Alt+Ctrl+Supr » seguridad

Vigilancia centralizada de la seguridad de varios servidores

altctrlsupr — Mon, 11 May 2009 12:05:50 +0000

Existe una herramienta que facilitara bastante la compleja labor de monitorizacion continua de varios servidores: OSSEC HIDS.

Explicaremos la instalacion del servidor y el cliente (agente) OSSEC para entornos GNU/Linux:

Instalacion de OSSEC:
Descargamos el codigo fuente http://www.ossec.net/files/ossec-hids-2.0.tar.gz
Lo descomprimimos y entramos en el directorio:

# tar zvxf ossec-hids-2.0.tar.gz
# cd ossec-hids-2.0
# ./install.sh

Le indicamos el idioma y el tipo de instalacion (local, servidor, agente). Le indicamos la ubicacion de la instalacion y a que direccion de correo electronico deberan enviarse las alertas. Le indicamos si queremos instalar la comprobacion de integridad del sistema y la deteccion de rootkits, asi como la respuesta activa automatica ante problemas, el modo de rechazar las conexiones (bloqueando usuarixs en hosts.deny o en iptables), y la habilitacion de syslog remoto (en el puerto 514 UDP).
Por defecto si lo instalamos como servidor se configura el analisis de los siguientes registros:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log
/var/log/apache2/error.log
/var/log/apache2/access.log

Si lo instalamos en modo cliente (agente) analizara:

/var/log/messages
/var/log/auth.log
/var/log/syslog
/var/log/mail.info
/var/log/dpkg.log

Para añadir algun otro registro se deben añadir al archivo /var/ossec/etc/ossec.conf como entradas del tipo localfile.

Para añadir agentes al servidor:

# /var/ossec/bin/manage_agents

Primero añadimos el nuevo agente, introduciendo el nombre, IP e ID, y seguidamente extraemos la clave que se genero en el agente, con la opcion e y respondiendo a la ID del cliente.
Ahora debemos importar la clave del servidor desde el cliente. Para ello ejecutamos manage_agents en la maquina cliente:

# /var/ossec/bin/manage_agents

Una vez terminada la instalacion, solamente nos queda iniciar OSSEC HIDS, primero en el servidor y despues en los clientes:

/var/ossec/bin/ossec-control start

Al iniciarlo (si lo hemos instalado como servidor) se inician los siguientes demonios:

ossec-maild
ossec-execd
ossec-analysisd
ossec-logcollector
ossec-remoted
ossec-syscheckd
ossec-monitord

Y en modo cliente:

ossec-execd
ossec-agentd
ossec-logcollector
ossec-syscheckd

Para detenerlo:

/var/ossec/bin/ossec-control stop

Ahora probamos que funciona correctamente, provocando una alerta, que por defecto ira a parar a /var/ossec/logs/alerts/, donde automaticamente se organizan por año, mes y un log cada dia.

Tarritos de miel

altctrlsupr — Thu, 07 May 2009 22:33:31 +0000

SCADA Honeypot from John Strand on Vimeo.

NMap Book

admin — Sun, 30 Nov 2008 20:52:16 +0000

Hace unas semanas que el libro sobre el mapeador de redes mas conocido en todo el mundo ha sido terminado y llevado a la imprenta. Lleva por titulo “Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning”, y ofrece apartados detallados para cada una de las funcionalidades de la herramienta, incluyendo cantidad de jugosos detalles sobre el NSE.

Aproximadamente la mitad del contenido esta disponible online en la web de Fyodor.

Open Source Security Information Management (OSSIM)

ciber — Tue, 21 Oct 2008 18:41:40 +0000

Una de las novedades descubiertas durante este hackmeeting ha sido Open Source Security Information Management (OSSIM), en una conversacion casual con uno de sus responsables que estuvo por Malaga.
Es un completo gestor de seguridad que incluye un conjunto de herramientas libres y que esta excelentemente documentado en su site (mayormente en ingles).

[...]

IV OWASP Spain Chapter Meeting

ciber — Mon, 20 Oct 2008 12:23:08 +0000

Es un placer anunciar un nuevo evento organizado por el capítulo español: el “IV OWASP Spain chapter meeting”.La asistencia es GRATUITA. Debido a la limitación del aforo, todos aquellos interesados en asistir deberán notificarlo previamente enviando un correo incluyendo la palabra “INSCRIPCIÓN” en el asunto del mensaje.

Por otro lado, el organismo (ISC)2 ha aprobado 1 CPE por cada hora de asistencia a nuestras conferencias. Los certificados de asistencia se entregarán a todos aquellos que lo hayan solicitado previamente.

FECHA:	viernes 21 de noviembre de 2008
AGENDA:
15:30h	Registro de asistentes.
16:00h	Bienvenida y presentación del evento. Vicente Aguilera Diaz. OWASP Spain Chapter Leader.
16:10h	“w3af: Un framework de test de intrusión web”. José Ramón Palanco. CEO. Hazent Systems.
	El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino unir bajo un mismo framework, todas las técnicas automatizables de obtención de información, evasión de ids, localización de vulnerabilidades, explotación de vulnerabilidades, etc. al estilo metasploit (framework con el que interactúa).
17:10h	“Análisis de eco en Aplicaciones Web”. Jesús Olmos González. Auditor Senior. Internet Security Auditors.
	Hoy día las vulnerabilidades web son “Well Known” y casi siempre nos encontraremos filtros que impedirán su explotación. Se comenzará explicando la problemática en la auditoría de caja negra: el código que no se ve se ha de deducir a través de diversas pruebas. El objetivo de dichas pruebas es deducir el código fuente a partir del análisis de los resultados ante distintas peticiones de entrada. Un atacante analizará los filtros implementados (por lo que será necesario localizar operativas de la aplicación que hagan “eco”) con el objetivo de evadirlos y explotar posibles vulnerabilidades que existan en la aplicación. La presentación describirá distintos tipos de “eco” en aplicaciones web y como pueden ser detectados y aprovechados para elaborar posteriores ataques.
18:10h	Coffe-break.

18:30h	“Microsoft Seguridad IT al descubierto”. Simon Roses Femerling. ACE Security Services. Microsoft.
	La seguridad en Microsoft juega un papel fundamental tanto en sus productos como en sus activos de negocio y por ello desarrolla continuamente la más avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el SDL-IT para proteger sus activos de negocio.
19:30h	“A fresh look into Information Gathering”. Christian Martorella. Responsable de Auditoría. S21sec
	En esta presentación se pretende mostrar las nuevas técnicas y fuentes que se pueden utilizar a la hora de obtener información pública sobre un objetivo o entidad. Se hará especial hincapié en información que se puede obtener a través de la Web.
20:30h	Despedida y cierre del evento. Vicente Aguilera Diaz. OWASP Spain Chapter Leader.

LUGAR:

IL3 – Institute for LifeLong Learning (Universitat de Barcelona)
C/ Ciutat de Granada, 131
08018 – BARCELONA

PATROCINADOR:

Internet Security Auditors
www.isecauditors.com

TorChat

admin — Wed, 01 Oct 2008 09:46:02 +0000

TorChat es un programa de mensajeria instantanea punto a punto, con un disenyo descentralizado, construido sobre los servicios ocultos de localizacion de Tor, proporcionando un alto grado de anonimato, siendo ademas muy facil de usar y sin necesidad de instalacion.
Funciona asignando un ID Tor a cada usuario, y estos manualmente deben agregarse, sin servidores intermedios.
Disponemos de 3 enlaces de descarga:
Uno es el binario win32, que podemos ejecutar desde una memoria USB, tarjeta, etc, tanto en maquinas Windows como Linux con Wine, o Mac con emulacion. Han incluido todas las dependencias en el paquete, por lo que no es necesaria instalacion alguna.
Otro es un paquete para Debian GNU/Linux, que puedes instalar normalmente con “dpkg -i torchat-0.9.9.287.deb”.
El tercero es el codigo fuente del programa, al que podremos acceder y realizar modificaciones como el puerto de escucha o el host.
Otro dia ampliaremos las posibilidades de este interesante software. De momento ahi queda anotado!

Slapt-get en BackTrack 3

admin — Fri, 08 Aug 2008 20:51:13 +0000

Quienes se hayan instalado la version 3 de BackTrack se habran dado cuenta de que el programa slapt-get esta roto. Bien, pues aqui podeis descargaros las versiones parcheadas que haran que vuestro sistema se pueda actualizar y ampliar con normalidad.
Gracias a los chicos del canal #remote-exploit en freenode por la ayuda!
-;)

La seguridad DNS en pocos links

admin — Tue, 29 Jul 2008 21:36:22 +0000

Ultimamente, incluso en los medios convencionales, estan informando sobre la divulgacion de fallos de seguridad en uno de los pilares sobre los que se apoya Internet: los servidores de nombres de dominio (DNS).
Esto es un breve repaso en links de la situacion, desde este pequenyo rincon del mundo:

Hispasec informando sobre la actualizacion masiva de servidores

Explicacion clara y sencilla

Analizador de DNS, indica cuales han sido actualizados

un mundo mas seguro? jajjajajjaja

Cronica de la FIST Conference 2007

admin — Sat, 27 Oct 2007 13:23:21 +0000

En la UPC se celebro ayer viernes la 10′

Grave vulnerabilidad en Mozilla Firefox 2

admin — Thu, 23 Nov 2006 16:30:22 +0000

Mozilla acaba de hacer publico el bug #360493, que expone el Gestor de Contrasenyas de Firefox en muchos sitios web. El fallo deriva de la buena voluntad de Firefox para proporcionar el usuario y contrasenya grabados en una pagina en un dominio en otra pagina en otro dominio. Por ejemplo, los campos de entrada de usuario/contrasenya en el sitio de un usuario de Myspace.com seran desafortunadamente propagados con los credenciales del visitante de Myspace.com. Fue descubierto por primera vez por Netcraft el 27 de Octubre. Como esta prueba de concepto ilustra, ya que los campos usuario/contrasenya no necesitan ser visibles en la pagina, tu contrasenya puede ser robada de forma casi completamente transparente.