Alt+Ctrl+Supr » Seguretat

Vigilancia centralizada de la seguridad de varios servidores

altctrlsupr — Mon, 11 May 2009 12:05:50 +0000

Existe una herramienta que facilitara bastante la compleja labor de monitorizacion continua de varios servidores: OSSEC HIDS.

Explicaremos la instalacion del servidor y el cliente (agente) OSSEC para entornos GNU/Linux:

Instalacion de OSSEC:
Descargamos el codigo fuente http://www.ossec.net/files/ossec-hids-2.0.tar.gz
Lo descomprimimos y entramos en el directorio:

# tar zvxf ossec-hids-2.0.tar.gz
# cd ossec-hids-2.0
# ./install.sh

Le indicamos el idioma y el tipo de instalacion (local, servidor, agente). Le indicamos la ubicacion de la instalacion y a que direccion de correo electronico deberan enviarse las alertas. Le indicamos si queremos instalar la comprobacion de integridad del sistema y la deteccion de rootkits, asi como la respuesta activa automatica ante problemas, el modo de rechazar las conexiones (bloqueando usuarixs en hosts.deny o en iptables), y la habilitacion de syslog remoto (en el puerto 514 UDP).
Por defecto si lo instalamos como servidor se configura el analisis de los siguientes registros:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log
/var/log/apache2/error.log
/var/log/apache2/access.log

Si lo instalamos en modo cliente (agente) analizara:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log

Para añadir algun otro registro se deben añadir al archivo /var/ossec/etc/ossec.conf como entradas del tipo localfile.

Para añadir agentes al servidor:

# /var/ossec/bin/manage_agents

Primero añadimos el nuevo agente, introduciendo el nombre, IP e ID, y seguidamente extraemos la clave que se genero en el agente, con la opcion e y respondiendo a la ID del cliente.
Ahora debemos importar la clave del servidor desde el cliente. Para ello ejecutamos manage_agents en la maquina cliente:

# /var/ossec/bin/manage_agents

Una vez terminada la instalacion, solamente nos queda iniciar OSSEC HIDS, primero en el servidor y despues en los clientes:

/var/ossec/bin/ossec-control start

Al iniciarlo (si lo hemos instalado como servidor) se inician los siguientes demonios:

ossec-maild
ossec-execd
ossec-analysisd
ossec-logcollector
ossec-remoted
ossec-syscheckd
ossec-monitord

Y en modo cliente:

ossec-execd
ossec-agentd
ossec-logcollector
ossec-syscheckd

Para detenerlo:

/var/ossec/bin/ossec-control stop

Ahora probamos que funciona correctamente, provocando una alerta, que por defecto ira a parar a /var/ossec/logs/alerts/, donde automaticamente se organizan por año, mes y un log cada dia.

Tarritos de miel

altctrlsupr — Thu, 07 May 2009 22:33:31 +0000

SCADA Honeypot from John Strand on Vimeo.

Simulacion de Botnets

altctrlsupr — Thu, 07 May 2009 18:18:37 +0000

Que cosas…

Cutre-Scam

altctrlsupr — Sat, 28 Mar 2009 17:53:53 +0000

Hace un rato me ha llegado al movil un mensajito intentando tomarme el poco pelo ke tengo. Dice asi:

“BHL: Tenemos pendiente de entregar un paquete al titular del 34xxxxxxxxx. Si es Ud. por favor contacte con nosotros al 90 54 33 523″.

Lo envian desde el nº +79128599240 el 28/03/2009 a las 20:26

No voy a entrar en las cagadas ke han hecho en el mensaje, y ke lo identifican claramente como un mensaje con el objetivo de estafar (paso de darles ideas). Por lo visto han debido conseguir un listado de moviles y estan haciendo campaña masiva de envios, ya ke en la red se pueden encontrar otras personas ke lo han recibido.

¿Alguien sabe alguna forma de conocer mas datos sobre el nº remitente del mensajito?

NMap Book

admin — Sun, 30 Nov 2008 20:52:16 +0000

Hace unas semanas que el libro sobre el mapeador de redes mas conocido en todo el mundo ha sido terminado y llevado a la imprenta. Lleva por titulo “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”, y ofrece apartados detallados para cada una de las funcionalidades de la herramienta, incluyendo cantidad de jugosos detalles sobre el NSE.

Aproximadamente la mitad del contenido esta disponible online en la web de Fyodor.

Open Source Security Information Management (OSSIM)

ciber — Tue, 21 Oct 2008 18:41:40 +0000

Una de las novedades descubiertas durante este hackmeeting ha sido Open Source Security Information Management (OSSIM), en una conversacion casual con uno de sus responsables que estuvo por Malaga.
Es un completo gestor de seguridad que incluye un conjunto de herramientas libres y que esta excelentemente documentado en su site (mayormente en ingles).

[...]

Slapt-get en BackTrack 3

admin — Fri, 08 Aug 2008 20:51:13 +0000

Quienes se hayan instalado la version 3 de BackTrack se habran dado cuenta de que el programa slapt-get esta roto. Bien, pues aqui podeis descargaros las versiones parcheadas que haran que vuestro sistema se pueda actualizar y ampliar con normalidad.
Gracias a los chicos del canal #remote-exploit en freenode por la ayuda!
-;)

La seguridad DNS en pocos links

admin — Tue, 29 Jul 2008 21:36:22 +0000

Ultimamente, incluso en los medios convencionales, estan informando sobre la divulgacion de fallos de seguridad en uno de los pilares sobre los que se apoya Internet: los servidores de nombres de dominio (DNS).
Esto es un breve repaso en links de la situacion, desde este pequenyo rincon del mundo:

Hispasec informando sobre la actualizacion masiva de servidores

Explicacion clara y sencilla

Analizador de DNS, indica cuales han sido actualizados

un mundo mas seguro? jajjajajjaja

Cronica de la FIST Conference 2007

admin — Sat, 27 Oct 2007 13:23:21 +0000

En la UPC se celebro ayer viernes la 10′

Crackeando ficheros cifrados con esteganografia sin fuerza bruta

admin — Thu, 11 Jan 2007 13:08:53 +0000

Producto afectado
=================
Steganography 1.7.1 y 1.8 (ultima version). Software para todas las versiones de Window$

Tipo de Fallo y Fecha
=====================
Tipo: Mal Disenyo
Fecha: 06/01/2007

Resultado del Fallo
===================
Crackeo de ficheros cifrados con esteganografia sin fuerza bruta

Descripcion del Fallo
=====================
Puedes crackear ficheros cifrados con esteganografia muy facilmente, de hecho, en menos de un minuto. El problema es similar al fallo encontrado en PGP el ultimo anyo.
Lo primero es identificar los ficheros esteganografiados. La aplicacion Steganography deja una huella despues de esteganografiar un fichero.
Mirando al final del fichero veras que acaba con 30 00 02 FF FF, por lo tanto una simple busqueda hexadecimal revelara todos los ficheros esteganografiados.
Una vez identificado el fichero victima, el siguiente paso es acceder al mensaje OCULTO sin crackear la contrasenya.

Prueba de Concepto
==================

Paso 1
======
1- Usamos un fichero de cobertura (fichero portador) llamado “foto_original.jpg”

2- Esconderemos dentro el mensaje “Hola Caracola”

3- Usaremos como contrasenya “xxxxx”

4- Generamos el fichero esteganografiado, al que llamaremos “foto_con_mensaje_oculto.jpg”

Paso 2
======
Para acceder al mensaje oculto SIN la contrasenya original “xxxxx” haremos lo siguiente:

1- Usaremos cualquier otra foto, por ejemplo “paulina_rubio_en_tanga.jpg”

2- Esconderemos dentro de ella el mensaje “ESTOY DENTRO DE TI, ADIVINA POR DONDE ENTRE!!!”

3- Usaremos la contrasenya “x”

4- Generamos el fichero esteganografiado al que llamaremos “paulina_rellena.jpg”

5- Abriremos AMBAS fotos en un editor hexadecimal

6- Substituiremos los 20 ultimos bytes de “foto_con_mensaje_oculto.jpg” con los ultimos 20 bytes de “paulina_rellena.jpg”

7- Guardamos la imagen “foto_con_mensaje_oculto.jpg”

8- La abrimos usando como contrasenya “x” y, efectivamente, hemos sobreescrito la contrasenya desconocida con algo que si conocemos.

Simple,