Bienvenida

Hola!

Este es mi primer blog, está en periodo de prueba... vamos a ver como nos va. No pretendo presumir de gurú, solamente compartir los resultados de pruebas que realizo o noticias que suceden al rededor del tema  de la seguridad informática. Agradezco sus aportes y sugerencias y espero que esta información sea valiosa para quien la lea.

Robo de contraseñas en servicios gratuitos

Robo de Contraseñas en Servicios gratuitos de Internet

Ha sido conocida de forma reiterada el robo de hash de contraseñas de servicios como yahoo!, hotmail, gmail, y linkedin. Esto es preocupante, porque se está "echando al traste" todo el esfuerzo realizado para enseñarle a los usuarios que deben utilizar contraseñas "fuertes". Aunque el usuario coloque una buena contraseña, ahora además depende también de la seguridad que el sitio le brinde al almacenamiento de su contraseña (o de los hash).

Un hash (valor hash) se obtiene mediante la aplicación de un algoritmo (funcion hash) sobre un texto o documento, generando como resultado una cadena de longitud fija que lo representa de forma única. Es importante aclarar que una función hash nunca generará dos hash idénticos aunque la entrada sea la misma.

Aquí un ejemplo gráfico tomado de Wikipedia:

Apenas ayer se conoció que habían sido robadas más de 400.000 contraseñas del servicio Yahoo! Voices, un servicio utilizado para realizar llamadas por Internet. Hoy nos enteramos que este robo también incluyó el robo de contraseñas de usuarios de Gmail, Hotmail, MSN, AOL, Comcast, SBC Global, Verizon, BellSouth y Live.com. También hoy nos enteramos que fueron robadas 420.000 contraseñas de una red social llamada formspring.

En conclusión si tenemos usuario en alguno de estos servicios, debemos cambiar la contraseña. Si usamos esa misma combinación (correo y contraseña) en otros servicios, también debemos cambiarla.
Como administradores de servicios y consultores en seguridad debemos tomar conciencia de predicar y también aplicar.

Actualizado (16 de Julio): Se conoce el robo de 400.000 cuentas de nvidia y AndroidForums. 

Detectan un troyano que puede atacar a cualquier sistema operativo

La empresa de seguridad informática F-Secure ha localizado un peligroso applet de Java en una página web de Colombia que detecta el sistema operativo del usuario e instala malware compatible con el mismo.

Básicamente, el troyano se aprovecha de un applet malicioso de Java que le permite instalar puertas traseras en ordenadores gobernados por Windows, Mac OS X o Linux.

Cuando el usuario accede a una web infectada se le solicita que instale el applet de Java, y a pesar de que este no presenta su correspondiente certificado de seguridad, lo normal es que muchos usuarios caigan en la trampa y acepten su descarga.

Más adelante, cuando ya está el applet instalado en el ordenador de un usuario, realiza una comprobación para determinar su sistema operativo y en ese momento aparece el troyano compatible con ese equipo.

Al parecer, el troyano fue escrito con la aplicación open source SET, un kit de herramientas para ingeniería social.

Fuente: theinquirer

El árbol mágico del pentester

Hoy quiero comentar sobre una herramienta que encontré llamada Magric Tree, desarrollada por la empresa  gremwell (http://www.gremwell.com/),  y que es perfecta para almacenar la información que obtenemos de diferentes herramientas durante un pentest como nmap, nessus, o nikto. Muchas veces tenemos toda la información pero no sabemos como organizarla o como analizarla.
Bueno, al grano. Para descargarla, podemos ingresar aquí. Lo más interesante es que está desarrollada en java por lo que funcionará perfecto en windows o linux.
En mi caso uso Fedora Core  15, y después de descargarla, sólo la ejecuté con:
java -jar MagicTree-1.1-build1643.jar &

y vualá  (voilà)

Ahora agregamos un nuevo nodo con Ctrl + N

Importemos los resultados de nmap. Para esto ya debemos tener la salida del nmap almacenada en formato XML, la cual se obtiene con la opción -oX del nmap.  En mi caso la obtuve con el comando:

nmap -P0 -sS -sV -O -p 1-65535 -vvv 192.168.1.100 -oX 192.168.1.100-nmap.xml

Con el comando nmap --help podemos averiguar para que sirve cada una de las opciones.

Después de esto, lo único que hay que hacer es ingresar por File -> Open y cargar el archivo llamado 192.168.1.100-nmap.xml. Aparecerá entonces el resultado en Magic Tree:

Humm, ahora probemos con nikto:

nikto -h 192.168.1.100 -p 80 -o 192.168.1.100-nikto.xml -Format XML

Mediante File -> Open, cargamos el archivo 192.168.1.100-nikto.xml

Podemos observar las aplicaciones web detectadas y las vulnerabilidades encontradas. Ahora importemos el resultado del análisis de vulnerabilidades con Nessus:

Magic Tree soporta la importación de los formatos XML de las siguientes herramientas:

• Burp (as of Burp Suite version 1.3.07)Nmap
• Nikto
• Nessus XML v.1
• Nessus XML v.2
• OpenVAS
• Qualys
• Imperva Scuba

y el autor indica que podemos adicionar otras más adicionando transformaciones XLST (http://www.gremwell.com/magictreedoc/9a673327.html).

Finalmente, podemos exportar estos resultados en un archivo word/open office, muy útil para nuestro informe.  Debemos ingresar por Report -> Generate Report.  Nos preguntará por el template que queremos usar, los templates estan en ~/.magictree/report-templates. Los templates disponibles por defecto son:
- base.docx - No contiene nada
- open-ports-and-summary-of-findings-by-host.docx: Lista todos los hots, puertos y servicios descubiertos, vulenrabilidades encontradas agrupadas por host.
- simple-test-log.docx:  Lista todos los comandos ejecutados con la fecha de inicio y terminación y un pequeño log. 
- summary-of-findings-with-details.docx: Lista las vulnerabilidades de nessus agrupadas (cada vulnerabilidad se lista una sola vez), con una tabla listando todos los hosts afectados por cada una. 
- summary-of-findings-cross-referenced.docx: Una plantilla con tres secciones. La primera contiene las vulnerabilidades agrupadas, la segunda contiene los resultados por hosts y la tercera contiene los comandos ejecutados con un log. Todas las tres secciones tienen referencias cruzadas.

Excelente!!! para mi esta herramienta es muy buena porque me ahorra bastante trabajo. Espero les guste. Obviamente tiene muchas más funcionalidades no detalladas aquí, tal vez más adelante.