August 26th, 2010
Post blog Guru de la
informática
Seguridad SCADA: Firewall
para MODBUS/TCP.
By Alvaro Paz on August 26th, 2010
Los cortafuegos efectúan un perímetro lógico de seguridad
para las redes SCADA y son claramente un elemento
indispensable para garantizar la seguridad de este entorno.
Pero los cortafuegos no cumplen las necesidades de las redes
SCADA al no poder manejar los protocolos de comunicación,
como es el caso de Modbus . Los cortafuegos y las ACLs
actuales pueden filtrar direcciones IP y puertos, tal como TCP
502 para Modbus , pero no pueden filtrar contenidos en el
protocolo Modbus que fluyen a través de ese puerto, como el
código de función.
Con Modbusfw una extensión para Netfilter es posible dotar
a este cortafuegos de capacidades para filtrar código de
funciones en Modbus/TCP usando políticas (DROP, DENY,
ALLOW, etc.). De esta forma es posible: establecer grupos de
IP que solo pueden enviar determinados códigos de funciones
ModBus , bloquear ciertos códigos de funciones Modbus que
llegan a una IP… Esto mejora notablemente el control de
acceso en el protocolo Modbus/TCP frente a la mayoría de los
cortafuegos en los simplemente puedes controlar el acceso al
puerto TCP 502 (puerto Modbus).
Modbusfw está disponible como extensión para el cortafuegos
de Linux Netfilter y también se puede descargar incorporada
en un LiveCD Trinux (minidistribución de GNU/Linux) lo
que permite levantar de una forma rápida un cortafuegos
Modbus/TCP .
Más información y descarga de Modbusfw:
http://modbusfw.sourceforge.net/
Seguridad SCADA: Fingerprinting de dispositivos que
trabajan sobre MODBUS/TCP:
http://vtroger.blogspot.com/2010/08/seguridad-scada-
fingerprinting-de.html
Published by: vtroger
Seguridad SCADA:
Fingerprinting de dispositivos
que trabajan sobre MODBUS/
TCP.
By Alvaro Paz on August 26th, 2010
SCADA viene de las siglas de "Supervisory Control And
Data Adquisition", es decir: adquisición de datos y control de
supervisión. Se trata de una aplicación software diseñada para
funcionar sobre computadoras en el control de producción,
proporcionando comunicación con los dispositivos de campo
(controladores autónomos, autómatas programables, etc.)
y controlando el proceso de forma automática desde la
computadora.
El protocolo más utilizado en redes SCADA suele ser Modbus
. Un protocolo de comunicaciones de nivel 7 OSI , basado en la
arquitectura maestro/esclavo, diseñado en 1979 por Modicon
para su gama de controladores lógicos programables ( PLCs
). Modbus es uno de los protocolos más utilizados porque: es
público, su implementación es fácil y requiere poco desarrollo
y además maneja bloques de datos sin suponer restricciones.
Este protocolo puede ser empleado sobre RS-232, RS-422,
RS-485 o TCP/IP (puerto estándar TCP 502).
Una de las vulnerabilidades de este protocolo, es la posibilidad
de hacer fingerprinting a través de su puerto estándar
TCP 502. Mediante la función 43 del protocolo puede
averiguarse el registro de identificación de PLCs y conseguir
información como: tipo de dispositivo, fabricante, versión y
otras informaciones útiles para posteriores ataques.
Con la aplicación ModScan es posible aprovechar esta
vulnerabilidad y escanear todos los dispositivos de la red
SCADA y identificarlos. ModScan es un escáner para
MODBUS/TCP que permite ver los dispositivos que usan
el puerto para MODBUS/TCP en la red y averiguar su
identificador.
Más información y descarga de ModScan:
1
August 26th, 2010 Published by: vtroger
http://code.google.com/p/modscan/
Herramienta para supervisión
Especificaciones técnicas del protocolo Modbus : de seguridad de dispositivo
http://www.modbus.org/specs.php
Cisco.
By Alvaro Paz on August 26th, 2010

Servicio online para chequear
la seguridad del navegador.
By Alvaro Paz on August 26th, 2010
Las vulnerabilidades en los navegadores suelen ser la principal
puerta de entrada de malware, por eso, es conveniente tener
siempre actualizado el navegador. Pero hoy en día esto no
es suficiente debido a que el malware también ataca las
vulnerabilidades de los plugins del navegador o utiliza plugins
propios.
Se trata de Splunk for Cisco Security una herramienta
que proporciona una vista consolidada de los sucesos de
seguridad de dispositivos Cisco. Esta herramienta proporciona
aplicaciones de búsqueda y filtrado de logs, aplicaciones
de visualización en tiempo real de eventos de seguridad,
aplicaciones monitorización de la red… Estos instrumentos
se pueden utilizar por separado o juntos para proporcionar a
único panel de monitorización.

Splunk soporta:

Existe un servicio llamado Qualys BrowserCheck que permite
chequear la seguridad del navegador, este servicio soporta los
navegadores:
• Cisco CSA.
• Cisco Email Security Appliance (antes Ironport).
• Cisco Web Security Appliance (antes Ironport).
• Cisco ASA (firewall y IPS).

• IE 6.0 y versiones posteriores. Entre sus características destaca:

• Firefox 3.0 y posteriores.
• Proporciona monitorización de seguridad con tableros
• Chrome 4.0 y posteriores. de instrumentos predefinidos, búsquedas, informes y
alarmas; para todos los dispositivos Cisco soportados.
Es capaz de chequear vulnerabilidades en los siguientes
plugins. • Permite realizar análisis forenses con las definiciones de
campo, para hacer investigaciones ad hoc.
• Adobe Flash Player. • Permite al usuario ver amenazas de seguridad en tiempo
• Adobe Reader. real gracias a los registros del firewall y IPS.
• Adobe Shockwave Player. • Muestra las vulnerabilidades que se van descubriendo y
que afectan a los dispositivos de la red.
• Apple Quicktime.
• BEA JRockit. Más información y descarga de Splunk for Cisco Security:
http://www.splunkbase.com/apps/All/4.x/App/app:Splunk
• Microsoft Silverlight.
+for+Cisco+Security
• Microsoft Windows Media Player.
• Real Player.
• Sun Java. Herramienta para explorar y
• Windows Presentation Foundation (WPF) plugin para eliminar BHO malévolos de
Mozilla.
Internet Explorer.
Qualys BrowserCheck avisa de los plugins que no están By Alvaro Paz on August 26th, 2010
actualizados y pueden ser potencialmente peligrosos.
Se trata de SpyBHORemover una herramienta para explorar
y eliminar BHO malévolos de Internet Explorer. Los BHO
Web de Qualys BrowserCheck:
(Browser Helper Object) son plugins de Internet Explorer,
https://browsercheck.qualys.com/
archivos DLL que amplían las funcionalidades del navegador.
Esta característica está siendo empleada por software espía,
para supervisar los hábitos de navegación del usuario y para
robar sus credenciales.

2
August 26th, 2010
SpyBHORemover ayuda en la identificación y la eliminación
rápida de malware que se aloja como BHO. Para esta labor
utiliza análisis heurístico y análisis online utilizando servicios
de internet designados a la detección de malware.
Entre sus características destaca:
• Posee opciones de respaldo permite al usuario quitar y
reinstalar BHO todas la veces que quiera.
• Verificación en línea de el BHO malévolo usando:
VirusTotal, ThreatExpert y ProcessLibrary .
• Exhibe la información detallada para cada BHO
instalado: nombre de clase de BHO, información del
análisis, compañía, nombre de producto, fecha de
instalación, CLSID del BHO y trayectoria del archivo de
BHO.
SpyBHORemover es una herramienta portable independiente
que no requiere ninguna instalación. Trabaja en la Windows
plataformas a partir de Windows Xp al último sistema
operativo, Windows 7.
Más información y descarga de SpyBHORemover:
http://www.securityxploded.com/bhoremover.php
Monitorizar seguridad de
páginas Web.
By Alvaro Paz on August 26th, 2010
Con la herramienta NSIA es posible monitorizar la seguridad
de páginas Web. Es posible detectar los riesgos de seguridad
más corrientes que se pueden encontrar en páginas Web.
No precisa de la instalación de un componente en el servidor
ya que su funcionamiento se basa en un motor de búsquedas
que hace barridos de búsqueda en la página Web y al detectar
cambios los analiza.
Con NSIA es posible detectar los siguientes fallos de seguridad:
• Detecta los cambios producidos en caso de un
Defacements.
Published by: vtroger
• Detecta si se cumplen las condiciones de privacidad de
información de los usuarios. Como por ejemplo archivos
de usuarios y contraseñas accesibles desde el exterior.
• Detecta si la página tiene exploits que infectan a los
visitantes. En caso de que un atacante colocara un exploit
en la página con NSIA es posible detectarlo.
• Analiza si la página Web reporta información delicada
sobre la estructura del sistema en sus mensajes de error.
• Permite configurar acciones cuando detecta un cambio
en la pagina Web, por ejemplo el envío de un mensaje de
texto (IM, email, SMS) o la ejecución de una acción de
escritura en la página Web.
Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA
Monitorización de integridad
de ficheros en Linux en tiempo
real.
By Alvaro Paz on August 26th, 2010
Con iWatch una herramienta de monitorización de integridad
de ficheros en tiempo real, para sistemas Linux. iWatch se
puede ejecutar en dos modos:
• Modo del demonio, donde iWatch se ejecuta como
demonio del sistema y supervisa los blancos marcados en
el archivo configuración xml.
• Modo comando, especificando todos los parámetros:
blanco a monitorizar, dirección de correo a la que enviar
informe, excepciones….
Características destacadas de iWatch:
• Envía alertas de cambios al correo electrónico y permite
configurar varios correos electrónicos por cada blanco a
monitorizar.
• Permite usar excepciones de forma que si no se quiere
supervisar un archivo concreto dentro de un directorio
blanco se puede excluir.
• Permite configurar acciones a realizar cuando se detecta
una modificación en el blanco que supervisa. Por
ejemplo: configurar iWatch para que si se modifica un
archivo restablecer una copia original del archivo.
• Permite configurar que aspectos se quieren monitorizar:
cambios en atributos, modificaciones, apertura de
fichero, cierre, si fue movido…
Esta herramienta puede ser muy útil para monitorizar
archivos sensibles o directorio, frente cualquier cambio. Como
por ejemplo monitorizar de los archivos /etc/passwd o /etc/
shadow, el directorio /bin o supervisar el directorio de raíz de
un sitio web, contra cualquier cambio indeseado.
Más información y descarga de iWacth:
http://iwatch.sourceforge.net/index.html
3
August 26th, 2010
Auditar seguridad en el código
de aplicaciones.
By Alvaro Paz on August 26th, 2010
Con la herramienta RATS es posible auditar la seguridad del
código de aplicaciones escritas en: C, C++, Perl, PHP y Python
. sobre los APIs llamados por el malware. La salida generada
RATS analiza el código y al finalizar muestra una lista con
los potenciales problemas de seguridad, una descripción del
problema y una posible solución para fortificar la aplicación.
También proporciona un gravamen relativo de la severidad
potencial de cada problema, para ayudar al auditor de
seguridad a priorizar los fallos de seguridad.
Uso:
Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]
Opciones explicadas:
- d especifica una base de datos de vulnerabilidades externa
para cargar. Rats contiene una base de datos interna pero con
este parámetro se pueden pasar otras bases de datos.
- h exhibe un breve resumen sobre el uso de rats.
- i muestra una lista de llamadas de función a las que se le
pasaron archivos externos. Esta lista aparece al final de la lista
de vulnerabilidades.
- l fuerza el lenguaje que se utilizará sin importar la extensión
de nombre de fichero. Los nombres válidos del lenguaje son
actualmente “c”, “Perl”, “PHP” y “pitón”.
- r aplica referencias a las llamadas de función vulnerables que
no se están utilizando.
- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.
- x no carga la bases de datos de vulnerabilidades que tiene
por defecto.
Rats está disponible tanto para la plataforma Windows como
Linux bajo licencia GNU. Es una herramienta muy útil para
limpiar errores de código y fallos de seguridad, aunque debe
usarse como complemento de una buena inspección manual.
Más información y descarga de Rats:
http://www.fortify.com/security-resources/rats.jsp
Published by: vtroger
Herramienta de análisis de
malware.
By Alvaro Paz on August 26th, 2010
Se trata de Zero Wine una herramienta bajo licencia GLP v2
para analizar dinámicamente el comportamiento del malware.
Esta herramienta basa su funcionamiento en cargar el
malware con Wine en una jaula virtual y recoge la información
por Wine (usando la variable de entorno de eliminación de
errores WINEDEBUG) pertenece a las llamadas de las API
usadas por el malware. Con esta información, se analiza el
comportamiento del malware.
Se distribuye el Zero Wine en una imagen de la máquina virtual
QEMU con un sistema operativo Debian instalado. La imagen
contiene software para cargar y para analizar el malware y para
generar los informes basados en la información recopilada
(este software se almacena en /home/malware/zerowine).
Para correr Zero Wine se utiliza un script que carga la
maquina virtual y lanza un servicio web en el puerto 8000
en dicha maquina. Para enviar archivos a analizar se utiliza
la aplicación web que corre en el servidor web de la maquina
virtual.
Existe una versión mejorada de este proyecto se llama Zero
Wine Tryouts basado en el mismo motor pero con mejoras en
el comportamiento y más opciones.
Es una excelente herramienta para analizar malware ya que
nos permite ver todas las acciones que ejecuta el malware en
el sistema.
Más información y descarga de Zero Wine:
http://zerowine.sourceforge.net/
Más información y descarga de Zero Wine Tryouts:
http://zerowine-tryout.sourceforge.net/
Herramienta para simular
mensajes y escenarios de SIP.
By Alvaro Paz on August 26th, 2010
Se trata de SIP Inspector una herramienta escrita en JAVA
que permite simular mensajes y escenarios de SIP. Con esta
herramienta es posible crear y monitorizar mensajes de SIP y
de esta forma crear escenarios personalizados de señalización
SIP.
Entre sus características destaca:
4
August 26th, 2010
• Permite realizar llamadas simultáneas.
• La generación de llamadas puede ser fijada en llamadas
por segundo.
• Permite lanzar flujos RPT de un archivo de captura pcap.
• Puede soportar múltiples flujos de RTP al mismo tiempo.
Es una herramienta ideal para auditarla seguridad de VOIP
y con grandes aplicaciones para los que quieran conocer
más sobre el protocolo de señalización SIP, gracias a la
incorporación de esquemas para los casos de UAC y de UAS.
Más información y descarga de SIP Inspector:
http://sites.google.com/site/sipinspectorsite/
Tutorial de SIP Inspector:
http://sites.google.com/site/sipinspectorsite/tutorial
Herramienta para chequear
las reglas de cortafuegos.
By Alvaro Paz on August 26th, 2010
Con la herramienta Flint es posible chequear reglas de
cortafuegos. Esta herramienta nos permite optimizar la
seguridad de una red local que posee varios cortafuegos.
Flint permite subsanar los errores de seguridad que se
cometen a la hora de configurarlos, que suelen ser:
• Permitir servicios inseguros que pueden comprometer la
seguridad de la red.
• No controlar bien los equipos que forman parte de la
DMZ.
• Exponer los puertos de gerencia de los cortafuegos a
redes inseguras.
• Utilizar reglas redundantes en los cortafuegos, esto
complica la configuración y ralentiza el dispositivo.
Entre las características de Flint destaca:
• Permite limpiar las configuraciones en caso de reglas
redundantes o erróneas.
Published by: vtroger
• Avisa de las reglas que son demasiado permisivas.
• Permite evaluar futuras reglas que se quieran
implementar para que no causen conflicto.
Flint soporta los cortafuegos:
• Cisco Pix/ASA.
• IPTables.
• Pf.
Flint es una herramienta que solo está disponible para la
plataforma Linux. Es ideal para chequear la configuración de
cortafuegos en una red, también sirve para comprender las
configuraciones de los cortafuegos.
Más información y descarga de Flint:
http://runplaybook.com/p/11#
Herramienta para firma
digital de documentos con
DNI electrónico o certificado
digital.
By Alvaro Paz on August 26th, 2010
Con la herramienta XolidoSign se puede realizar firmas
digitales en documentos con DNI electrónico o con un
certificado digital. La firma digital en documentos se utiliza
para:
• Poder verificar la autoría del archivo (autenticación).
• Verificar que el documento no ha sido modificado
(integridad).
• Adjudicar la autoría innegable del archivo (no repudio).
Entre las características de XolidoSign destaca:
• Soporta muchos tipos de certificado digital.
• Permite firmar cualquier documento o archivo sin límite
de tamaño: PDF, Excel, Word, Powerpoint, archivos txt,
html, php, bases de datos, imágenes, diseños vectoriales,
archivos 3D, vídeos, planos, música...
• Soporta firma PDF integrada o externa. Permite hacer
visible o invisible el campo de firma en el propio
documento PDF.
• Permite la firma de múltiples documentos y archivos de
una sola vez. Robusto y sencillo.
• Comprueba la validez del certificado electrónico y el
estado de revocación con la entidad emisora.
5
August 26th, 2010 Published by: vtroger
• Puede firmar con sello de tiempo integrado o realizar
sello temporal independiente de los documentos o
archivos.
• Añadiendo el sellado temporal al documento, archivo o
Herramienta para identificar
firma, se puede garantizar su existencia en un momento versiones de servicios de red.
determinado. XolidoSign permite utilizar cualquier By Alvaro Paz on August 26th, 2010
servidor de sellado de tiempo.
Se trata de Vmap una herramienta disponible solo para Linux,
Es una herramienta gratuita disponible solo bajo la plataforma que permite identificar versiones de servicios de red. Vmap
Windows. identifica las versiones de los siguientes servicios: ftp, smtp,
pop3, imap y http.
Más información o descarga:
http://www.xolido.com/lang/productosyservicios/
firmaelectronicayselladodetiempo/xolidosign/?
idboletin=1922&idseccion=10749
Su método de funcionamiento se basa en analizar las
respuestas de los diferentes servicios y compararlas con su
Herramienta para testeo base de datos para identificar la versión del servicio.

automático de IDS. Es una herramienta, muy útil para auditorias ya que

By Alvaro Paz on August 26th, 2010 identificando las versiones de los servicios se puede buscar las
WinAUTOPWN es una herramienta automatizada para el vulnerabilidades de los mismos.
descubrimiento de vulnerabilidades, ideal para realizar un
testeo rápido de un IDS. Esta herramienta no se desarrollo Descarga de Vmap:
con el propósito de competir contra otras aplicaciones http://freeworld.thc.org/root/tools/vmap.tar.gz
similares como: Core Impact, Inmunity Canvas o Metasploit
Framework. Lo que se pretende en WinAUTOPWN es
tener una herramienta sencilla pero muy eficaz para la
automatización de descubrimiento de vulnerabilidades y Auditar la seguridad en
aprovechamiento mediante exploits. plataformas de virtualización.
By Alvaro Paz on August 26th, 2010
Entre sus principales característica destaca:
La virtualización de sistemas se utiliza cada vez más debido a
• Contiene exploits compilados (binarios y ejecutables) de sus grandes ventajas: reducción de los costes, administración
las vulnerabilidades más conocidas. centralizada, integración de arquitecturas… y finalmente
nuevos recursos en materia de seguridad.
• Escanea puertos 1 al 65535 TCP después de reconocer la
IP, ejecuta los exlpoits de acuerdo a la lista de puertos
abiertos “Openports.TXT”.
• Realiza escaneo de puertos multihilo.
• No requiere ninguna base de datos en el back-end.
• La ejecución de exploits no se basa en técnicas de
Fingerprinting, se realiza de forma independiente. Pero también entraña nuevas amenazas de seguridad como
son las vulnerabilidades de plataformas de virtualización. Con
• No se necesita compilar el código fuente. VASTO es posible auditar la seguridad de plataformas de
virtualización.
Es una herramienta para Windows ideal para realizar un testeo
rápido de un IDS, debido a su eficacia y facilidad de uso.
Vasto es un conjunto de herramientas que permiten
explotar vulnerabilidades de las principales infraestructuras
Esta herramienta al poseer exploits puede ser detectada por
de virtualización: VMware y Citrix XenCenter. VASTO está
algunos antivirus como infectada, es normal ya que posee el
formado por componentes de Metasploit.
código de muchos exploits conocidos.
Más información y descarga de VASTO:
Más información de WinAUTOPWN:
http://blog.nibblesec.org/search/label/tool
http://winautopwn.co.nr/

Descarga de WinAUTOPWN:
http://089dc64a.seriousfiles.com/

6
August 26th, 2010 Published by: vtroger
-- bugs
Auditar seguridad de SSL. Buscar bugs en SLL.
By Alvaro Paz on August 26th, 2010

Existen dos herramientas muy completas para auditar la --xml=

seguridad de SSL: SSLScan y SSL Audit. Mostrar resultados de la salida en archivo de XML.

SSLScan. Más información y descarga de SSLScan:

https://www.titania.co.uk/index.php?
Sirve para comprobar el tipo de cifrado SSL que utiliza option=com_content&view=article&id=56&Itemid=68
un servicio. Es una herramienta para Linux que necesita el
compilador GNU para C y la libreria OpenSSL. SSL Audit.

Es otra herramienta para comprobar el tipo de cifrado SSL.

Que incorpora posibilidades de Fingerprint para identificar el
motor SLL del servidor, esta última opción es experimental y
según el autor reporta falsos positivos.

Identifica:

Modo de empleo:

Comando:
• IIS7.5 (Schannel).
sslscan [opciones] [host: puerto] • IIS7.0 (Schannel).
• IIS 6.0 (Schannel).
Opciones: • Apache (Openssl).
• Apache (NSS).
--targets= • Certicom.
Sirve para pasarle un archivo que contiene una lista de host • RSA BSAFE.
para chequear. Los host se pueden suministrar con puertos
puertos (es decir host: puerto). Documentación de SSL Audit:
http://www.g-sec.lu/sslaudit/documentation.pdf
--no-failed Descarga de SSL Audit:
No muestra los tipos de cifrado que no acepta el host. http://www.g-sec.lu/sslaudit/sslaudit.zip

--ssl2
Comprueba solamente el cifrado SSLv2.
Sistema centralizado
para la detección,
--ssl3
Comprueba solamente el cifrado SSLv3.
protección y seguimiento
--tls1
Comprueba solamente el cifrado TLSv1. de vulnerabilidades en
--pk=
aplicaciones Web.
By Alvaro Paz on August 26th, 2010
Sirve para pasarle un archivo PKCS#12.
Vulnerability Manager de Denim Group es un sistema
--pkpass= centralizado para la detección, protección y seguimiento de
La contraseña para PKCS#12. vulnerabilidades en aplicaciones Web. Pero con unas calidades
que lo convierten en una potente protección a ataques basados
--certs= en aprovechamiento de vulnerabilidades, gracias a sus modulo
Pasarle un archivo que contiene PEM/ASN1. de protección real y su interacción con los cortafuegos y IDS.

--starttls Características de VM:

Introducir un STARTTLS para servicios smtp.

--HTTP
Prueba una conexión del HTTP.

7
August 26th, 2010 Published by: vtroger

WAFP funciona en la plataforma Linux y necesitas de los

siguientes paquetes para ejecutarse:

• Ruby 1.8.
• Sqlite3 3.
• Sqlite3-ruby 1.2.4.
• Permite administrar varias aplicaciones Web de una
forma organizada. La base de base de datos se actualiza online y además permite
• Puede utilizar una gran variedad de herramientas añadir sumas de comprobación MD5 de aplicaciones a la base
para detectar vulnerabilidades. Soporta las comerciales: de datos de una forma sencilla.
IBM AppScan, Fortify SCA/360, Checkmarx, Microsoft
CAT.NET, IBM Rational AppScan, WhiteHat Sentinel y Es una herramienta muy práctica para obtener información de
Mavituna Netsparker. Y las gratuitas: OWASP Orizon y un sitio web en una auditoria o en un test de penetración.
FindBugs.
Más información y descarga de WAFP:
• Protección en tiempo real que se apoya en IDS http://mytty.org/wafp/
y cortafuegos para evitar el aprovechamiento de
vulnerabilidades. Los IDS basan su protección contra
ataques en firmas, es normal que no existen firmas
para vulnerabilidades de aplicaciones Web hechas a Herramienta para analizar
medida, para mejorar la protección VM detecta las
vulnerabilidades e interactúa con el IDS y cortafuegos páginas Web con código
para proteger la aplicación Web. VM soporta: Snort,
OWASP ESAPI WAF y mod_security.
malicioso.
By Alvaro Paz on August 26th, 2010
• Recoge toda la información de IDS y cortafuegos, en FileInsight es una herramienta gratuita de McAfee ideal para
el caso de un ataque a una vulnerabilidad para poder analizar páginas con código malicioso.
realizar un seguimiento completo.
• Puede realizar seguimiento y detección de errores en Entres sus características destaca:
aplicaciones Web gracias a su integración con: Bugzilla,
Microsoft Team Foundation Server (TFS) y JIRA.
• Evalua la madurez de las técnicas empleadas en
la seguridad de las aplicaciones web, usando como
modelos: BSI-MM, OWASP (OpenSAMM) y SAMM.

Más información y descarga: • Permite analizar e importar estructuras en C y C++.

http://vulnerabilitymanager.denimgroup.com/
• Decodifica códigos en IA-32.
• Decodifica scripts en JavaScript.

Herramienta de identificación • Contiene plugins de análisis automatizado y un plugin

para enviar el fichero a Virustotal para un análisis
de aplicaciones Web. completo.
By Alvaro Paz on August 26th, 2010
Es una herramienta ideal para investigar páginas con código
Es posible identificar aplicaciones Web como: WordPress,
malicioso, tanto para un análisis forense como para una
serendipity, phpmyadmin… con la herramienta WAFP ( Web
auditoria. FileInsight solo está disponible para la plataforma
Application Finger Printer ).
Windows.

Descarga de FileInsight:
http://www.webwasher.de/download/fileinsight/

Tutorial de uso de FileInsight:

http://www.webwasher.de/download/fileinsight/
tutorial.html

WAFP utiliza para identificar una aplicación Web, una base

de datos con las sumas de comprobación MD5 de los archivos
de las aplicaciones y las compara con el sitio Web a investigar.

8
August 26th, 2010
Herramienta de Bing Hacking.
By Alvaro Paz on August 26th, 2010
En anteriores post he escrito sobre herramientas de Google
Hacking , en este post voy a hablar de Binging una herramienta
para técnicas de Bing Hacking. Bing (anteriormente Live
Search, Windows Live Search y MSN Search) es un buscador
web de Microsoft, que podemos utilizar igual que Google para
descubrimiento de vulnerabilidades y buscar información en
una auditoria.
Entre los usos de Binging destaca:
• Enumeración de host de un dominio.
• Busca directorios y archivos sensibles en el sitio web.
• Búsqueda inversa DNS.
• Monitorización de un sitio Web, a través de resultados
del buscador.
• Posibilidades de filtrar resultados y almacenarlos.
Binging solo funciona en plataformas Windows y para su
funcionamiento es necesario regístrate en Windows Live ID.
Después editar el fichero “Binging.exe.config” y modificar la
línea:
add name="AppId" connectionString=""
Poniendo el ID entre comillas.
Descarga de Binging:
http://www.blueinfy.com/Binging.zip
Documentación de Binging:
http://www.slideshare.net/blueinfy/binging-footprinting-
discovery-1913746?src=embed
Análisis de vulnerabilidades Web a través de buscadores:
http://vtroger.blogspot.com/2009/02/analisis-de-
vulnerabilidades-web-traves.html
Averiguar si un sitio web es sensible a técnicas de Google
Hacking:
http://vtroger.blogspot.com/2008/12/averiguar-si-un-sitio-
web-es-sensible.html
Published by: vtroger
Proteger servidor Linux contra
ataques de fuerza bruta y
denegación de servicios.
By Alvaro Paz on August 26th, 2010
Con tres herramientas: BFD, APF y DDoS Deflate es posible
mitigar ataques de fuerza bruta y denegación de servicios en
servidores Linux.
APF.
Es un cortafuegos basado en iptables (netfilter) fácil de instalar
y configurar, pero lo que lo hace indispensable es que es
compatible con BFD y DDoS Deflate.
Configuración básica:
Una vez instalado su fichero de configuración se ubica en “/
etc/apf/conf.apf”. En primer lugar se modifica la línea que le
indica en que interface de red actuar en este caso eth0:
# Untrusted Network interface(s); all traffic on defined
interface will be
# subject to all firewall rules. This should be your internet
exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards
support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"
Después es posible configurar los interfaces de red para que
los ignore.
# Trusted Network interface(s); all traffic on defined
interface(s) will by-pass
# ALL firewall rules, format is white space or comma
seperated list.
IFACE_TRUSTED="eth1"
Luego puertos TCP de entrada permitidos.
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"
Puertos UDP de entrada permitidos.
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"
Luego puertos TCP de salida permitidos.
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"
9
August 26th, 2010 Published by: vtroger
Una vez instalado su fichero de configuración se encuentra en
Puertos UDP de salida permitidos. “/usr/local/ddos/ddos.conf”. La primera configuración es la
frecuencia de ejecución en minutos.
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110" FREQ=1

Entradas ICMP permitidas: Después número de conexiones máximas permitidas antes de

proceder a bloquear IP:
# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard NO_OF_CONNECTIONS=160
for any
IG_ICMP_TYPES="3,5,11" Luego configuración para uso de APF para bloquear IP. Si se
pone 0 usaría iptables.
Existen dos ficheros importantes para denegar el acceso
“/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/ APF_BAN=1
allow_host.rules” en ellos se pueden especificar IP, rangos,
hosts… Tiempo en minutos, en el que la IP atacante será bloqueada:

Más información y descarga de APF: BAN_PERIOD=500

http://www.rfxn.com/projects/advanced-policy-firewall/
Dirección de email a la que notificar cuando actúa DDoS
BFD. Deflate.

Es un script diseñado para monitorizar los logs de servicios EMAIL_TO=” administrador@servidor.es”

que corren en el servidor: ssh, apache, ftp… en busca de fallos
continuos de autentificación o excesos de conexión por parte Más información y descarga de DDoS Deflate:
de una IP. Una vez detectado una anomalía BFD activa APF http://deflate.medialayer.com/
para bloquear la IP atacante.
Auditar el impacto de ataques de denegación de servicios y
Configuración básica: fuerza bruta:
http://vtroger.blogspot.com/2009/02/auditar-el-impacto-
Una vez instalado su fichero de configuración se encuentra en de-ataques-de.html
“/usr/local/bfd/conf.bfd”. Lo primero que se configura es el
TRIGGER, que es el número de intentos de conexión fallidos
que permite BFD antes de actuar.
Auditar de una forma rápida la
TRIG=10
seguridad de la configuración
Después configurar el envió de notificaciones por email para de distribuciones Linux.
cada evento de BFD. Poniendo el valor 1 para activar y 0 para By Alvaro Paz on August 26th, 2010
desactivar.
Con la herramienta Yasat podemos auditar de una forma
rápida la seguridad de la configuración de distribuciones
EMAIL_ALERTS=1
Linux. Es una herramienta muy potente y tremendamente
EMAIL_ADDRESS=administrador@servidor.es
eficaz.
Si queremos que BFD ignore alguna IP a la hora de bloquer
Puede auditar configuraciones de las distribuciones:
intentos de conexión podemos indicar la IP en el archivo “/
usr/local/bfd/ignore.hosts”. • Gentoo.
Más información y descarga de BFD: • Debian.
http://www.rfxn.com/projects/brute-force-detection/ • Ubuntu.

DDoS Deflate. • FreeBSD.

• OpenBSD.
Se trata de un script que monitoriza las conexiones al servidor
a través de Netstat y bloquea con APF aquellas que realizan un Yasat chequea la configuración en busca de fallos de seguridad
ataque de negación de servicios. en:

Configuración básica: • Configuración del Kernel.

• Configuración de red.

10
August 26th, 2010 Published by: vtroger
• Actualización de paquetes. • Finalmente, la Halberd escribe un informe de sus
resultados.
• Cuentas de usuario.
• Apache. Halberd utiliza las siguientes técnicas:
• Bind DNS.
Comparación de la fecha . Las respuestas HTTP revelan el reloj
• PHP. interno del servidor Web que las produce. Si aparecen varios
• Mysql. resultados con tiempos de reloj diferente, Halberd identifica
número de servidores verdaderos. Este método funciona si los
• Openvpn. servidores Web no están sincronizados con un NTP.
• Snmpd.
Diferencia de nombres de campo de las cabeceras del MIME.
• Tomcat.
Las diferencias en los campos que aparecen en respuestas
• Vsftpd. del servidor pueden permitir que la Halberd identifique los
• Xinetd. servidores.

Yasat es una herramienta ideal para los que dan sus primeros
pasos en Linux y quieren implementar sistemas seguros. Pero
también es útil para usuarios avanzados, porque siempre se
puede escapar algún detalle y con un método de chequeo tan
rápido vale la pena utilizarlo.
Más información de Yasat y descarga:
http://yasat.sourceforge.net/
Auditar la seguridad de la
Generación de altas cantidades de tráfico. Bajo ciertas
configuraciones, los balanceadores de la carga comienzan a
distribuir tráfico, solamente después de que se alcance cierto
umbral. Esta herramienta intenta generar un volumen de
tráfico importante para accionar esta condición y alcanzar
tantos servidores verdaderos como sea posible.
Usando diversas URL. Un balanceador de carga se puede
configurar para redirigir el tráfico a distintos servidores según
la URL a la que se acceda. Esta herramienta utiliza una
araña para navegar por las diferentes URL para diferenciar los
distintos servidores que contestan.

configuración del balanceo de Detección de cache del servidor . Detecta si los servidores web
carga de servidores Web. utilizan cache para acelerar las peticiones con programas tipo
By Alvaro Paz on August 26th, 2010
Squid.

Para poder hacer frente al tráfico Web muchas veces los
administradores de servidores Web tienen que implementar
balanceadores de carga. Los balanceadores de carga ocultan
muchos servidores web verdaderos detrás de una IP virtual.
Reciben peticiones HTTP y las dirigen a los servidores web
para compartir el tráfico entre ellos.
Obtención de IP públicas . A veces las cookies o los campos
especiales del MIME en respuestas del servidor pueden revelar
direcciones IP públicas de los servidores web. En estos
casos se puede puentear el balanceador de carga y acceder
directamente al servidor web.
Más información y descarga de Halberd:
http://halberd.superadditive.com/

Manual de Halberd:
http://halberd.superadditive.com/doc/manual/

“Stress test” a servicios de red:

Con la herramienta Halberd permite descubrir los servidores http://vtroger.blogspot.com/2008/04/stress-test-servicios-
que se encuentras detrás del balanceador de carga y auditar la de-red.html
seguridad de la configuración.

El modo de funcionamiento de Halberd se divide en tres

etapas:

• Inicialmente, envía peticiones múltiples al servidor Web

a auditar y registra sus respuestas. Esto se denomina fase
de muestreo.
• Después, el programa procesa las contestaciones y busca
muestras del equilibrio de carga. Esto se llama la fase de
análisis.

11