI

Secunia es una destacada firma de seguridad informática que tiene en su haber multitud de 'bugs' localizados y bastantes contribuciones al mundo de la seguridad.

En este caso voy a hablar de su 'Personal Software Inspector' o para los amigos, PSI.

Este software realiza una inspección del sistema operativo (Windows) en busca de software desactualizado y que pudiera llevar a un potencial riesgo de seguridad. Entre su base de datos de programas se encuentran todos los típicos (firefox, plugins diversos como flash, Java ...) y también es capaz de auditar a nivel de parches necesarios en el sistema.

Es un software gratuito que se puede descargar desde aquí.

Una vez instalado, PSI se lanza y comienza a realizar el primer test de seguridad de nuestro sistema


Pasado un mas que razonable tiempo, el escaneo finaliza y nos informa de los resultados



Una vez dentro de la aplicación, podemos ver los resultados al detalle de los programas desactualizados que ha encontrado:


Y para no caer en el típico 'criticar sin aportar soluciones', si desplegamos el menú de cualquiera de los programas detectados como desactualizados, nos aparece la opción de actualizar a la ultima versión


Sin duda Secunia PSI es una muy interesante herramienta para añadir a los clásicos antivirus, antispyware y demás software imprescindible en cualquier sistema Windows
Leer más...

24 diciembre 2008

American Express y los Cross-Site Scriptings

Y yo que pensaba que 'XSS' y 'American Express' NUNCA podrían ir juntos en el texto de ningún post, y me encuentro con esto...que decepción más grande. Pongámonos en situación:

Hace unos días, aproximadamente una semana, TheRegister informó de un fallo de seguridad en la página Web de American Expressamericanexpress.com, entidad financiera famosa entre otras cosas por sus preciosas tarjetas de crédito.

El fallo o vulnerabilidad Web es el archiconocido (y típico) Cross-Site Scripting, también designado como XSS, y que atendiendo a la OWASP, se da cuando un atacante utiliza una aplicación Web para enviar código malicioso, generalmente en forma de script en el lado del navegador, a otro usuario. Con ello, podemos desde robar cookies de sesión, tokens, u otro tipo de información sensible que pueda estar almacenada en el navegador sobre el sitio para su posterior uso.

Pues esta vulnerabilidad, que como podréis ver, tiene consecuencias bastante graves en un sitio como americanexpress.com, lejos de ser rápida e inminentemente corregida, lo único que se ha hecho es parchear minimamente, y volver a caer en el mismo fallo.

El primer descubrimiento lo hizo Russ McRee, en el que en un post de su grupo de seguridad, HolisticInfoSec, detalla (en inglés) todo lo acontecido sobre esta vulnerabilidad. Algo típico: en un parámetro, cerrar comillas e inyectamos el código deseado.


La página interpreta el código, y ejecuta el fragmento, con sus correspondientes consecuencias. La empresa es reportada una y otra vez, y como es tan habitual últimamente, no se le presta atención. Una vez se hace público, TheRegister publica la noticia, y casualmente al día siguiente, se procede a su "arreglo" (hablamos de una validación de parámetros, no es que suponga un alto coste). 

¡Pero no! A los pocos días después, se vuelve a reportar, esta vez por parte de un par de fuentes, que sigue existiendo vulnerabilidad. Igual no tan simple de explotar como la anterior, pero al fin y al cabo, la misma vulnerabilidad.


Finalmente, y viendo como todos los medios se le empezaban a echar encima, parece que los "investigadores" del equipo de desarrollo de la compañía han despertado, y después de proclamar que la seguridad de sus clientes es lo más importante (me han parecido oir risas de fondo...no seais malos...) han dicho que están trabajando en las vulnerabilidades.

Señores, seamos un poco serios por favor.

Más información:
Leer más...

23 diciembre 2008

Como saber si 'ese' fichero es sospechoso

La gente del 'Team CYMRU' han liberado una herramienta online de lo mas curiosa para detectar si debemos levantar la bandera roja de alerta ante un fichero o no.

Lo primero que destaca a la hora de evaluar la herramienta es que no han construido el típico WebService para localizar datos, y mucho menos han implementado complicadas, lentas y pesadas 'querys SOAP' para intercambiar interminables porciones de código XML.

Lo que han hecho ha sido emplear algo tan probadamente fiable y rápido como son los servidores Whois y DNS.

Disponen de una extensa base de datos de Hashes en formato MD5 y SHA de especímenes que han sido reportados previamente como virus, malware, troyanos o demás especies nocivas, y para realizar las consultas, se pueden emplear herramientas estándar de cualquier sistema Unix (y que también se encuentran disponibles en versiones Win32) como son los comandos whois y dig.

Veamos un ejemplo de como se usa la plataforma:

Tomamos un espécimen que sabemos es típicamente detectado como patrón-malicioso, el famoso fichero-test-eicar y lo bajamos:

$ wget http://www.eicar.org/download/eicar.com.txt

Una vez hecho eso, obtenemos su resumen MD5

$ md5sum eicar.com.txt
44d88612fea8a8f36de82e1278abb02f eicar.com.txt

Con esos datos lanzamos la petición al servidor Whois de CYMRU:

$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb02f
[Querying hash.cymru.com]
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb02f 1229304665 84

Y la respuesta que obtenemos significa:
  • primero el hash que le hemos enviado
  • la segunda cifra es la hora en formato epoch en la que ese espécimen fue 'submiteado' a la base de datos
  • finalmente, el ultimo dato es el porcentaje de probabilidades de que el hash enviado sea algo sospechoso.
En caso de que el HASH enviado no estuviera en la base de datos obtendriamos algo como:

$ whois -h hash.cymru.com 44d88612fea8a8f36de82e1278abb032
[Querying hash.cymru.com]
[hash.cymru.com]
44d88612fea8a8f36de82e1278abb032 NO_DATA

Tal vez esta forma de realizar las peticiones resulte un tanto 'cruda' para un usuario novel, pero de cara a automatizar procesos el poder hacerlo de esta forma no tiene precio
Leer más...

22 diciembre 2008

DLP: Y las fugas de información...

Muy de moda se encuentran las siglas DLP (Data Loss Prevention o Data Leak Protection) para referirse a diferentes mecanismos y prodedimientos de seguridad pensados para evitar las temidas fugas de información confidencial. Partiendo de la base que la información es poder, y de que por dinero y poder se puede tentar a cualquiera, es importante que la política de seguridad de una compañía contemple mecanismos para evitar que las maltrechas economías/ grado de satisfacción de algunos empleados derive en una fuga de datos.

Imaginemos qué efecto podría causar en la economía de nuestra organización, que un inocente empleado desvíe hacia fuera ficheros con planificación estratégica, listado de clientes, roadmap de nuestros productos, etc,.... Ni que decir tiene que si lo que se exporta a manos no autorizadas conllevan datos personales de nuestros clientes, empleados o proveedores, las cuantías de las sanciones pueden llegar a ser millonarias (hasta el punto incluso de hacer perder el sentido de una organización).

Formas comunes de llevar a cabo este tipo de actuaciones (con mejor o peor fe) podrían ser:
  • Envío de información hacia el exterior mediante mensajes de correo electrónico (en general se suele utilizar soluciones de cifrado para evitar que el contenido pueda verse en texto claro). Esto puede hacerse mediante el propio servidor de correo dentro de la organización (hay que ser muy inconsciente para hacerlo así) o con webmails (Gmail, Hotmail, Yahoo,...) vía HTTPS de manera que vaya cifrado el tráfico y no se pueda interceptar por el camino si la comunicación es directa entre cliente y webmail
  • Utilizar protocolos estándar de transferencia de ficheros (FTP). Enviar los ficheros con información confidencial a servidores externos
  • Utilización de las capacidades de envío de ficheros mediante mensajería instantánea (MSN, Google Talk, Yahoo Messenger)
  • Puertos USB habilitados en los PCs corporativos de las organizaciones. Dada la suerte de diversos dispositivos de almacenamiento extraibles que existen (cámaras, pendrives, discos duros externos,...) es un gran problema para las organizaciones tenerlos activos (aunque hay ocasiones que es necesario y práctico por lo que no se deshabilitan por defecto)
  • Exceso de confianza en los propios empleados con ordenadores portátiles corporativos. Dentro de esta categoría podemos incluir muchos tipos de riesgos: robos, olvidos en lugares públicos, instalación de software externo a la organización que pueda contener malware en cualquiera de sus formas, mala configuración de las políticas de seguridad de red de los mismos, etc,...
  • Utilización de software de descargas Peer-to-Peer (P2P ) y sus capacidades de compartir carpetas con información confidencial (recordemos que por ejemplo Emule te sugiere compartir todo el contenido de tus discos duros por defecto en el momento de la instalación). De esto ya se habló en SbD
  • Impresoras: si la información se puede imprimir y llevar en papel también es un riesgo a tener en cuenta

En general, todo este tipo de riesgos pueden mitigarse (es muy difícil eliminar todos ellos de forma efectiva) mediante la combinación de diferentes procedimientos y buenas prácticas de la seguridad corporativa en las organizaciones. Partiendo de la utilización de dispositivos cortafuegos (y de una óptima y mínima configuración); proxies que registren la actividad de los usuarios, deshabilitando los dispositivos USB de los PCs y servidores; registrando la actividad de los trabajos de impresión (así como asignando permisos a los usuarios que así lo necesiten); registrar correctamente la actividad de los servidores de correo salientes; utilización de diverso software destinado a evitar DLP (casi todos los grandes fabricantes disponen de alguna solución endpoint para cubrir este nicho de mercado como RSA o McAfee)...

Ante todo, creo que una buena medida puede ser la utilización de tecnologías de contenedores cifrados para almacenar información sensible, así como la distribución de claves diferentes para acceder a los datos internos en base al usuario que demande el acceso. Asimismo es imprescindible un alto nivel de logging de la actividad al acceso a la información. En realidad si la información sale de la organización, ya nada se puede hacer, pero al menos podrá tomarse medidas contra el usuario malicioso.
Leer más...

19 diciembre 2008

El 90% del correo electronico que circula por internet es SPAM

Es indudable que cualquier organización que se precie tiene que tener un ranking o un reporte anual donde muestre sus conclusiones sobre algún tema que le competa. Es preferible que el reporte tenga un titular con punch para que la gente se haga eco.

Cisco acaba de publicar su 'Reporte anual sobre seguridad informática' y como titular quita-hipos: 'El 90% del correo que circula por Internet es SPAM'.

Otros datos destacados del estudio son:
  • Diariamente se generan 200 billones de correos electrónicos que son SPAM
  • Frente al 2007, se han publicado un 11,5% mas de vulnerabilidades
  • Aumentan notablemente las vulnerabilidades asociadas a productos de virtualización, se supone que por boom que están experimentando estas tecnologías
Particularmente estimo que estos reportes son como los famosos 'cuadrantes gartner' puramente especulativos, sesgados y con unas métricas oscuras y discutibles.

No obstante es muy curioso ir recopilando estos estudios y comparar los resultados para adivinar que nueva tecnología se pretende potenciar comercialmente, Cisco los AntiSpam. Microsoft, ¿herramientas anti-malware?
Leer más...

18 diciembre 2008

Publicada la v3 de la Testing Guide de OWASP

El martes 16 de Diciembre, se anunciaba en la lista de correo de owasp-testing, dedicada a la famosa "testing guide" o "guía de pruebas" del proyecto OWASP, que por fin quedaba disponible su versión final 3.

Un proyecto que comenzó sobre el verano, y que tras el éxito del volumen 2, nos deja una versión con más de 300 páginas y 66 puntos de control que nos permitirán implantar esta metodología que describe las técnicas más comunes para el análisis tanto de aplicaciones web como de servicios web.

Entre sus categorías se encuentran las referentes a la recopilación de información, pruebas tanto de autenticación como de permisos, gestión de sesiones, validación de datos de entrada y pruebas de denegación de servicio. Y como no, debido a su auge y expansión gracias al mundo 2.0, pruebas referentes a la tecnología AJAX.

Esta vez, se ha optado por asignar a cada uno de los puntos de control un identificador único, en base a su categoría. Por ejemplo, para describir el punto sobre ataques de Cross-Site Scripting persistentes (Testing Stored Cross-Site Scripting), perteneciente a la categoría de validación de datos de entrada (Data Validation, DV), a este se le asigna el identificador OWASP-DV-002

La guía está disponible en formato PDF, y de momento, en inglés, quedando pendiente su traducción al castellano, al igual que se hizo para versiones anteriores.

Leer más...

17 diciembre 2008

Windows Steady State, "control+Z" sobre un Windows

Recuerdo en mis tiempos de facultad, cuando me disponía a utilizar por primera vez los equipos comunes para realizar prácticas o bien para jugar a algún juego de estos que se llevan en un floppy (era el primer año, qué queréis...), me di cuenta que los equipos utilizaban un software nada más encenderse, que realizaba una restauración del sistema en el disco duro, dejando un Windows totalmente limpio con los programas necesarios y esenciales para la carrera cada vez que se reiniciaba. Obviamente, había advertencias indicando que más nos valía no dejar ficheros importantes en el disco duro, porque estos serían eliminados.

Hoy os hablamos de Windows Steady State, un programa que podemos descargarnos gratuitamente desde el centro de descargas de Microsoft, y que nos ayudará a facilitar la tarea de administración de equipos que pueden ser utilizados por muchos usuarios a lo largo del día, sin preocuparnos de la seguridad global del sistema. Exacto, justo lo que estás pensando...es perfecto para bibliotecas, colegios, institutos, universidades, cibercafés, familiares que en vez de jugar al buscaminas, se dedican a destrozar el PC una y otra vez, obligándonos a estar constantemente reinstalando el equipo, etc.


Mediante el programa, además de poder volver siempre que reiniciemos el sistema a un estado determinado, nos deja la posibilidad de definir un entorno a medida, ya sea restringiendo el acceso a ciertas funcionalidades de Windows, secciones del disco duro, modificando el interfaz visual por defecto para esconder las opciones que no queramos que sean visitadas, limitando el tiempo permitido por sesión (perfecto para cibercafés) y un larguísimo etc, ya que su mayor ventaja es la cantidad de puntos que nos deja personalizar.


La herramienta está disponible tanto para Windows XP como para Windows Vista.
Leer más...

16 diciembre 2008

De un hotel a Internet sin pasar por caja.

El progreso de los túneles DNS sigue en camino. Cuando escribí el tutorial para digitalsec.net, solo existía una presentación de Kaminsky de la blackhat y poco más, ahora, además de haber múltiples documentos van apareciendo nuevas herramientas. Entre ellas: dns2tcp. Que he conocido gracias al fabuloso blog de Luis Peralta y en la que explica su configuración.

Para no caer en la repetición, me gustaría ampliar en qué casos son útiles este tipo de túneles o covert channel

Imaginemos que estamos en un hotel que provee acceso a Internet mediante el pago con tarjeta de credito en un portal que aparece cuando tratamos de navegar a cualquier dirección web. A este tipo de portales se denominan cautivos.

Un esquema típico de la infraestructura que soporta este servicio es el que se muestra en la imagen superior. En ella nosotros somos el portátil con dirección IP: 192.168.1.100 y tenemos definido un servidor DNS (192.168.1.3) y puerta de enlace de la misma red (192.168.1.1).

Para saber si es posible la realización del túnel, únicamente necesitamos comprobar que el servidor DNS resuelve direcciones IP de Internet, lo que significaría que nuestro portátil no tiene conectividad pero el sistema que aloja el servicio DNS sí.

En una línea de comandos (Inicio->Ejecutar->cmd):
C:\Documents and Settings\aramosf>nslookup www.google.com
Server: serverDNS
Address: 192.168.1.3

Non-authoritative answer:
Name: www.l.google.com
Addresses: 66.102.9.99, 66.102.9.104, 66.102.9.147
Aliases: www.google.com
En caso de no ser así, la dirección IP que devuelve el servidor DNS debería ser interna o incluso devolver un error de host no encontrado.
C:\Documents and Settings\aramosf>nslookup www.google.com
Server: serverDNS
Address: 192.168.1.3

*** serverDNS can't find www.google.com: Non-existent domain
Leer más...

15 diciembre 2008

Tecnoseguridad sortea 3 licencias de ESET Smart Security

Me cuenta nuestro compañero Lenis de Tecnoseguridad que han puesto en marcha un sorteo en el que se puede ganar 3 licencias de la suite de seguridad personal 'ESET Smart Security' que, entre otras herramientas, cuenta con el afamado antivirus NOD32.

Para concursar hay que registrarse y el procedimiento de adjudicación es por sorteo puro.

Como curiosidad que me ha llamado la atención poderosamente, es el uso de la web random.org (que no conocía) para realizar el sorteo, y que básicamente, es un generador aleatorio 'verdadero'.

Lo dicho, suerte a todos los que participen !
Leer más...

14 diciembre 2008

Gira Technet & Security: Up to Secure


Es incansable, parece que no ha tenido bastante este año con las conferencias internacionales que ha presentado en eventos tan importantes como son BlackHat, ShmooCon o ToorCon entre muchos otros, ahora le toca España y podremos disfrutar de él en la gira organizada con Microsoft, Quest Software y D-Link. Chema Alonso ha cerrado el calendario y ya se han abierto las plazas para asistir gratuitamente a una de sus fabulosas charlas. Teniendo en cuenta que la entrada para las conferencias de seguridad mencionadas anteriormente suelen superar los 1.000$, esta es una magnífica oportunidad para conocer nuevas tendencias a coste cero.


Por la tarde, de forma opcional Chema continuará de forma más extensa y detallada algunas de las técnicas de intrusión en páginas web más extendidas e innovadoras. Eso si, estas pequeñas clases prácticas, denominadas Hands-on-Lab, tienen un coste de 100€. Perfectamente asequible para la gran mayoría.

Las conferencias matinales y curso tienen las siguientes fechas:

En Enero
En Febrero
Leer más...

13 diciembre 2008

Anuncio de libro: Nmap Network Scanning

Acabo de procesar un correo que me llegó esta semana, anunciando que Gordon Lyor (Fyodor), el creador de la herramienta del escáner de red Nmap, que ha sido analizado en este blog en varias ocasiones, ha publicado en papel la Guía Oficial.

Para aquellos que sufran de insomnio o que quieran poder leer fuera del PC, los tricks más importantes sobre Nmap deberían plantearse adquirir este libro.

De momento se puede comprar en Amazon por el módico precio de $33,71. De momento existe una versión online free, que permite leer más o menos la mitad del contenido de la guía oficial.

Este libro tiene pinta de ser una de las obras escritas por genios de la seguridad informática que conviene tener en cualquier biblioteca, para poder entender las miles de opciones que permite una de las herramientas (o como dice Alejandro Ramos: "LA" herramienta) más completas y que primero aprendes a utilizar (o al menos lo más básico) cuando te inicias en este sector.
Leer más...

12 diciembre 2008

Una de Espias: Obama y McCain Owned

Hace ya tiempo que las elecciones de EEUU terminaron con la elección de Obama, lo que no es tan público, y cada vez parece más confirmado, es que algunos equipos informáticos empleados por ambos grupos (Demócratas y Republicanos) fueron hackeados durante la campaña electoral.

Por todos es sabida la notable paranoia de EEUU con temas de Espionaje, de hecho, recientemente algunos expertos procedentes de organizaciones gubernamentales y empresas tecnologícas han liberado un extenso escrito (94 paginas) destinado a la nueva administración Americana donde piden mas inversión y medios para combatir el espionaje, y que las amenazas cibernéticas tengan el mismo tratamiento que las nucleares (!!).

El caso es que si parece cierto que 'elementos no identificados' se hicieron con sistemas que estaban empleando los entonces candidatos durante la campaña electoral. En principio la gente de Obama pensó que el asunto no pasaba de el típico phising aleatorio (parecido al del ínclito Sarkozy). Pero según parece, el incidente fue 'algo mas' que eso.

El articulo original del newsweek especula sobre el posible interés que pudieran tener organizaciones y gobiernos en conocer información para ser empleada en futuras negociaciones.

Lo único cierto es que la noticia aporta muy pocos datos, si a esto le sumamos la sempiterna y sana tradición de los medios de prensa en 'amarillear' las cosas, poco tendrá que hacer algún avispado guionista para adaptar los hechos a una entretenida película.
Leer más...

11 diciembre 2008

Servicio online de pagos comprometido


CheckFree.com, un servicio online para pago de facturas, notificó que el pasado martes 2 de Diciembre estuvo durante unas horas sin poseer el control sobre sus propios registros DNS.

Al parecer, un grupo procedente del este (siempre provienen los ataques desde el mismo lado, como no...) robó las credenciales de acceso al gestor de registros DNS de la compañía y pudo redirigir tanto el dominio principal checkfree.com como su servicio mycheckfree.com hacia unos servidores en los cuales, al acceder, se intentaba instalar malware (seguro que algo no muy agradable) en el PC del visitante.

Estamos hablando de un servicio mediante el cual un "simple" puñado de personas (más concretamente 24.7 millones, por lo que pongamos la palabra "simple" de antes en tamaño 72, verdana y negrita) pueden realizar pagos de seguros, créditos, hipotecas entre otros tipos de transacciones a comienzos de cada mes.

Según las declaraciones de una portavoz de la compañía registradora, Network Solutions, alguien a las 12.30am del día 2 de Diciembre se autenticó en el panel de configuración de los registros DNS y los cambió para apuntar a servidores localizados en Ucrania. También recalca que no se debió a una falla de seguridad en sus sistemas.

Esto abre el debate por fin de lo que supone la seguridad para los registradores DNS, los cuales siguen protegiendo sus servicios con sus combos de "usuario y contraseña". Por ello, podemos leer unas reflexiones sobre este hecho desencadenado por el caso Checkfree en la versión digital del Washington Post, en la que se anuncia que los expertos preveen que en el próximo 2009, este tipo de "ataques" se verán cada vez más y más.

Más información:
Leer más...

10 diciembre 2008

FAIL: Captcha de MegaUpload


Megaupload es un servicio de hospedaje de ficheros comúnmente utilizado para subir distribuciones de linux y contenido freeware en general [...]

Si se accede mediante el servicio gratuito, la aplicación nos obliga a que veamos publicidad y tengamos que esperar un tiempo antes de poder acceder al contenido.

Para evitar que se creen herramientas para la bajada de archivos de forma automática, masiva y desatendida, han implantando una solución de captcha, o lo que es lo mismo, muestran una imagen con letras y solicitan que se escriba el texto antes de poder continuar.

Una vez introducido y puestos en contexto, analizamos los distintos motivos por los que la implantación que han realizado de esta medida es insuficiente. La siguiente imagen muestra un ejemplo.


  1. Longitud: el tamaño de la cadena del texto es siempre de tres caracteres, lo que es una doble vulnerabilidad: el tamaño es siempre el mismo, nunca lo encontraremos de dos o uno y sobra decir que "tres" es insuficiente incluso si hablamos de novias.

  2. Caracteres: el problema anterior se ve potenciado al restringirse los caracteres utilizados al abecedario en mayúsculas [A-Z], en total 26^3 = 17.576 posibles soluciones ¿por qué no números? ¿por que no caracteres especiales? Seguro que la explicación la tiene un director de marketing...

  3. Colorines de las letras: si nos fijamos en la imagen vemos que cada letra tiene un color, esta es una práctica correcta siempre y cuando los colores se alteren y el azar entre en juego. En el caso que nos ocupa el primero siempre será "#786464", el segundo "#aa6464", y el tercero "#dc6464".

  4. URL: la dirección que genera la imagen no es estática, es decir, para cada imagen que se muestra, existe una URL distinta. Lo que causa que se puedan hacer diccionarios del tipo "url->texto de imagen". Esto se comprueba de una forma sencilla, si abrimos la siguiente dirección web y pulsamos varias veces a actualizar, veremos que nunca cambia el texto.
    http://www.megaupload.com/capgen.php?064cb4f01e9a5ad3
  5. La fuente: seguramente el problema más importante, el tipo de letra es sencillo (nuevamente huele a marketing por aquí). Es tan sencillo, que un sistema de reconocimiento óptico de carácteres (OCR), acierta en el 99% de los casos en el análisis, aunque antes haya que jugar un poquito con la imagen. En general se deben de usar varias fuentes y modificar las imágenes distorsionándolas ligeramente y utilizando sistemas de azar. El objetivo es evitar la generación de un diccionario en base la fuente utilizada.

  6. El fondo: blanco Ariel, sin una mota, es todo lo malo que podría ser. No se me ocurre ninguna manera de hacerlo peor. El fondo debería tener líneas y colores no predecibles.

Bueno, como teoría está bien, pero ahora veamos como explotar estas vulnerabilidades de forma sencilla y espero que didáctica.

ATAQUE 1.

He desarrollado un pequeño script en bash para la descarga directa de megaupload. Lo podeís descargar de aquí. Para que funcione es necesario que este instalado el paquete gocr y ImageMagick. Está probado en Fedora Core 8. Su ejecución es tal que: script.sh [url], donde la url es del tipo: http://www.megaupload.com/?d=XXXXXXXX

  1. #!/bin/bash
  2. # aramosf<@>gmail.com http://www.securitybydefault.com
  3. # Mon Dec 8 19:10:57 CET 2008

  4. html=`curl -L -s $1`
  5. d=`echo $1 | sed -e 's/.*d=\(.*\)/\1/g'`
  6. megavar=`echo "$html" | grep megavar |sed -e 's/.*value="\(.*\)".*/\1/'`
  7. imagecode=`echo "$html" | grep imagecode |sed -e 's/.*value="\(.*\)".*/\1/'`
  8. captcha=`echo "$html" | grep capgen | sed -e 's/.*php?\(.*\)".*/\1/'`
Estas primeras líneas hacen una petición a la web y guardan distintos valores que han de ser enviados junto al texto que se muestra en el captcha y que nos permitirá avanzar. La número 9 almacena en una variable la cadena de texto que representa el nombre del archivo del captcha.
  1. file=`echo /tmp/$RANDOM.gif`
  2. letra1=`echo /tmp/$RANDOM.gif`;
  3. letra2=`echo /tmp/$RANDOM.gif`;
  4. letra3=`echo /tmp/$RANDOM.gif`;
  5. curl -s http://www.megaupload.com/capgen.php?$captcha -o $file
  6. convert -fill "#000000" -opaque "#786464" -fill "#ffffff" -fuzz 45% -opaque "#dc6464" $file $letra3
  7. convert -fill "#000000" -opaque "#aa6464" -fill "#ffffff" -fuzz 45% -opaque "#aa6464" $file $letra2
  8. convert -fill "#000000" -opaque "#dc6464" -fill "#ffffff" -fuzz 45% -opaque "#dc6464" $file $letra1
  9. imagestring=`gocr -C "A-Z" -i $letra3``gocr -C "A-Z" -i $letra2``gocr -C "A-Z" -i $letra1`
La línea 14 almacena la imagen del captcha en un fichero en local que posteriormente será procesado tres veces, una por cada letra. De la línea 15 a la 17 procesa la imagen tratando de ayudar a la aplicación de reconocimiento de texto "gocr" mediante el coloreado en negro de la letra, y la eliminación de las otras dos, de esta forma, se examina una a una. En el siguiente ejemplo se ve procesada una de estas imágenes:

La línea 18 llama a la aplicación gocr por triplicado que procesará todas las imagenes generadas y construirá el resultado del captcha.
  1. rm -f $file $letra1 $letra2 $letra3
  2. html=`curl -e "$1" -L -s -d "megavar=$megavar&imagecode=$imagecode&d=$d&imagestring=$imagestring" http://www.megaupload.com/`
  3. abs=`echo "$html"|grep Math.abs|sed -e 's/.*Math.abs(-\(.*\))).*/\1/'`
  4. absn=$(printf \\$(printf '%03o' $abs))
  5. stxt=`echo "$html"|grep sqrt|sed -e "s/var . = '\(.*\)'.*/\1/"`
  6. sqrt1=`echo "$html"|grep sqrt|sed -e "s/.*sqrt(\(.*\))).*/\1/"`
  7. sqrt2=`echo -e "sqrt($sqrt1)\nquit\n" | bc -q -i`
  8. sqrtn=$(printf \\$(printf '%03o' $sqrt2))
  9. string="${stxt}${sqrtn}${absn}"
  10. urld=`echo "$html" | grep megaupload.com/files/ | sed -e 's|.*<a href="\(.*\)" onclick.*|\1|'`
  11. urldl=`echo $urld | sed -e "s/'.*'/$string/g"`
  12. filename=`echo $urldl|sed -e "s|.*/\(.*\)|\1|"`
  13. echo Descargando: $filename
  14. echo Espera de 45 segundos
  15. sleep 46
  16. curl "$urldl" -o "$filename"

El resto del script procesa otra pequeña trampa que tiene la página web en javascript para construir la url final y descargar el fichero tras esperar los 45 segundos (esto en principio no se puede evitar). No entro a explicarlo porque daría pie a otro post. Si alguien lo pide en algún comentario, lo cuento detalladamente otro día.

ATAQUE 2.

Para generar un diccionario con todos los captcha, el primer paso es obtenerlos, Hemos comentado que existían 17.576 combinaciones posibles, cada una de estas combinaciones puede estar modificada 8 veces con pequeños giros distintos. Por lo que el total de captchas en el sistema es de 17576 *8 = 140.608.

Como prueba de concepto, solo comento el método y muestro una pequeña base de datos con unos cuantos miles, sería cuestión de tiempo e interés la obtención de la totalidad.

La siguiente línea, guardará 10.000 ficheros en el directorio actual:
for i in `seq 1 10000`; do gotxa=`curl -s "http://www.megaupload.com/?d=L50U5WWE" |grep capgen|sed -e 's/.*img src="\/capgen.php?\(.*\)".*/\1/'`; echo -n "$i-"; if [ -f $gotxa.gif ]; then echo "$gotxa:skip"; else wget -q "http://www.megaupload.com/capgen.php?$gotxa" -O $gotxa.gif; echo $gotxa; fi; done
Esta otra línea, ejecutada en el mismo directorio que el anterior, guardará en un fichero denominado "BBDD", una relación tal que "hash del captcha:letras".
for i in *.gif; do convert -fill "#000000" -opaque "#786464" -fill "#ffffff" -fuzz 45% -opaque "#dc6464" $i 3.gif; convert -fill "#000000" -opaque "#aa6464" -fill "#ffffff" -fuzz 45% -opaque "#aa6464" $i 2.gif; convert -fill "#000000" -opaque "#dc6464" -fill "#ffffff" -fuzz 45% -opaque "#dc6464" $i 1.gif; echo -n "$i "`gocr -C "A-Z" -i 3.gif``gocr -C "A-Z" -i 2.gif``gocr -C "A-Z" -i 1.gif`; echo; done|awk '{ print $2, $1}'| sort | uniq > BBDD
Aquí el ejemplo del resultado.

Si analizáis en detalle como son posibles estos ataques, os daréis cuenta que se utilizan varias de las debilidades contadas al inicio, evidenciando una vez más que un grano no hace granero, pero ayuda al compañero.

Leer más...

09 diciembre 2008

Security by Default ahora también en Facebook

Debido al grandioso boom que han tenido las redes sociales a la hora de congregar gente con gustos e intereses comunes, desde SbD hemos querido sumarnos a dicha iniciativa, aportando nuestros dos céntimos.

Para ello hemos creado el grupo Security by Default en la red social con mayor éxito en Internet: Facebook.

En los meses que este blog lleva de vida, ha tenido una progresión, en cuanto a número de lectores diarios, así como suscriptores a las RSS, que sinceramente no me habría imaginado.

La iniciativa de creación de este grupo Facebook es para poder poner nombre/cara/perfil a aquellos de vosotros que decidáis uniros. Asimismo, nos gustaría debatir con vosotros sobre los temas en los que queráis profundizar más, conocer vuestra opinión en tiempo real del blog, escuchar vuestras sugerencias sobre nuevas temáticas/problemáticas de seguridad sobre las que podamos discutir o incluso crear nuevos posts más personalizados hacia vuestros intereses...

Evidentemente seguimos manteniendo otras formas de contacto como nuestro email de contacto (contacto_at_securitybydefault.com), nuestros servicios de mensajería instantánea (mediante el comando "envia" a nuestro bot de Gtalk),...

¿Cómo uniros al grupo Security by Default?

Como bien imagináis, para poder unirse al grupo es imprescindible tener un perfil Facebook. Una vez dentro, en la página principal de vuestro perfil, en la sección Grupos, buscad por "Security by Default", o pinchad directamente en este enlace que os redirige directamente al grupo creado. Una vez allí pulsad en "Unirse a este grupo".

Estaremos encantados de conocer un poco más a nuestros lectores, así como poder cubrir mejor vuestras expectativas. Os esperamos,...
Leer más...

08 diciembre 2008

Hackeos memorables: microsoft.co.uk

Los ricos también lloran, axioma que también se cumple en la informática. Pese a que normalmente la gente asocia las grandes corporaciones con un áurea de inviolabilidad, en realidad nadie, por muy grande que sea, está libre de cometer errores.

La sede de Microsoft en Inglaterra sufrió un deface en Junio del 2007 que dejó la web con este aspecto. El ataque lo firmó un tal 'rEmOtEr' que, a tenor del deface, debe ser de Arabia Saudi.

La vulnerabilidad, lejos de ser un oscuro 0Day, era un simple SQL Injection en un formulario escrito en ASP.

En concreto, el programa que adolecía de la vulnerabilidad se encontraba localizado en
http://www.microsoft.co.uk/events/net/PreRegister.aspx y el parámetro que lo hacia vulnerable era eventID.

En su momento, la gente de windowsecurity realizó una muy buena investigación y, entre otras cosas, detectó que el formulario, cuando se le introducían las típicas secuencias con ', devolvía un bonito y completo reporte de error:

http://www.microsoft.co.uk/events/net/PreRegister.aspx?eventID=p83968&v2=1’

Lo increíble de esta historia es que los hechos acontecieran en pleno 2007 cuando tecnologías como IPS, IDSs y Firewalls de aplicación eran conceptos muy trillados y que se habían desplegado masivamente en muchos sitios.

Mención aparte el hecho de que la propia Microsoft dispone de su propio Firewall de aplicación destinado a IIS que, probablemente, habría parado el ataque.

Conclusiones:
  • Nunca 'regales' información extra haciendo que los errores de tus aplicaciones se vean
  • Nunca pongas a disposición pública aplicaciones que interaccionen con bases de datos sin haber introducido un IPS entre la aplicación y el mundo exterior
  • Finalmente, si el equipo de seguridad de tu compañia se ha molestado en liberar software, ¡¡ ÚSALO !!
Leer más...

05 diciembre 2008

La búsqueda de información en un test de intrusión.


El primer paso de un test de intrusión es la búsqueda de información o information gathering. Esta información será utilizada para organizar el ataque de la forma más precisa posible en las siguientes fases. Hay desarrolladas múltiples aplicaciones para tratar de automatizar esta pesada tarea, aunque la necesidad de hacer consultas y búsquedas manuales es imprescindible.

Maltego es una herramienta completa, sencilla y vistosa que deja impresionado a todo consultor. Existe una versión gratuita denominada "Community Edition" y otra comercial, "commercial edition". Seguramente Veronica Mars habría reducido su temporada a un par de episodios y hubiera prescindido de los servicios de su amiga "Mac" si hubiese conocido esta utilidad.

Entre otras cosas permite encontrar las relaciones que existen entre sistemas de información y personas:
  • Localización de nombres de usuario, nombres reales, números de teléfono, correo-e.
  • Localización de sistemas mediante DNS, Google Hacking, BBDD de RIRs
  • Búsqueda de otros dominios relacionados
  • Búsqueda de documentos y metadatos en los documentos
  • Representación gráfica de toda la información recolectada
  • En su versión comercial además, función de cliente/servidor.

Podéis ver algunas imágenes más y un vídeo de demostración en la página del fabricante: http://www.paterva.com/maltego/screenshots/

Otras herramientas también muy útiles pero más básicas son:



SEAT http://thesprawl.org/code/src/seat-0.2.tar.bz2
Goolag http://www.goolag.org/
http://www.goolag.org/download.html
MetaGoofil http://www.edge-security.com/metagoofil.php
TheHarvester http://www.edge-security.com/theHarvester.php
Goog-Mail.py http://www.darkc0de.com/misc/googemail.py
http://www.darkc0de.com/misc/emailcollect_v1.3.py
Fierce DNS http://ha.ckers.org/fierce/
Extract Subdomains http://www.darkc0de.com/misc/goog-subdomains.py
The Revisionist http://lcamtuf.coredump.cx/strikeout/
Herramientas web
http://www.serversniff.net
http://www.robtex.com
http://www.serversniff.net
Maltego http://www.paterva.com/maltego/
Base de Datos RIPE ftp.ripe.net/ripe/dbase/ripe.db.gz
Infocrobes http://www.gnucitizen.org/blog/infocrobes/
Hachoir-Metadata http://hachoir.org/wiki/hachoir-metadata
sameips.sh http://www.514.es/download/sameips.sh
httprecon http://www.computec.ch/projekte/httprecon/

BidiBlah
http://www.sensepost.com/research/bidiblah/
Leer más...