Mostrando entradas con la etiqueta aplicaciones. Mostrar todas las entradas
Mostrando entradas con la etiqueta aplicaciones. Mostrar todas las entradas

30 enero 2014

Integración de Process Explorer v16 con Virus Total



Lo venía anunciando el propio creador de la suite de SysInternals Mark Russinovich en un tweet hace semanas, sobre que estaba trabajando en incluir el análisis de los procesos en ejecución del sistema contra el servicio de Virus Total, para poder detectar malware en ejecución en nuestro sistema sin realizar el análisis manual a través de su servicio online.





Tweet de Mark Russinovich: "Trabajando en la integración de Process Explorer con Virus Total"
El día ya ha llegado después de este anuncio anterior al día de reyes: ya está disponible la versión 16.0 de Process Explorer que incluye la integración con Virus Total para análisis de procesos en ejecución.

La descripción completa de esta nueva versión es la siguiente:

Process Explorer v16.0: Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis.

Tras descargar esta nueva versión de la aplicación, podremos observar una nueva columna en la aplicación dedicada a recoger los resultados de VirusTotal una vez analizado el proceso:

Nueva columna en Process Explorer para resultados de Virus Total

Al hacer clic con el botón derecho del ratón en cualquier proceso, veremos una nueva opción denominada "Check VirusTotal" que, al ser pulsada, comenzará con el envío del hash de la imagen del proceso. Una vez finalizado el análisis, veremos el resultado en base a los motores de antivirus disponibles en este servicio online:

Opción por proceso para comprobar hash en VirusTotal

El búsqueda del hash del proceso jusched.exe sobre VirusTotal reporta 0 detecciones por parte de 50 motores
La aplicación no funciona bajo demanda únicamente, y también es posible que la propia herramienta realice el análisis de todos los procesos de forma paralela, obteniendo los resultados en la interfaz cuando hubiesen finalizado. Para ello, es necesario activar dicha opción desde el menú de Opciones -> VirusTotal.com -> Check VirusTotal.com


Tras finalizar el análisis, cualquier de los binarios que resultasen desconocidos para VirusTotal, serían marcados como tal en Process Explorer, permitiendo su subida de forma automática para realizar su primer análisis.

Sin duda, esta nueva funcionalidad nos ahorrará muchísimo tiempo en análisis propios del sistema en caso de que notemos que alguno de los procesos realiza un comportamiento anómalo o si su nombre pudiese ser sospechoso. En caso de tener alguna duda, es posible realizar la subida del binario directamente desde la interfaz de Process Explorer. 

Leer más...

08 julio 2013

Cómo verificar si un sitio web es oficial, no oficial o falso

¿Sabes distinguir el phishing? preguntaba Yago hace 4 años. El test de SonicWall todavía sigue activo.
Hoy mi pregunta es: ¿sabes distinguir un sitio web oficial de otro no oficial?

Póngamos por ejemplo este sitio web, tan tristemente de moda hoy día. El oficial es éste, por si había dudas.

¿Y esta web online de Zara es oficial?

Web no oficial de Zara (http://www.zaraonline.com.es/)

¿o esta de Swaroski?

Web no oficial de Swarovski (http://www.swarovskisale.co/)

Por contra, los usuarios de la banca online suelen estar muy informados para no caer en el phishing y además, hace tiempo que la banca online, sobre todo en España, hace uso de certificados SSL EV para aumentar la confianza de sus clientes, aunque luego el fraude les entre por otras vías.

Pero dejando a un lado la banca online, y siguiendo con los casos del comercio electrónico y otro tipo de recursos online, en muchas de las ocasiones, no es trivial distinguir si un sitio web es oficial o no oficial.

Consejos que estamos hartos de oir como:
  • Verifica que la URL es correcta
  • Qué tiene un candado en la parte izquierda de la web, donde el https
  • Revisa la gramática
  • Revisa donde está registrado el dominio
  • Verifica comentarios de otros usuarios
  • Confía en tu sentido común (el menos común de ellos)
noo son válidos para la gran mayoría de los casos, y aún siéndolo requerirían un trabajo extra que pocos usuarios llevarían a cabo. Pongamos por ejemplo el último caso del famoso repositorio no oficial de Debian. En este caso era sencillo, ya que a parte de tratarse de un recurso cuyos usuarios, se les supone capacidad de poder discernir entre sitios oficiales y no, uno de los dominios 'te vendía la moto' en ruso y nada tenía que ver con EL SO.

La confusión entre dominios oficiales y no, también da juego para bromas de mejor o peor gusto como la última del sitio web falso de la FIFA.

Por todo ello, en el proyecto desenmascara.me del cual ya comenté algo hace unos meses, a parte de extraer e interpretar los metadatos de cualquier sitio web, de forma no agresiva. Se ha añadido la verificación de sitios web 'oficiales' o 'no oficiales'. Ejemplos:

Web no oficial de zara

Web oficial de zara


Web no oficial de Swaroski

Web oficial de Swaroski


Y ello con el visto bueno de David Barroso, ya que al implementar dicha funcionalidad ví que se trataba de algo similar a famorazzi pero orientado a los sitios web.

----------------------------------------------------

Artículo cortesía de Emilio Casbas
Leer más...

12 octubre 2012

Probando Fortify SCA

Últimamente he estado viendo HP Fortify SCA, una herramienta para hacer auditorias de código fuente dentro de las soluciones de HP para gestionar la seguridad en el ciclo de desarrollo seguro. 

Fortify, considerada líder en este campo, fue adquirida en 2010 por HP para integrarse con el resto de productos.

Pese a que existen otras aplicaciones, tanto opensource/freeware como comerciales, aún están bastante lejos de llegar al nivel de madurez de SCA.

Haciendo pruebas y evaluando productos, probé a revisar el abandonado y triste front-end web escrito en PHP de OSSEC, que por cierto, desde que fue adquirido por Trend Micro, lo están dejando morir ya que ellos venden una consola mucho más profesional.. En unos minutos encontré un cross-site-scripting reflejado, al tener una validación muy pobre de un dato de entrada de un método POST con una expresión regular que debería incluir el inicio "^" y final de cadena "$".


La pantalla general es bastante sencilla, en la que destacan tres partes principales: las vulnerabilidades a la izquierda, el código fuente en el centro y la descripción, recomendación o gráfico de su flujo en la parte inferior central.



El dibujo del flujo de datos es posiblemente una de las características que más impresionan y muestran el potencial de la utilidad.


Las vulnerabilidades pueden ordenarse en base a distintas categorías y tipos:


De igual forma los reportes se pueden generar en distintos formatos y contenidos.


También es posible guardar los análisis e integrarlos en una consola central llamada Software Security Center.
Leer más...

11 septiembre 2012

SQLI a tutiplén !

Según OWASP, las vulnerabilidades de tipo SQL Injection están en el primer lugar de su particular TOP de problemas en aplicaciones web y, ciertamente, son un tipo de vulnerabilidad con unas implicaciones peliagudas.

En aras de 'concienciar', desde hace algún tiempo hay disponibles aplicaciones realmente asombrosas que permiten localizar servidores web en internet que padezcan de vulnerabilidades de tipo SQLI.

Su funcionamiento es muy sencillo, por un lado emplean 'Google Dorks' para localizar aplicaciones cuyas URLs tengan patrones sospechosos (la típica aplicación con un blabla.php?id=) y de entre todas los sites localizados, identifica cuales son efectivamente vulnerables.

SQLI HUNTER v1.1

Esta herramienta, escrita en VB 2.0, tiene un juego de 'Dorks' bastante amplio y permite localizar fácilmente aplicaciones en internet susceptibles de ser vulnerables a SQLI.

El autor ha publicado un vídeo bastante completo sobre como usar la herramienta


Dork Searcher

La mecánica de 'Dork Searcher' es parecida a 'SQLI HUNTER', también emplea Google Dorks para localizar aplicaciones que sean vulnerables, pero además, para funcionar requiere que tengas configurado TOR para poder realizar la búsqueda de forma anónima.

Está escrita en .NET y luce así



Sin duda dos herramientas muy útiles para 'concienciar' y 'concienciarse' sobre la enorme cantidad de servidores vulnerables que hay conectados a Internet


Leer más...

31 enero 2011

"Este mensaje se auto-destruirá en cinco segundos", hace tiempo que ésta frase de película ha pasado a ser una realidad gracias a algunos servicios de comunicación, cuyos mensajes solo pueden ser leídos una vez.

Uno de ellos es Privnote, una web en la que guardamos un mensaje, se genera un link, y al ser abierto por el receptor se muestra el mensaje a la vez que se destruye y el link es dado de baja. Aquí tenéis una breve explicación técnica de cómo funciona escrita por el autor.

Sin quitarle méritos a tan genial idea, para usarlo tenemos que depositar nuestra confianza en el servicio de un tercero que no sabemos cómo está funcionando por debajo, y que, si pensamos de una forma un poco escéptica, puede estar aprovechándose de alguna manera. Por ésto mismo, llevaba tiempo dándole vueltas a la cabeza para montar mi propio "privnote" personal.

El funcionamiento del servicio es sencillo y además teniendo una pequeña descripción de cómo funciona podemos mejorarlo.

Al final, lo que ha salido como alternativa es: https://notes.pentbox.net/

La web trabaja de la siguiente forma:
  1. La nota es subida por el usuario.
  2. Se genera un ID único de 25 caracteres alfanuméricos.
  3. Se genera una clave de cifrado de 32 caracteres alfanuméricos que mezcla mayúsculas y minúsculas.
  4. La nota se cifra con la clave usando Rijndael de 256 bits en modo CBC y se almacena en un fichero del servidor.
  5. Se guarda el ID y la clave en una base de datos. Antes de almacenarse, la clave se cifra con un doble SHA1.
  6. Se le proporciona al cliente un link que contiene el ID y la clave.
  7. Cuando el receptor visita el link se hace un doble SHA1 de la clave y se comprueban ID y clave en la base de datos.
  8. Si coinciden se descifra, muestra y elimina el mensaje, además de eliminar ID y clave de la base de datos.

¿Cuáles son las ventajas de este modelo?

  • El administrador del sitio no puede ver las notas, ya que la clave de cifrado está almacenada con un doble SHA1.
  • Si se comprometiera la base de datos, las notas seguirían a salvo ya que se encuentran en el servidor web. En caso de comprometerse el servidor web o ambos, todo seguiría a salvo, ya que un atacante no puede recuperar las claves de cifrado, al igual que el administrador del sitio.
  • En caso de realizar fuerza bruta sobre la clave, tiene 32 caracteres alfanuméricos que mezclan mayúsculas / minúsculas en doble SHA1 por lo que es (aún) demasiado compleja como para romperla en un tiempo razonable.

El problema es que volvemos a lo de siempre, ¿podemos fiarnos de un desconocido?

En este caso no hay problema (y aquí la verdadera novedad), ya que os dejamos disponible la descarga del código fuente de la aplicación y las instrucciones de instalación para que cualquiera pueda ver de verdad cómo funciona, e incluso montarse su propio sitio web. Todo el trabajo está licenciado bajo GNU/GPLv3.

Por supuesto podéis usar el que hemos nombrado, ya que para algo es público y lo hemos compartido.

- Descarga de Safe Webnotes
- Instrucciones de instalación
Leer más...

10 enero 2010

H4ck m3

Hemos tenido una semana curiosa desde que Mr. Bean apareció en la web de la Presidencia Española en la Unión Europea y los medios de comunicación publicaron titulares polémicos y alarmistas sin consultar antes con expertos en la materia.

El equipo de SbD llegó a tiempo para informar de lo que realmente había ocurrido, y para explicar mejor este tipo de vulnerabilidad buscó a Wally por diversas zonas del país.

Si estáis interesados en la búsqueda de vulnerabilidades, podéis demostrar vuestra destreza haciendo uso de aplicaciones que han sido diseñadas para aprender y practicar las lecciones de seguridad.

Estas aplicaciones han sido pensadas para enseñar a profesionales de la seguridad, arquitectos y desarrolladores cómo crear software seguro.

A continuación os dejo una lista con algunas de ellas para que disfrutéis un rato aprendiendo:
Leer más...