Publicada guía de referencia de NMAP 6

En Security Art Work hemos hablado mucho acerca de Nmap. Hemos comentado algunas de sus características, y novedades en sus últimas versiones (aquí y aquí); hemos visto ejemplos de su uso, desde el más habitual como escáner de red y herramienta de fingerprinting hasta usos más avanzados, para detectar vulnerabilidades y realizar ataques; hemos comentado otros aspectos de la aplicación; e incluso hemos hablado de cómo defendernos ante posibles escaneos de terceros.... Leer Más

Descifrando contraseñas con hashcat

Hoy le toca el turno a hashcat, una aplicación para obtener contraseñas a partir del hash de las mismas. Esto puede ser de utilidad cuando, en la realización de una auditoría, nos encontramos con una base de datos o un fichero que guarda credenciales cifradas de usuarios.... Leer Más

Replicación pasiva de DNS: Introducción

Hoy vamos a ver un sistema que nos permitirá dar un enfoque diferente al tratamiento de incidentes de seguridad. Este sistema se llama replicación pasiva de DNS (Passive DNS Replication, en inglés).

Origen

Esta técnica fue desarrollada en el año 2004 por Florian Weimer, y consiste en hacer una reconstrucción parcial de la información disponible globalmente como parte del servicio DNS en una base de datos, para su posterior indexación y consulta.

Utilidad

Las bases de datos construidas a partir de este paradigma pueden servir para distintos propósitos, ya que el malware basa una parte importante de su funcionamiento en el protocolo DNS, por ejemplo para modificar rápidamente la dirección IP del servidor de control de una botnet que utilice una red de tipo Fast Flux.

[Read more…]

Cazando al destructor de ficheros

En este artículo os voy a contar una forma de auditar el uso de un sistema Linux, en concreto para saber quién ha modificado o borrado un fichero concreto. ... Leer Más

Introducción al uso de túneles SSH

Todos nos hemos encontrado en algún momento con que ese servicio al que queremos acceder está en un equipo inalcanzable desde nuestra red u otros problemas similares. Si disponemos de acceso SSH podemos solucionar fácilmente problemas de este tipo utilizando túneles SSH.

Planteamos un primer escenario, en el que tenemos un servidor de bases de datos al que podemos acceder por SSH, pero cuyo cortafuegos nos impide interactuar directamente con la base de datos (suponemos MySQL, que utiliza el puerto 3306).

[Read more…]

Automatizando pruebas con SoapUI

Animado por la entrada que hizo hace unas semanas Chema Alonso en su blog, os voy a contar un poco más sobre la herramienta SoapUI, utilizada para auditar WebServices. Más que en cómo utilizar la herramienta en sí, en este post me gustaría explicar de qué forma se pueden automatizar las pruebas a un WebService utilizando esta herramienta.

SoapUI permite automatizar las pruebas a un WebService utilizando lo que él llama Test Cases. A continuación podemos ver que un TestCase tiene varios pasos (TestSteps), así como varias pruebas de carga y de seguridad, que quedan fuera de nuestro objetivo.

[Read more…]

Snort: Extracción avanzada de información en preprocesadores HTTP y SMTP (II)

En mi anterior post os comentaba unas mejoras que se habían introducido en las últimas versiones de Snort, y que si recordáis nos servían para obtener más información detallada acerca de las comunicaciones HTTP y SMTP, como pueden ser: dirección real detrás de los proxys, host y URI contactados, así como direcciones de origen y destino de correos electrónicos, o cabeceras SMTP entre otros.... Leer Más

Snort: Extracción avanzada de información en preprocesadores HTTP y SMTP (I)

A partir de la versión 2.9, Snort ha ido introduciendo mejoras en sus preprocesadores de HTTP y SMTP que permiten la extracción por separado de varios campos importantes de conversaciones HTTP y SMTP.

La primera de ellas fue la posibilidad de reconocer las cabeceras X-Forwarded-For y True-Client-IP que añaden algunos proxies, para reconocer los equipos que realmente están produciendo las alertas en entornos en los que la navegación HTTP se realiza a través de estos dispositivos.

En la versión 2.9.1 se han introducido nuevos campos que pueden ser de utilidad en el análisis de alertas. Estas incluyen las siguientes:

HTTP: Dirección IPv4 True-Client-IP/XFF (Tipo 1)
HTTP: Dirección IPv6 True-Client-IP/XFF (Tipo 2)
HTTP: Datos Gzip descomprimidos (Tipo 4)
SMTP: Nombre de fichero adjunto (Tipo 5)
SMTP: Origen del correo (Campo MAIL FROM) (Tripo 6)
SMTP: Destino del correo (Campo RCPT TO) (Tipo 7)
SMTP: Cabeceras del correo (Tipo 8)
HTTP: URI de la petición (Tipo 9)
HTTP: Nombre de host solicitado (Cabecera Host) (Tipo 10)
Dirección de origen IPv6 del paquete (Tipo 11)
Dirección de destino IPv6 del paquete (Tipo 12)

[Read more…]

CuckooSandbox

cuckoo_color
Hoy les vamos a hablar de una Sandbox. Para aquellos que no estén familiarizados con este tipo de aplicaciones, una Sandbox (caja de arena en español) no es (en este caso) más que una aplicación de análisis de malware que, mediante el aislamiento del proceso o fichero malicioso que se quiere analizar, permite conocer su funcionamiento detallado, incluyendo, entre otros, información acerca de la actividad de red y llamadas al sistema.... Leer Más

Analizando la privacidad real de las fotos de Facebook

La semana pasada se publicó en El Mundo una noticia en la que se hablaba de que la privacidad que Facebook aplica a las fotos que subimos a la red social, de la que @mkpositivo se hizo eco a través del twitter.

En la noticia se indica que, cualquier usuario, sin necesidad de estar registrado en Facebook, puede acceder a cualquier foto hospedada en la red social, previo conocimiento de su URL.

Veámoslo mejor con un ejemplo. A continuación se puede ver una foto subida por mí a Facebook. Se puede ver como en la configuración de visibilidad aparece compartida únicamente con mis amigos.

Si pulsamos con el botón derecho encima de la foto y seleccionamos la opción “Propiedades” en Internet Explorer, “Ver información de la imagen” en Firefox, o “Copiar URL de imagen” en Chrome, podemos obtener la URL de la foto. Luego solo es necesario pegarla en otro navegador distinto, o acceder tras hacer cerrado la sesión.

[Read more…]