Herramientas para Pen Test y análisis forense
475 views
Skip to first unread message
Noel Vargas
May 27, 2008, 11:47:09 AM5/27/08
to Seguridad Software Libre Nicaragua
Antes que se pongan nerviosos algunos del grupo, hago esta discusión
porque la inquietud ya está apareciendo en otros medios, así que creo
que es hora de tocar estos temas de forma responsable.
Hoy recibí en la lista de la red de Software Libre un link con una
demostración del BackTrack[1] para entrar a un sistema WinVista sin
tener usuario y contraseña[2]. Por supuesto, para ello se requiere
tener acceso físico al equipo. Personalmente, Backtrack se ha portado
muy temperamental con mi hardware y no levanta el interfaz gráfico en
la mayoría de PCs en que lo he probado, así que seguiré confiando en
cualquier distro live y utilidades de línea de comando ;)
Para los que no conocen Backtrack, es una distro live que incluye una
gran cantidad de herramientas para pruebas de penetración (Pen Test).
Entrar a un sistema Vista es posible hacerlo con cualquier distro live
que soporte NTFS, pero el punto más bien está en la disponibilidad de
estas herramientas para todo el mundo.
Una herramienta muy interesante para hacer análisis forense, o sea,
cuando ya te reventaron el servidor, es el Helix[3]. Helix tiene
herramientas avanzadas para hacer dumps de los sistemas de archivos,
volcados de memoria, etc., que permitan identificar por dónde se dio
el ataque.
Si bien Helix está disponible para descarga gratuita, el entrenamiento
para usar las herramientas lo venden y no muy barato que digamos. No
he tenido chance de revisar con calma todas las herramientas, algunas
ya las deben conocer como el chkrootkit y rkhunter.
Ahora, una discusión interesante es... cómo te has dado cuenta que se
te han metido?
En mi experiencia personal nos dimos cuenta la primera vez de una
intrusión cuando revisábamos el historial de comandos en BASH (esto en
1999) en un Red Hat 5.1 MX, donde vimos una serie de comandos que
ninguno de nosotros había introducido o conocía... buscando en
Altavista (repito, 1999), nos dimos cuenta que era un rootkit y que se
nos habían metido por una versión vulnerable del BIND.
[1]http://www.remote-exploit.org/backtrack.html
[2]http://www.offensive-security.com/movies/vistahack/vistahack.html
[3]http://www.e-fense.com/helix/
porque la inquietud ya está apareciendo en otros medios, así que creo
que es hora de tocar estos temas de forma responsable.
Hoy recibí en la lista de la red de Software Libre un link con una
demostración del BackTrack[1] para entrar a un sistema WinVista sin
tener usuario y contraseña[2]. Por supuesto, para ello se requiere
tener acceso físico al equipo. Personalmente, Backtrack se ha portado
muy temperamental con mi hardware y no levanta el interfaz gráfico en
la mayoría de PCs en que lo he probado, así que seguiré confiando en
cualquier distro live y utilidades de línea de comando ;)
Para los que no conocen Backtrack, es una distro live que incluye una
gran cantidad de herramientas para pruebas de penetración (Pen Test).
Entrar a un sistema Vista es posible hacerlo con cualquier distro live
que soporte NTFS, pero el punto más bien está en la disponibilidad de
estas herramientas para todo el mundo.
Una herramienta muy interesante para hacer análisis forense, o sea,
cuando ya te reventaron el servidor, es el Helix[3]. Helix tiene
herramientas avanzadas para hacer dumps de los sistemas de archivos,
volcados de memoria, etc., que permitan identificar por dónde se dio
el ataque.
Si bien Helix está disponible para descarga gratuita, el entrenamiento
para usar las herramientas lo venden y no muy barato que digamos. No
he tenido chance de revisar con calma todas las herramientas, algunas
ya las deben conocer como el chkrootkit y rkhunter.
Ahora, una discusión interesante es... cómo te has dado cuenta que se
te han metido?
En mi experiencia personal nos dimos cuenta la primera vez de una
intrusión cuando revisábamos el historial de comandos en BASH (esto en
1999) en un Red Hat 5.1 MX, donde vimos una serie de comandos que
ninguno de nosotros había introducido o conocía... buscando en
Altavista (repito, 1999), nos dimos cuenta que era un rootkit y que se
nos habían metido por una versión vulnerable del BIND.
[1]http://www.remote-exploit.org/backtrack.html
[2]http://www.offensive-security.com/movies/vistahack/vistahack.html
[3]http://www.e-fense.com/helix/
Igor
May 27, 2008, 12:26:05 PM5/27/08
to seguridad-softwar...@googlegroups.com
2008/5/27 Noel Vargas <nva...@gmail.com>:
Porque nerviosos? ya van con el drama nuevamente :P
Que mala suerte, a mi me paso lo contrario :)
Cual es tu punto? restringir el acceso a estas herramientas? por que?
En mi experiencia con estas cracking tools, funcionan, pero en el caso de backtrack debes de tener un password muy debil, pero hay otras herramientas mas poderosas, como el Offline NT Password Cracker[1] y el Ophcrack[2].
Por ultimo quiero mencionar que todos los sistemas operativos son vulnerables a ataques locales, asi que no veo el drama.
Ponganle password a su bios(aunque si removes la bateria se le elimina tambien).
[1]: http://home.eunet.no/pnordahl/ntpasswd/
[2]: http://ophcrack.sourceforge.net/
--
:::lxuser 391715:::
http://igordevlog.blogspot.com/
Antes que se pongan nerviosos algunos del grupo, hago esta discusión
porque la inquietud ya está apareciendo en otros medios, así que creo
que es hora de tocar estos temas de forma responsable.
Porque nerviosos? ya van con el drama nuevamente :P
Hoy recibí en la lista de la red de Software Libre un link con una
demostración del BackTrack[1] para entrar a un sistema WinVista sin
tener usuario y contraseña[2]. Por supuesto, para ello se requiere
tener acceso físico al equipo. Personalmente, Backtrack se ha portado
muy temperamental con mi hardware y no levanta el interfaz gráfico en
la mayoría de PCs en que lo he probado, así que seguiré confiando en
cualquier distro live y utilidades de línea de comando ;)
Que mala suerte, a mi me paso lo contrario :)
Para los que no conocen Backtrack, es una distro live que incluye una
gran cantidad de herramientas para pruebas de penetración (Pen Test).
Entrar a un sistema Vista es posible hacerlo con cualquier distro live
que soporte NTFS, pero el punto más bien está en la disponibilidad de
estas herramientas para todo el mundo.
Cual es tu punto? restringir el acceso a estas herramientas? por que?
Una herramienta muy interesante para hacer análisis forense, o sea,
cuando ya te reventaron el servidor, es el Helix[3]. Helix tiene
herramientas avanzadas para hacer dumps de los sistemas de archivos,
volcados de memoria, etc., que permitan identificar por dónde se dio
el ataque.
Si bien Helix está disponible para descarga gratuita, el entrenamiento
para usar las herramientas lo venden y no muy barato que digamos. No
he tenido chance de revisar con calma todas las herramientas, algunas
ya las deben conocer como el chkrootkit y rkhunter.
Ahora, una discusión interesante es... cómo te has dado cuenta que se
te han metido?
En mi experiencia personal nos dimos cuenta la primera vez de una
intrusión cuando revisábamos el historial de comandos en BASH (esto en
1999) en un Red Hat 5.1 MX, donde vimos una serie de comandos que
ninguno de nosotros había introducido o conocía... buscando en
Altavista (repito, 1999), nos dimos cuenta que era un rootkit y que se
nos habían metido por una versión vulnerable del BIND.
[1]http://www.remote-exploit.org/backtrack.html
[2]http://www.offensive-security.com/movies/vistahack/vistahack.html
[3]http://www.e-fense.com/helix/
En mi experiencia con estas cracking tools, funcionan, pero en el caso de backtrack debes de tener un password muy debil, pero hay otras herramientas mas poderosas, como el Offline NT Password Cracker[1] y el Ophcrack[2].
Por ultimo quiero mencionar que todos los sistemas operativos son vulnerables a ataques locales, asi que no veo el drama.
Ponganle password a su bios(aunque si removes la bateria se le elimina tambien).
[1]: http://home.eunet.no/pnordahl/ntpasswd/
[2]: http://ophcrack.sourceforge.net/
--
:::lxuser 391715:::
http://igordevlog.blogspot.com/
Noel Vargas
May 27, 2008, 1:03:45 PM5/27/08
to seguridad-softwar...@googlegroups.com
>> Para los que no conocen Backtrack, es una distro live que incluye una
>> gran cantidad de herramientas para pruebas de penetración (Pen Test).
>>
>> Entrar a un sistema Vista es posible hacerlo con cualquier distro live
>> que soporte NTFS, pero el punto más bien está en la disponibilidad de
>> estas herramientas para todo el mundo.
>
> Cual es tu punto? restringir el acceso a estas herramientas? por que?
>> gran cantidad de herramientas para pruebas de penetración (Pen Test).
>>
>> Entrar a un sistema Vista es posible hacerlo con cualquier distro live
>> que soporte NTFS, pero el punto más bien está en la disponibilidad de
>> estas herramientas para todo el mundo.
>
> Cual es tu punto? restringir el acceso a estas herramientas? por que?
Todo lo contrario, hay que conocerlas, conocer lo que hacen para
evitar en lo que se pueda que sufras un ataque exitoso. El asunto es
que hay quienes tienen temor de hablar de estas cosas abiertamente por
miedo a que los acusen. Creo que está claro que este grupo se
conformó para hablar de estas cosas con el objeto que APRENDER PARA
PROTEGERSE.
Parte del trabajo de cualquier administrador de sistemas responsable
es conocer cómo te pueden fregar.
Creo que más allá de romper passwords (efectivamente Ophcrack y John
The Ripper son buenos ejemplos), están otros servicios vulnerables, y
por eso creo que conocer de estas herramientas es bueno.
--
Noel Vargas Baltodano
Bayardo Rivas
May 27, 2008, 1:45:37 PM5/27/08
to seguridad-softwar...@googlegroups.com
Yo todavía me pregunto porque la primera sugerencia es reinstalar cuando
te han tumbado el server? Creo que es una de las mas seguras.. pero no
se puede hacer otra cosa??? Sobre todo si tenes que reinstalar
aplicaciones, BDs, etc.
te han tumbado el server? Creo que es una de las mas seguras.. pero no
se puede hacer otra cosa??? Sobre todo si tenes que reinstalar
aplicaciones, BDs, etc.
Si revisas los logs y estos se encuentran limpios, es decir, sin rastro
alguno de quien te rompió el sistema, no existe una alternativa para
garantizar una limpieza total del sistema sin tener que reinstalar??
Alguien lo ha hecho así.
Noel Vargas escribió:
Noel Vargas
May 27, 2008, 2:24:07 PM5/27/08
to Seguridad Software Libre Nicaragua
Cuando el ataque fue un Deface usando XSS o algo así por el estilo, no
es algo de preocuparse, pero si el atacante ya tuvo acceso a tu
sistema, lo más posible sea que te haya instalado un rootkit[1].
Para los que no manejan qué es un rootkit, son una serie de
herramientas que funcionan a nivel de kernel, las cuales garantizan
acceso remoto al atacante via red, además ocultan cualquier actividad
del atacante en el sistema. Dado que estas herramientas funcionan a
un nivel muy bajo del sistema operativo, lo recomendable es reinstalar
el sistema operativo desde una copia fresca, parchar y hasta después
poner en producción.
De nada sirve que reinstales los servicios y restaures las bases de
datos si la puerta sigue estando abierta para el hacker. Si encontrás
los logs limpios, sin rastro de un hacker... lo más posible es que
tengas instalado a estas alturas un rootkit.
Una vez comprometido, tenés dos acciones: Averiguar quién, y
reinstalar. Para averiguar quién es que está el software forense (ver
Helix en comentarios anteriores y también el Autopsy o Sleuth
Kit[2]). Aquí un artículo introductorio[3].
Para ilustrar más, aquí la crónica de un trabajo forense[4].
[1]http://en.wikipedia.org/wiki/Rootkit
[2]http://www.sleuthkit.org/
[3]http://www.linuxjournal.com/content/introduction-forensics
[4]http://blog.gnist.org/article.php?story=HollidayCracking
On May 27, 11:45 am, Bayardo Rivas <bayardo.ri...@puntos.org.ni>
wrote:
es algo de preocuparse, pero si el atacante ya tuvo acceso a tu
sistema, lo más posible sea que te haya instalado un rootkit[1].
Para los que no manejan qué es un rootkit, son una serie de
herramientas que funcionan a nivel de kernel, las cuales garantizan
acceso remoto al atacante via red, además ocultan cualquier actividad
del atacante en el sistema. Dado que estas herramientas funcionan a
un nivel muy bajo del sistema operativo, lo recomendable es reinstalar
el sistema operativo desde una copia fresca, parchar y hasta después
poner en producción.
De nada sirve que reinstales los servicios y restaures las bases de
datos si la puerta sigue estando abierta para el hacker. Si encontrás
los logs limpios, sin rastro de un hacker... lo más posible es que
tengas instalado a estas alturas un rootkit.
Una vez comprometido, tenés dos acciones: Averiguar quién, y
reinstalar. Para averiguar quién es que está el software forense (ver
Helix en comentarios anteriores y también el Autopsy o Sleuth
Kit[2]). Aquí un artículo introductorio[3].
Para ilustrar más, aquí la crónica de un trabajo forense[4].
[1]http://en.wikipedia.org/wiki/Rootkit
[2]http://www.sleuthkit.org/
[3]http://www.linuxjournal.com/content/introduction-forensics
[4]http://blog.gnist.org/article.php?story=HollidayCracking
On May 27, 11:45 am, Bayardo Rivas <bayardo.ri...@puntos.org.ni>
wrote:
pajarraco
Jun 30, 2008, 2:48:46 AM6/30/08
to Seguridad Software Libre Nicaragua
TripWire es una herramienta que si la instalas antes de exponer un
servidor al Internet
te permitira crear una base de datos de todos los archivos; sus
permisos y tamaño entre otra informacion.
Con dicha info, podes enterarte de todos los archivos modificados y
agregados a un sistema de archivo, con un poco de suerte si
tenes algun respaldo restauras lo modificado.
> > [3]http://www.e-fense.com/helix/- Ocultar texto de la cita -
>
> - Mostrar texto de la cita -
servidor al Internet
te permitira crear una base de datos de todos los archivos; sus
permisos y tamaño entre otra informacion.
Con dicha info, podes enterarte de todos los archivos modificados y
agregados a un sistema de archivo, con un poco de suerte si
tenes algun respaldo restauras lo modificado.
>
> - Mostrar texto de la cita -
Noel Vargas
Jun 30, 2008, 11:36:44 AM6/30/08
to Seguridad Software Libre Nicaragua
Mi estimado Pajarraco, gusto de verle por estos rumbos.
Partiendo que hasta el TripWire tiene vulnerabilidades, la
recomendación de reinstalar y parchar el sistema antes de ponerlo en
producción es siempre válida.
Muchas empresas están optando por virtualizar para disminuir el tiempo
que toma levantar nuevamente el servicio, lo cual puede ser una buena
medida temporal, siempre y cuando el atacante no haya obtenido acceso
al sistema operativo anfitrión. Sin embargo, hasta VMWare ha
resultado vulnerable. No le he dado seguimiento a las fallas que
pueda tener el Xen y otros programas de virtualización.
Recordando las palabras de Jorge Dávila, la seguridad no es un estado,
es un proceso. Hermano, tenés que estar parchando y leyendo todo el
tiempo.
Partiendo que hasta el TripWire tiene vulnerabilidades, la
recomendación de reinstalar y parchar el sistema antes de ponerlo en
producción es siempre válida.
Muchas empresas están optando por virtualizar para disminuir el tiempo
que toma levantar nuevamente el servicio, lo cual puede ser una buena
medida temporal, siempre y cuando el atacante no haya obtenido acceso
al sistema operativo anfitrión. Sin embargo, hasta VMWare ha
resultado vulnerable. No le he dado seguimiento a las fallas que
pueda tener el Xen y otros programas de virtualización.
Recordando las palabras de Jorge Dávila, la seguridad no es un estado,
es un proceso. Hermano, tenés que estar parchando y leyendo todo el
tiempo.
Reply all
Reply to author
Forward
0 new messages