Académique Documents
Professionnel Documents
Culture Documents
1
August 26th, 2010 Published by: vtroger
http://code.google.com/p/modscan/
Herramienta para supervisión
Especificaciones técnicas del protocolo Modbus : de seguridad de dispositivo
http://www.modbus.org/specs.php
Cisco.
By Alvaro Paz on August 26th, 2010
Servicio online para chequear Se trata de Splunk for Cisco Security una herramienta
que proporciona una vista consolidada de los sucesos de
la seguridad del navegador. seguridad de dispositivos Cisco. Esta herramienta proporciona
By Alvaro Paz on August 26th, 2010 aplicaciones de búsqueda y filtrado de logs, aplicaciones
de visualización en tiempo real de eventos de seguridad,
Las vulnerabilidades en los navegadores suelen ser la principal aplicaciones monitorización de la red… Estos instrumentos
puerta de entrada de malware, por eso, es conveniente tener se pueden utilizar por separado o juntos para proporcionar a
siempre actualizado el navegador. Pero hoy en día esto no único panel de monitorización.
es suficiente debido a que el malware también ataca las
vulnerabilidades de los plugins del navegador o utiliza plugins
propios.
Splunk soporta:
• Cisco CSA.
• Cisco Email Security Appliance (antes Ironport).
Existe un servicio llamado Qualys BrowserCheck que permite
chequear la seguridad del navegador, este servicio soporta los • Cisco Web Security Appliance (antes Ironport).
navegadores: • Cisco ASA (firewall y IPS).
2
August 26th, 2010 Published by: vtroger
• Detecta si se cumplen las condiciones de privacidad de
información de los usuarios. Como por ejemplo archivos
de usuarios y contraseñas accesibles desde el exterior.
• Detecta si la página tiene exploits que infectan a los
visitantes. En caso de que un atacante colocara un exploit
en la página con NSIA es posible detectarlo.
SpyBHORemover ayuda en la identificación y la eliminación • Analiza si la página Web reporta información delicada
rápida de malware que se aloja como BHO. Para esta labor sobre la estructura del sistema en sus mensajes de error.
utiliza análisis heurístico y análisis online utilizando servicios
de internet designados a la detección de malware. • Permite configurar acciones cuando detecta un cambio
en la pagina Web, por ejemplo el envío de un mensaje de
Entre sus características destaca: texto (IM, email, SMS) o la ejecución de una acción de
escritura en la página Web.
• Posee opciones de respaldo permite al usuario quitar y
reinstalar BHO todas la veces que quiera. Más información y descarga de NSIA:
http://threatfactor.com/Products/NSIA
• Verificación en línea de el BHO malévolo usando:
VirusTotal, ThreatExpert y ProcessLibrary .
• Exhibe la información detallada para cada BHO
instalado: nombre de clase de BHO, información del Monitorización de integridad
análisis, compañía, nombre de producto, fecha de
instalación, CLSID del BHO y trayectoria del archivo de
de ficheros en Linux en tiempo
BHO. real.
By Alvaro Paz on August 26th, 2010
SpyBHORemover es una herramienta portable independiente
que no requiere ninguna instalación. Trabaja en la Windows Con iWatch una herramienta de monitorización de integridad
plataformas a partir de Windows Xp al último sistema de ficheros en tiempo real, para sistemas Linux. iWatch se
operativo, Windows 7. puede ejecutar en dos modos:
No precisa de la instalación de un componente en el servidor • Permite configurar que aspectos se quieren monitorizar:
ya que su funcionamiento se basa en un motor de búsquedas cambios en atributos, modificaciones, apertura de
que hace barridos de búsqueda en la página Web y al detectar fichero, cierre, si fue movido…
cambios los analiza.
Esta herramienta puede ser muy útil para monitorizar
archivos sensibles o directorio, frente cualquier cambio. Como
Con NSIA es posible detectar los siguientes fallos de seguridad:
por ejemplo monitorizar de los archivos /etc/passwd o /etc/
• Detecta los cambios producidos en caso de un shadow, el directorio /bin o supervisar el directorio de raíz de
Defacements. un sitio web, contra cualquier cambio indeseado.
3
August 26th, 2010 Published by: vtroger
Herramienta de análisis de
Auditar seguridad en el código malware.
By Alvaro Paz on August 26th, 2010
de aplicaciones. Se trata de Zero Wine una herramienta bajo licencia GLP v2
By Alvaro Paz on August 26th, 2010 para analizar dinámicamente el comportamiento del malware.
Con la herramienta RATS es posible auditar la seguridad del Esta herramienta basa su funcionamiento en cargar el
código de aplicaciones escritas en: C, C++, Perl, PHP y Python malware con Wine en una jaula virtual y recoge la información
. sobre los APIs llamados por el malware. La salida generada
por Wine (usando la variable de entorno de eliminación de
RATS analiza el código y al finalizar muestra una lista con errores WINEDEBUG) pertenece a las llamadas de las API
los potenciales problemas de seguridad, una descripción del usadas por el malware. Con esta información, se analiza el
problema y una posible solución para fortificar la aplicación. comportamiento del malware.
También proporciona un gravamen relativo de la severidad
potencial de cada problema, para ayudar al auditor de
seguridad a priorizar los fallos de seguridad.
4
August 26th, 2010 Published by: vtroger
• Avisa de las reglas que son demasiado permisivas.
• Permite evaluar futuras reglas que se quieran
implementar para que no causen conflicto.
• Cisco Pix/ASA.
• IPTables.
• Permite realizar llamadas simultáneas. • Pf.
• La generación de llamadas puede ser fijada en llamadas Flint es una herramienta que solo está disponible para la
por segundo. plataforma Linux. Es ideal para chequear la configuración de
• Permite lanzar flujos RPT de un archivo de captura pcap. cortafuegos en una red, también sirve para comprender las
configuraciones de los cortafuegos.
• Puede soportar múltiples flujos de RTP al mismo tiempo.
Es una herramienta ideal para auditarla seguridad de VOIP Más información y descarga de Flint:
y con grandes aplicaciones para los que quieran conocer http://runplaybook.com/p/11#
más sobre el protocolo de señalización SIP, gracias a la
incorporación de esquemas para los casos de UAC y de UAS.
Con la herramienta Flint es posible chequear reglas de • Poder verificar la autoría del archivo (autenticación).
cortafuegos. Esta herramienta nos permite optimizar la • Verificar que el documento no ha sido modificado
seguridad de una red local que posee varios cortafuegos. (integridad).
Flint permite subsanar los errores de seguridad que se • Adjudicar la autoría innegable del archivo (no repudio).
cometen a la hora de configurarlos, que suelen ser:
• Utilizar reglas redundantes en los cortafuegos, esto • Soporta firma PDF integrada o externa. Permite hacer
complica la configuración y ralentiza el dispositivo. visible o invisible el campo de firma en el propio
documento PDF.
Entre las características de Flint destaca: • Permite la firma de múltiples documentos y archivos de
una sola vez. Robusto y sencillo.
• Permite limpiar las configuraciones en caso de reglas
redundantes o erróneas. • Comprueba la validez del certificado electrónico y el
estado de revocación con la entidad emisora.
5
August 26th, 2010 Published by: vtroger
• Puede firmar con sello de tiempo integrado o realizar
sello temporal independiente de los documentos o
archivos.
• Añadiendo el sellado temporal al documento, archivo o
Herramienta para identificar
firma, se puede garantizar su existencia en un momento versiones de servicios de red.
determinado. XolidoSign permite utilizar cualquier By Alvaro Paz on August 26th, 2010
servidor de sellado de tiempo.
Se trata de Vmap una herramienta disponible solo para Linux,
Es una herramienta gratuita disponible solo bajo la plataforma que permite identificar versiones de servicios de red. Vmap
Windows. identifica las versiones de los siguientes servicios: ftp, smtp,
pop3, imap y http.
Más información o descarga:
http://www.xolido.com/lang/productosyservicios/
firmaelectronicayselladodetiempo/xolidosign/?
idboletin=1922&idseccion=10749
Su método de funcionamiento se basa en analizar las
respuestas de los diferentes servicios y compararlas con su
Herramienta para testeo base de datos para identificar la versión del servicio.
Descarga de WinAUTOPWN:
http://089dc64a.seriousfiles.com/
6
August 26th, 2010 Published by: vtroger
-- bugs
Auditar seguridad de SSL. Buscar bugs en SLL.
By Alvaro Paz on August 26th, 2010
Identifica:
Modo de empleo:
Comando:
• IIS7.5 (Schannel).
sslscan [opciones] [host: puerto] • IIS7.0 (Schannel).
• IIS 6.0 (Schannel).
Opciones: • Apache (Openssl).
• Apache (NSS).
--targets= • Certicom.
Sirve para pasarle un archivo que contiene una lista de host • RSA BSAFE.
para chequear. Los host se pueden suministrar con puertos
puertos (es decir host: puerto). Documentación de SSL Audit:
http://www.g-sec.lu/sslaudit/documentation.pdf
--no-failed Descarga de SSL Audit:
No muestra los tipos de cifrado que no acepta el host. http://www.g-sec.lu/sslaudit/sslaudit.zip
--ssl2
Comprueba solamente el cifrado SSLv2.
Sistema centralizado
para la detección,
--ssl3
Comprueba solamente el cifrado SSLv3.
protección y seguimiento
--tls1
Comprueba solamente el cifrado TLSv1. de vulnerabilidades en
--pk=
aplicaciones Web.
By Alvaro Paz on August 26th, 2010
Sirve para pasarle un archivo PKCS#12.
Vulnerability Manager de Denim Group es un sistema
--pkpass= centralizado para la detección, protección y seguimiento de
La contraseña para PKCS#12. vulnerabilidades en aplicaciones Web. Pero con unas calidades
que lo convierten en una potente protección a ataques basados
--certs= en aprovechamiento de vulnerabilidades, gracias a sus modulo
Pasarle un archivo que contiene PEM/ASN1. de protección real y su interacción con los cortafuegos y IDS.
--HTTP
Prueba una conexión del HTTP.
7
August 26th, 2010 Published by: vtroger
• Ruby 1.8.
• Sqlite3 3.
• Sqlite3-ruby 1.2.4.
• Permite administrar varias aplicaciones Web de una
forma organizada. La base de base de datos se actualiza online y además permite
• Puede utilizar una gran variedad de herramientas añadir sumas de comprobación MD5 de aplicaciones a la base
para detectar vulnerabilidades. Soporta las comerciales: de datos de una forma sencilla.
IBM AppScan, Fortify SCA/360, Checkmarx, Microsoft
CAT.NET, IBM Rational AppScan, WhiteHat Sentinel y Es una herramienta muy práctica para obtener información de
Mavituna Netsparker. Y las gratuitas: OWASP Orizon y un sitio web en una auditoria o en un test de penetración.
FindBugs.
Más información y descarga de WAFP:
• Protección en tiempo real que se apoya en IDS http://mytty.org/wafp/
y cortafuegos para evitar el aprovechamiento de
vulnerabilidades. Los IDS basan su protección contra
ataques en firmas, es normal que no existen firmas
para vulnerabilidades de aplicaciones Web hechas a Herramienta para analizar
medida, para mejorar la protección VM detecta las
vulnerabilidades e interactúa con el IDS y cortafuegos páginas Web con código
para proteger la aplicación Web. VM soporta: Snort,
OWASP ESAPI WAF y mod_security.
malicioso.
By Alvaro Paz on August 26th, 2010
• Recoge toda la información de IDS y cortafuegos, en FileInsight es una herramienta gratuita de McAfee ideal para
el caso de un ataque a una vulnerabilidad para poder analizar páginas con código malicioso.
realizar un seguimiento completo.
• Puede realizar seguimiento y detección de errores en Entres sus características destaca:
aplicaciones Web gracias a su integración con: Bugzilla,
Microsoft Team Foundation Server (TFS) y JIRA.
• Evalua la madurez de las técnicas empleadas en
la seguridad de las aplicaciones web, usando como
modelos: BSI-MM, OWASP (OpenSAMM) y SAMM.
Descarga de FileInsight:
http://www.webwasher.de/download/fileinsight/
8
August 26th, 2010 Published by: vtroger
APF.
Averiguar si un sitio web es sensible a técnicas de Google Luego puertos TCP de entrada permitidos.
Hacking:
http://vtroger.blogspot.com/2008/12/averiguar-si-un-sitio- # Common ingress (inbound) TCP ports
web-es-sensible.html IG_TCP_CPORTS="80, 110,443"
10
August 26th, 2010 Published by: vtroger
• Actualización de paquetes. • Finalmente, la Halberd escribe un informe de sus
resultados.
• Cuentas de usuario.
• Apache. Halberd utiliza las siguientes técnicas:
• Bind DNS.
Comparación de la fecha . Las respuestas HTTP revelan el reloj
• PHP. interno del servidor Web que las produce. Si aparecen varios
• Mysql. resultados con tiempos de reloj diferente, Halberd identifica
número de servidores verdaderos. Este método funciona si los
• Openvpn. servidores Web no están sincronizados con un NTP.
• Snmpd.
Diferencia de nombres de campo de las cabeceras del MIME.
• Tomcat.
Las diferencias en los campos que aparecen en respuestas
• Vsftpd. del servidor pueden permitir que la Halberd identifique los
• Xinetd. servidores.
Yasat es una herramienta ideal para los que dan sus primeros Generación de altas cantidades de tráfico. Bajo ciertas
pasos en Linux y quieren implementar sistemas seguros. Pero configuraciones, los balanceadores de la carga comienzan a
también es útil para usuarios avanzados, porque siempre se distribuir tráfico, solamente después de que se alcance cierto
puede escapar algún detalle y con un método de chequeo tan umbral. Esta herramienta intenta generar un volumen de
rápido vale la pena utilizarlo. tráfico importante para accionar esta condición y alcanzar
tantos servidores verdaderos como sea posible.
Más información de Yasat y descarga:
http://yasat.sourceforge.net/ Usando diversas URL. Un balanceador de carga se puede
configurar para redirigir el tráfico a distintos servidores según
la URL a la que se acceda. Esta herramienta utiliza una
araña para navegar por las diferentes URL para diferenciar los
Auditar la seguridad de la distintos servidores que contestan.
configuración del balanceo de Detección de cache del servidor . Detecta si los servidores web
carga de servidores Web. utilizan cache para acelerar las peticiones con programas tipo
By Alvaro Paz on August 26th, 2010
Squid.
Para poder hacer frente al tráfico Web muchas veces los Obtención de IP públicas . A veces las cookies o los campos
administradores de servidores Web tienen que implementar especiales del MIME en respuestas del servidor pueden revelar
balanceadores de carga. Los balanceadores de carga ocultan direcciones IP públicas de los servidores web. En estos
muchos servidores web verdaderos detrás de una IP virtual. casos se puede puentear el balanceador de carga y acceder
Reciben peticiones HTTP y las dirigen a los servidores web directamente al servidor web.
para compartir el tráfico entre ellos.
Más información y descarga de Halberd:
http://halberd.superadditive.com/
Manual de Halberd:
http://halberd.superadditive.com/doc/manual/
11