Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 28 de junio de 2007

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Ver más

QUE ES NMAP
Nmap es una aplicación multiplataforma usada para explorar redes y obtener información acerca de los servicios, sistemas operativos y vulnerabilidades derivadas de la conjunción de éstos.

Es muy usado por todo aquél que se interesa por las tareas de seguridad y hacking en general, desde Administradores de Sistemas a interesados con fines menos respetables. Las técnicas de escaneo que usa Nmap han sido ya implementadas en sistemas de detección de intrusos y firewalls, ya que los desarrolladores de sistemas de seguridad también usan Nmap en su trabajo y toman medidas. No obstante, pese a estar ampliamente documentado su funcionamiento, hay formas de escaneo que lo hacen difícil de detectar cuando se trata de obtener información.

Bueno, descargamos Nmap del sitio oficial para nuestra plataforma y lo instalamos. Si usamos Debian es mejor usar los repositorios:

$ apt-get install nmap

Comenzemos a escanear…

$ nmap -sP 192.168.1.0/24

Esto escaneará las 255 direcciones de la red 192.168.1.0 El atributo -sP indica que será un escaneo mediante ping. Envia un ping (ICMP echo request) y un paquete TCP ACK al puerto 80. Si el destino contesta con otro ping o con un paquete TCP RST significa que está operativo.

Tipos de escaneo en función de los paquetes

Si no queremos usar la técnica del ping y el paquete ACK para comprobar el equipo o la red hay varias opciones diferentes:

solo el ping
nmap -PE 192.168.1.0/24

sólo el paquete ACK dirigiéndolo a un puerto determinado, p. ej. el 20
nmap -PA20 192.168.1.0/24

paquetes SYN al puerto 20
nmap -PS20 192.168.1.0/24

paquetes UDP al puerto 20
nmap -PU20 192.168.1.0/24

paquetes timestamp
nmap -PP 192.168.1.0/24

paquetes netmask request
nmap -PM 192.168.1.0/24

Latencia en la red

Si la red a escanear es lenta, tiene mucho tráfico o somos nosotros los que generamos gran cantidad de tráfico, el tiempo de respuesta aumentará. Para mitigar estos inconvenientes podemos ajustar el tiempo de búsqueda que emplea nmap. La opción -T indica la política de tiempo a usar. Existen 6 niveles con números entre 0-5, cuanto más alto más rápido. Si no se especifica se usa -T3

$ nmap -T5 192.168.1.0/24

Escanearía la red 192.168.1.0 en modo Insane, muy rápido…

Más opciones de escaneo serian:

–max-hostgroup 150 (enviar 150 peticiones simultaneas de escaneo)
–scan-delay2s (retardo entre escaneo de 2 segundos)
-host-timeout500m (tiempo empleado para escanear cada host de 500 milisegundos)

Descubriendo servicios en un host

Nmap por defecto escanea los 65.535 puertos TCP del objetivo. Para solo escanear un determinado nº de puertos usaremos la opción -p

$ nmap -p 25,80,1000-4000 192.168.1.1

Con esto escaneamos el puerto 25,80 y del 1000 al 4000 del host 192.168.1.1

Hay varios estados posibles para un puerto. Si hay algún servicio escuchando en él, el estado es OPEN. Si no hay servicios en ese puerto puede respnder con un mensaje ICMP o simplemente con nada. En Linux estas respuestas vienen dadas por las reglas de IPTABLES REJECT (rechazar el paquete enviando un mensaje ICMP informando que el puerto esta cerrado) o DROP (tirar o ignorar el tráfico). En caso de que la petición sea ignorada Nmap mostrará el puerto como filtered, ya que no puede determinar si hay algún servicio o no en ese puerto.

También es posible que el equipo a sondear tenga los puertos abiertos pero tenga la política de no responder al ping ni al TCP ACK que usa Nmap para saber si el equipo está levantado. En ese caso el parámetro -P0 escaneará el objetivo asumiendo que el equipo está activo.

Sondeos sigilosos

SYN: Se trata en enviar un paquete TCP SYN al puerto a comprobar, y si hay algún servicio activo, el sistema escaneado continuará con la sequencia de conexión enviando un paquete TCP/SYN. En este punto Nmap tendría que proseguir enviando el ACK, pero no continúa con la secuencia de conexión y al no consumarse la conexión no queda registrado en los logs.

$ nmap -PS20 192.168.1.0/24

Una técnica parecida es enviar una secuencia incorrecta de paquetes TCP con la intención de valerse de los mensajes recogidos para obtener información. Por ejemplo, enviar un paquete TCP FIN que corresponde al final de una conexión o enviar paquetes sin ningún flag activado. Las respuestas pueden servir para identificar los puertos abiertos o el sistema operativo.

Fingerprinting

Nmap puede averiguar el sistema operativo del objetivo usando las pequeñas diferencias en la implementación de los protocolos. Aunque siguen el mismo estándard al programar los sistemas, existen algunas disimilitudes que usa Nmap para determinar el sistema operativo para ver como responde a ciertas secuencias TCP/IP. El atributo es -O

$ sudo nmap -O 192.168.1.33
Interesting ports on 192.168.1.33:
Not shown: 1676 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1110/tcp open nfsd-status
MAC Address: 00:18:DE:A0:B2:C9 (Unknown)
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows 2003 Server or XP SP2
Nmap finished: 1 IP address (1 host up) scanned in 3.451 seconds

La otra técnica de Fingerprinting se usa para comprovar las versiones del software que escucha en los puertos, es decir el servidor ftp, la versión de apache, etc… El parámetro es -sV

$ sudo nmap -sV -O -p 22,25,3306 localhost
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-06-27 18:43 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)
25/tcp open smtp Exim smtpd 4.63
3306/tcp open mysql MySQL 5.0.32-Debian_7etch1-log
Device type: general purpose|printer|broadband router|telecom-misc
Running (JUST GUESSING) : Linux 2.4.X|2.5.X|2.6.X|2.3.X (95%), Lexmark embedded (93%), D-Link embedded (93%), Wooksung embedded (93%)
Aggressive OS guesses: Linux 2.4.0 - 2.5.20 (95%), Linux 2.4.18 (95%), Linux 2.4.18 - 2.4.20 (x86) (95%), Linux 2.4.20 (X86, Redhat 7.3) (95%), Linux 2.4.21 (x86, RedHat) (95%), Linux 2.4.22 (SPARC) (95%), Linux 2.4.30 (95%), Linux 2.4.7 - 2.6.11 (95%), Linux 2.5.25 - 2.6.8 or Gentoo 1.2 Linux 2.4.19 rc1-rc7 (95%), Linux 2.6.0-test10 (x86) (95%)
No exact OS matches for host (test conditions non-ideal).
Service Info: Host: xxxxx.xxxxxxxx; OS: Linux
Nmap finished: 1 IP address (1 host up) scanned in 10.892 seconds

Esto nos muestra información bastante valiosa sobre las versiones de SSH, Exim y MySQL así com el nombre y el dominio. También ha intentado determinar la versión del sistema operativo, pero no concreta la distribución usada (95% Gentoo) ni la versión del kernel. En la anterior prueba contra un Windows XP, si que es capaz de obtener información referente al sistema operativo, y en menos tiempo.

Todas las prácticas aquí mostradas se han realizado con fines experimentales, así que no os lanzéis ahora a escanear los pc de vuestro trabajo, instituto o universidad porque si vais con intenciones dudosas seguramente os pillarán. El contenido de este artículo es fruto de lectura de manuales, revistas, artículos y mi experiencia profesional-personal. Mis fuentes:

Fuente: http://www.thewilfamily.com/hacking/nmap-a-fondo-escaneo-de-redes-y-hosts

Ver más

RUTKOWSKA: "LA MAYORIA DE ATAQUES EXPLOTAN EL FACTOR HUMANO, LA ESTUPIDEZ DEL USUARIO"

Por MERCÈ MOLIST 28/06/2007

Joanna Rutkowska, experta en código malicioso, creó su primer virus a los 14 años. Hoy estudia cómo detenerlos - "Sólo con tener la tarjeta inalámbrica del portátil funcionando, sin conectarte, alguien puede controlarlo".

A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. Le intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".

Pregunta. ¿Cuál es el estado del arte en el código malicioso?
Respuesta. Es más fácil crearlo que detectarlo. Las técnicas de los chicos malos están por delante de las nuestras.

P. ¿Los chicos malos le han pedido alguna vez sus conocimientos?
R. Acabo de crear mi propia empresa, Invisible Things, y entre otras cosas hacemos cursos. No sé si mis clientes son criminales o no.

P. Cada vez hay más complejidad y delincuencia. ¿Qué podemos hacer?
R. Por una parte está el factor humano y, por otra, el tecnológico. La mayoría de ataques explotan el factor humano, la estupidez de los usuarios. No podemos proteger totalmente a usuarios estúpidos.

P. ¿Y el tecnológico?
R. La tecnología suele tener fallos y hay ataques que no precisan de la intervención del usuario. Un ejemplo, que da miedo, es que sólo con tener la tarjeta inalámbrica de tu portátil funcionando, sin conectarte, alguien puede aprovechar un agujero del controlador y tomar el control de tu máquina.

P. ¿Cómo defendernos?
R. Escribiendo programas sin fallos, con mejores controles de calidad y educando a los desarrolladores para que hagan programas seguros.

P. ¿Es posible?
R. El sistema BSD tiene entusiastas auditando manualmente el código. Pero, aun así, se encuentran agujeros, a veces después de unos años. No es posible crear código 100% seguro.

P. ¿Y entonces?
R. Otra propuesta es diseñar el sistema operativo de tal forma que, aunque alguien explote un fallo, el sistema limite el alcance del ataque. Por ejemplo, con arquitecturas de micronúcleo.

P. ¿Qué?
R. Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con millones de líneas de código donde no es raro que haya agujeros, y todo está allí. El micronúcleo es un núcleo diminuto que hace unas funciones básicas y el resto funciona en procesos aislados. Así, un ataque al núcleo no afecta a todo el sistema. El problema es que es un cambio drástico, pero el futuro va por aquí.

P. ¿Y mientras tanto?
R. Se están añadiendo herramientas especiales. Por ejemplo hacer que, cada vez que se pone en marcha el ordenador, los procesos estén en sitios diferentes. Así, el atacante no sabe dónde están las cosas.

P. ¿Y los antivirus?
R. No son más que parches. Se basan en bases de datos con miles de firmas de código malicioso y, por cada archivo que entra, comprueban si coincide con alguna. ¡Es un enfoque equivocado! No funciona contra nuevos ataques.

P. ¿Cómo deberían ser?
R. Con un diseño seguro de los sistemas operativos y tecnologías antiataques, los antivirus desaparecerían. Pero, en realidad, no se dirigen al factor tecnológico, sino al humano, avisando al usuario para que no abra tal adjunto. En la siguiente generación, cuando el humano esté educado, será diferente.

INVISIBLE THINGS: http://invisiblethings.org

Fuente: http://www.elpais.com/articulo/red/mayoria/ataques/explotan/factor/humano/estupidez/usuario/elp

Ver más

COMO FUNCIONAN LOS PROGRAMAS DE SEGURIDAD "ESPIAS" DE PC

En Internet existe gran cantidad de herramientas administrativas de utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Cómo prevenirse del mal uso de sniffers, keyloggers, analizadores de servicios y administradores remotos.

Existen distintos tipos de software que pueden ser utilizados tanto de forma genuina como para acciones maliciosas dentro de las empresas, por eso depende completamente del administrador de la red y las políticas existentes para controlar el uso de este tipo de herramientas.

Cuando hablamos de seguridad en redes empresariales, es importante que tengamos en cuenta factores que van más allá de las intrusiones externas y el malware y que están relacionadas con aplicaciones que no son estrictamente maliciosas.

En Internet existe gran cantidad de herramientas administrativas de gran utilidad para los responsables de redes informáticas que pueden ser utilizadas con otros fines por personas de la empresa. Entre dichas aplicaciones podemos encontrar sniffers, keyloggers, analizadores de puertos/servicios y administradores remotos.

Existen versiones comerciales de dichas herramientas que no son creadas con fines maliciosos y se denominan greyware y/o aplicaciones potencialmente no deseadas, dado que pueden ser usadas tanto en forma genuina por responsables de redes empresariales como maliciosamente por atacantes.

Expliquemos cada una de estas aplicaciones para conocer el alcance de las mismas:

  • Los sniffers son programas capaces de monitorear el tráfico de la red y pueden ser utilizados para extraer información como usuarios y contraseñas de servicios internos y externos de la empresa.
  • Los keyloggers son aplicaciones que una vez instaladas en un equipo informático, monitorean todo aquello que se teclea en el mismo, lo almacenan y pueden remitirlo a una persona en forma remota a través de distintos medios como correo electrónico, FTP, etc.
  • Los analizadores de puertos permiten monitorear un equipo informático y detectar qué puertos y servicios están abiertos, para conocer así de qué manera es posible conectarse al mismo.
  • Los administradores remotos son herramientas que, si están instaladas en una computadora o servidor, brindan la posibilidad de administrarla en forma remota, teniendo un control casi total sobre el equipo.
Es normal que un administrador de red utilice alguna de estas herramientas en sus tareas diarias, por lo que no sería raro encontrarlas en una empresa. Sin embargo, no solo pueden ser utilizadas para fines administrativos.

La información es hoy por hoy uno de los principales bienes y la seguridad informática existe para permitir que la misma esté disponible cuando sea necesario y a su vez no pueda ser accedida por personas no autorizadas. Para lograr esto último, se utilizan medidas tales como protección mediante usuarios y contraseñas, los cuales terminan siendo “la llave” para el acceso a la información protegida.

Conocer un usuario y contraseña de algún servicio de una empresa es prácticamente equivalente a ver qué información se encuentra disponible allí. Y son esos datos los más buscados por terceros para diversos fines maliciosos.

Las aplicaciones antes mencionadas permiten conocer y tener acceso a usuarios y contraseñas, y sus servicios. Por ejemplo, un sniffer puede permitir a un atacante interno conocer las claves de acceso a un servicio al cual no debería acceder. Asimismo, un administrador remoto puede permitir a una persona no autorizada acceder y controlar otros equipos dentro de la empresa y realizar acciones en ellos que no estén permitidas.

Estas situaciones son potencialmente peligrosas para una empresa dado que pueden llevar a la disrupción de servicios de importancia y/o al robo de información interna y confidencial. Siendo la información uno de los principales activos de una compañía, controlar que este tipo de aplicaciones no sean usadas erróneamente debe ser tarea primordial del área de seguridad de la información de la institución.

Recomendaciones de seguridad
Hay diversos factores a considerar a la hora de contar con protección contra este tipo de aplicaciones.

Para comenzar, es importante tener en cuenta que dichas herramientas no son maliciosas o dañinas per se, lo cual lleva a que no sean detectadas normalmente por las soluciones de seguridad existentes. Como con cualquier herramienta mal utilizada en cualquier ambiente, no sólo el informático, se debe enfocar la solución del problema potencial desde diversos ángulos.

Es importante que las políticas de seguridad de la información de la empresa especifiquen claramente si el uso de alguna de dichas aplicaciones en particular está autorizado, y si lo está, dejar claro en qué términos y por qué personas.

Las políticas de seguridad también deben prever que solamente usuarios autorizados deben ser capaces de instalar software en los equipos de la empresa, de manera que se evite que se utilicen herramientas como las mencionadas anteriormente. Si sólo los administradores tienen permisos para instalar software, se puede prevenir que se utilicen aplicaciones no deseadas.

Asimismo, existen técnicas y software que permiten monitorear servidores claves y la red misma en busca de sniffers y/o analizadores de puertos; muchas de ellas también de uso e implementación gratuita, por lo que es recomendable que los administradores las utilicen.

Dado que muchos productos antivirus y/o antimalware detectan gran cantidad de administradores remotos y/o keyloggers bajo la categoría de aplicaciones potencialmente no deseadas y/o potencialmente peligrosas, es importante asegurarse que el producto utilizado en la empresa tenga dicha funcionalidad y, en ese caso, que la misma esté activa para que si algún equipo tiene instalado este tipo de software sin autorización, el mismo sea detectado y bloqueado.

Además, es importante que se utilicen protocolos seguros para la autenticación de servicios como el correo electrónico, aplicaciones, web, etc. Por ejemplo, comúnmente, las aplicaciones de correo electrónico son utilizadas para que transmitan usuario y contraseña en forma de texto plano, el cual es fácilmente legible si se pueden monitorear las actividades de red. Utilizando protocolos seguros, esos datos serán transmitidos en forma codificada, evitando su lectura.

La conjunción de las recomendaciones anteriores más una correcta administración de los recursos informáticos y un uso seguro de los mismos, permitirá incrementar el nivel de seguridad ante atacantes internos que utilicen aplicaciones de administración para obtener información interna de la empresa.

Ignacio M. Sbampato es vicepresidente de ESET para Latinoamérica. Especial para Infobaeprofesional.com

Fuente: http://www.infobaeprofesional.com/notas/48568-Como-funcionan-los-programas-de-seguridad-espias-

Ver más